Voir également d'autres Guides APPLE :

Apple-DVD_Studio_Pro_4_Installation_de_votre_logiciel

Apple-Windows_Services

Apple-Motion_3_New_Features_F

Apple-g4mdd-fw800-lowerfan

Apple-MacOSX10.3_Welcome

Apple-Print_Service

Apple-Xserve_Setup_Guide_F

Apple-PowerBookG4_17inch1.67GHzUG

Apple-iMac_Intel-based_Late2006

Apple-Installation_de_votre_logiciel

Apple-guide_des_fonctions_de_l_iPod_nano

Apple-Administration_de_serveur_v10.5

Apple-Mac-OS-X-Server-Premiers-contacts-Pour-la-version-10.3-ou-ulterieure

Apple-boot_camp_install-setup

Apple-iBookG3_14inchUserGuideMultilingual

Apple-mac_pro_server_mid2010_ug_f

Apple-Motion_Supplemental_Documentation

Apple-imac_mid2011_ug_f

Apple-iphone_guide_de_l_utilisateur

Apple-macbook_air_11inch_mid2011_ug_fr

Apple-NouvellesfonctionnalitesdeLogicExpress7.2

Apple-QT_Streaming_Server

Apple-Web_Technologies_Admin

Apple-Mac_Pro_Early2009_4707_UG

Apple-guide_de_l_utilisateur_de_Numbers08

Apple-Decouverte_d_Aperture_2

Apple-Guide_de_configuration_et_d'administration

Apple-mac_integration_basics_fr_106.

Apple-iPod_shuffle_4thgen_Guide_de_l_utilisateur

Apple-ARA_Japan

Apple-081811_APP_iPhone_Japanese_v5.4.pdf-Japan

Apple-Recycle_Contract120919.pdf-Japan

Apple-World_Travel_Adapter_Kit_UG

Apple-iPod_nano_6thgen_User_Guide

Apple-RemoteSupportJP

Apple-Mac_mini_Early2009_UG_F.pdf-Manuel-de-l-utilisateur

Apple-Compressor_3_Batch_Monitor_User_Manual_F.pdf-Manuel-de-l-utilisateur

Apple-Premiers__contacts_avec_iDVD_08

Apple-Mac_mini_Intel_User_Guide.pdf

Apple-Prise_en_charge_des_surfaces_de_controle_Logic_Express_8

Apple-mac_integration_basics_fr_107.pdf

Apple-Final-Cut-Pro-7-Niveau-1-Guide-de-preparation-a-l-examen

Apple-Logic9-examen-prep-fr.pdf-Logic-Pro-9-Niveau-1-Guide-de-preparation-a-l-examen

Apple-aperture_photography_fundamentals.pdf-Manuel-de-l-utilisateu

Apple-emac-memory.pdf-Manuel-de-l-utilisateur

Apple-Apple-Installation-et-configuration-de-votre-Power-Mac-G4

Apple-Guide_de_l_administrateur_d_Xsan_2.pdf

Apple-premiers_contacts_avec_imovie6.pdf

Apple-Tiger_Guide_Installation_et_de_configuration.pdf

Apple-Final-Cut-Pro-7-Level-One-Exam-Preparation-Guide-and-Practice-Exam

Apple-Open_Directory.pdf

Apple-Nike_+_iPod_User_guide

Apple-ard_admin_guide_2.2_fr.pdf

Apple-systemoverviewj.pdf-Japon

Apple-Xserve_TO_J070411.pdf-Japon

Apple-Mac_Pro_User_Guide.pdf

Apple-iMacG5_iSight_UG.pdf

Apple-premiers_contacts_avec_iwork_08.pdf

Apple-services_de_collaboration_2e_ed_10.4.pdf

Apple-iPhone_Bluetooth_Headset_Benutzerhandbuch.pdf

Apple-Guide_de_l_utilisateur_de_Keynote08.pdf

APPLE/Apple-Logic-Pro-9-Effectsrfr.pdf

Apple-Logic-Pro-9-Effectsrfr.pdf

Apple-iPod_shuffle_3rdGen_UG_F.pdf

Apple-iPod_classic_160Go_Guide_de_l_utilisateur.pdf

Apple-iBookG4GettingStarted.pdf

Apple-Administration_de_technologies_web_10.5.pdf

Apple-Compressor-4-User-Manual-fr

Apple-MainStage-User-Manual-fr.pdf

Apple-Logic_Pro_8.0_lbn_j.pdf

Apple-PowerBookG4_15inch1.67-1.5GHzUserGuide.pdf

Apple-MacBook_Pro_15inch_Mid2010_CH.pdf

Apple-LED_Cinema_Display_27-inch_UG.pdf

Apple-MacBook_Pro_15inch_Mid2009_RS.pdf

Apple-macbook_pro_13inch_early2011_f.pdf

Apple-iMac_Mid2010_UG_BR.pdf

Apple-iMac_Late2009_UG_J.pdf

Apple-iphone_user_guide-For-iOS-6-Software

Apple-iDVD5_Getting_Started.pdf

Apple-guide_des_fonctionnalites_de_l_ipod_touch.pdf

Apple_iPod_touch_User_Guide

Apple_macbook_pro_13inch_early2011_f

Apple_Guide_de_l_utilisateur_d_Utilitaire_RAID

Apple_Time_Capsule_Early2009_Setup_F

Apple_iphone_4s_finger_tips_guide_rs

Apple_iphone_upute_za_uporabu

Apple_ipad_user_guide_ta

Apple_iPod_touch_User_Guide

apple_earpods_user_guide

apple_iphone_gebruikershandleiding

apple_iphone_5_info

apple_iphone_brukerhandbok

apple_apple_tv_3rd_gen_setup_tw

apple_macbook_pro-retina-mid-2012-important_product_info_ch

apple_Macintosh-User-s-Guide-for-Macintosh-PowerBook-145

Apple_ipod_touch_user_guide_ta

Apple_TV_2nd_gen_Setup_Guide_h

Apple_ipod_touch_manual_del_usuario

Apple_iphone_4s_finger_tips_guide_tu

Apple_macbook_pro_retina_qs_th

Apple-Manuel_de_l'utilisateur_de_Final_Cut_Server

Apple-iMac_G5_de_lutilisateur

Apple-Cinema_Tools_4.0_User_Manual_F

Apple-Personal-LaserWriter300-User-s-Guide

Apple-QuickTake-100-User-s-Guide-for-Macintosh

Apple-User-s-Guide-Macintosh-LC-630-DOS-Compatible

Apple-iPhone_iOS3.1_User_Guide

Apple-iphone_4s_important_product_information_guide

Apple-iPod_shuffle_Features_Guide_F

Liste-documentation-apple

Apple-Premiers_contacts_avec_iMovie_08

Apple-macbook_pro-retina-mid-2012-important_product_info_br

Apple-macbook_pro-13-inch-mid-2012-important_product_info

Apple-macbook_air-11-inch_mid-2012-qs_br

Apple-Manuel_de_l_utilisateur_de_MainStage

Apple-Compressor_3_User_Manual_F

Apple-Color_1.0_User_Manual_F

Apple-guide_de_configuration_airport_express_4.2

Apple-TimeCapsule_SetupGuide

Apple-Instruments_et_effets_Logic_Express_8

Apple-Manuel_de_l_utilisateur_de_WaveBurner

Apple-Macmini_Guide_de_l'utilisateur

Apple-PowerMacG5_UserGuide

Disque dur, ATA parallèle Instructions de remplacement

Apple-final_cut_pro_x_logic_effects_ref_f

Apple-Leopard_Installationshandbok

Manuale Utente PowerBookG4

Apple-thunderbolt_display_getting_started_1e

Apple-Compressor-4-Benutzerhandbuch

Apple-macbook_air_11inch_mid2011_ug

Apple-macbook_air-mid-2012-important_product_info_j

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Apple-Manuel_de_l_utilisateur_d_Utilitaire_de_reponse_d_impulsion

Apple-Aperture_2_Raccourcis_clavier

AppleTV_Setup-Guide

Apple-livetype_2_user_manual_f

Apple-imacG5_17inch_harddrive

Apple-macbook_air_guide_de_l_utilisateur

Apple-MacBook_Early_2008_Guide_de_l_utilisateur

Apple-Keynote-2-Guide-de-l-utilisateur

Apple-PowerBook-User-s-Guide-for-PowerBook-computers

Apple-Macintosh-Performa-User-s-Guide-5200CD-and-5300CD

Apple-Macintosh-Performa-User-s-Guide

Apple-Workgroup-Server-Guide

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPad-User-Guide-For-iOS-5-1-Software

Apple-Boot-Camp-Guide-d-installation-et-de-configuration

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Power Mac G5 Guide de l’utilisateur APPLE

Guide de l'utilisateur PAGE '08 APPLE

Guide de l'utilisateur KEYNOTE '09 APPLE

Guide de l'Utilisateur KEYNOTE '3 APPLE

Guide de l'Utilisateur UTILITAIRE RAID

Guide de l'Utilisateur Logic Studio

Power Mac G5 Guide de l’utilisateur APPLE

Guide de l'utilisateur PAGE '08 APPLE

Guide de l'utilisateur KEYNOTE '09 APPLE

Guide de l'Utilisateur KEYNOTE '3 APPLE

Guide de l'Utilisateur UTILITAIRE RAID

Guide de l'Utilisateur Logic Studio

Guide de l’utilisateur ipad Pour le logiciel iOS 5.1

PowerBook G4 Premiers Contacts APPLE

Guide de l'Utilisateur iphone pour le logiciel ios 5.1 APPLE

Guide de l’utilisateur ipad Pour le logiciel iOS 4,3

Guide de l’utilisateur iPod nano 5ème génération

Guide de l'utilisateur iPod Touch 2.2 APPLE

Guide de l’utilisateur QuickTime 7  Mac OS X 10.3.9 et ultérieur Windows XP et Windows 2000

Guide de l'utilisateur MacBook 13 pouces Mi 2010

Guide de l’utilisateur iPhone (Pour les logiciels iOS 4.2 et 4.3)

Guide-de-l-utilisateur-iPod-touch-pour-le-logiciel-ios-4-3-APPLE

Guide-de-l-utilisateur-iPad-2-pour-le-logiciel-ios-4-3-APPLE

Guide de déploiement en entreprise iPhone OS

Guide-de-l-administrateur-Apple-Remote-Desktop-3-1

Guide-de-l-utilisateur-Apple-Xserve-Diagnostics-Version-3X103

Guide-de-configuration-AirPort-Extreme-802.11n-5e-Generation

Guide-de-configuration-AirPort-Extreme-802-11n-5e-Generation

Guide-de-l-utilisateur-Capteur-Nike-iPod

Guide-de-l-utilisateur-iMac-21-5-pouces-et-27-pouces-mi-2011-APPLE

Guide-de-l-utilisateur-Apple-Qadministrator-4

Guide-d-installation-Apple-TV-3-eme-generation

User-Guide-iPad-For-ios-5-1-Software

Compressor 4 ユーザーズマニュアルCopyright © 2012 Apple Inc. All rights reserved. 本ソフトウェアは同梱のソフトウェア使用許諾契約 書に記載の条件のもとでお使いください。 「Compressor」ソフトウェアの所有者または正規コ ピーの認定ユーザは、これらのソフトウェアの学習 の目的のために本書を複製することができます。複 製の販売や有料サポートサービスなどの商業的な目 的で、本書の一部または全部を複製または転載する ことはできません。 Apple ロゴは米国その他の国で登録された Apple Inc. の商標です。キーボードから入力可能な Apple ロゴ についても、これを Apple Inc. からの書面による事 前の許諾なしに商業的な目的で使用すると、連邦お よび州の商標法および不正競争防止法違反になる場 合があります。 本書には正確な情報を記載するように努めました。 ただし、誤植や制作上の誤記がないことを保証する ものではありません。 メモ: Apple では、システムソフトウェア、アプリ ケーション、およびインターネットサイトの新しい バージョンやアップデートを頻繁にリリースするた め、本書に記載されているイメージは、画面に表示 されているものとわずかに異なる場合があります。 Apple 1 Infinite Loop Cupertino, CA 95014 U.S.A. www.apple.com Apple Japan, Inc. 〒163-1480 東京都新宿区西新宿 3丁目 20 番 2 号 東京オペラシティタワー www.apple.com/jp Apple、Apple ロゴ、AppleScript、Apple TV、Bonjour、 DVD Studio Pro、Final Cut、Final Cut Pro、Finder、 FireWire、iPod、iTunes、Mac、Mac OS、QuickTime、 Shake、および Xsan は、米国その他の国で登録され た Apple Inc. の商標です。商標「iPhone」は、アイホ ン株式会社の許諾を受けて使用しています。 iPad および NetInfo は Apple Inc. の商標です。 AppleCare は、米国その他の国で登録された Apple Inc. のサービスマークです。 Dolby、ドルビー、Pro Logic、プロロジックおよびダ ブル D 記号はドルビーラボラトリーズの商標です。 非公開秘密著作物はドルビーラボラトリーズが所有 権を有します。© 1992–1997 Dolby Laboratories, Inc. All rights reserved. UNIX は The Open Group の登録商標です。 YouTube ロゴは Google Inc. の商標です。 本書に記載のその他の社名、商品名は、各社の商標 です。本書に記載の他社商品名は参考を目的とした ものであり、それらの製品の使用を強制あるいは推 奨するものではありません。また、Apple は他社商 品の性能または使用につきましては一切の責任を負 いません。 フィルム「Koffee House Mayhem」から引用した静止 画像は、Jean-Paul Bonjour のご好意により提供され ています。“Koffee House Mayhem” © 2004 Jean-Paul Bonjour All rights reserved. http://www.jeanpaulbonjour.com フィルム「A Sus Ordenes」から引用した静止画像は、 Eric Escobar のご好意により提供されています。“A Sus Ordenes” © 2004 Eric Escobar All rights reserved. http://www.kontentfilms.com序章 9 ようこそ Compressor へ 9 Compressor について 10 Compressor のマニュアルについて 10 追加リソース 第 1 章 13 クイックスタート 13 Compressor で使われる用語 14 簡単な Compressor ワークフロー：バッチテンプレートを使う方法 19 簡単な Compressor ワークフロー：手動による方法 26 バッチの実行前に実行できるその他のタスク 第 2 章 29 Compressor の用途 30 Compressor の一般的なシナリオ 31 Compressor の機能 第 3 章 35 トランスコードの基本的なワークフロー 35 Compressor の概念と用語 39 カスタム設定を使ってトランスコードのために Compressor を準備する 41 出力フォーマットを選択する 42 Compressor のバッチを作成する 44 トランスコード状況を表示する 45 作業を効率化するための Compressor のオプション 第 4 章 47 Compressor のインターフェイス 48 Compressor のウインドウとトランスコードのワークフロー 49 Compressor のレイアウトを作成する／管理する 52 Compressor ウインドウを使って作業する 56 バッチウインドウ 60 「設定」タブ 61 「書き出し先」タブ 62 「インスペクタ」ウインドウ 72 「履歴」ウインドウ 73 「プレビュー」ウインドウ 75 「Apple Qmaster 共有」ウインドウ 3 目次76 Share Monitor 77 「ドロップレット」ウインドウ 77 値およびタイムコードエントリーの変更について 79 キーボードショートカット 第 5 章 81 Compressor の環境設定を行う 81 Compressor の「環境設定」について 84 Compressor の環境設定を使う 第 6 章 87 ソースメディアファイルを読み込む 88 バッチウインドウについて 92 バッチにソースメディアファイルを追加してジョブを作成する 101 「インスペクタ」とソースメディアファイルを使う 104 ソースメディアファイルの読み込みのヒント 第 7 章 107 設定を作成する／プレビューする／変更する 108 「設定」タブについて 112 「インスペクタ」と設定を使う 113 設定を複製する 114 最初から設定を作成する 116 設定を検索する 116 設定をプレビューする 118 設定を削除する 119 設定のグループを作成する 120 設定を配布する／共有する 121 例：DVD のカスタムグループおよび設定を作成する 第 8 章 125 ジョブを完成する／バッチを実行する 125 設定を割り当てる 130 書き出し先を設定する 133 ジョブおよびターゲットの一般情報 135 バッチの一般情報 142 Final Cut Pro や Motion で Compressor を使う 144 Compressor で分散処理を使う 第 9 章 147 AIFF ファイルを作成する 147 AIFF 出力ファイルを作成する 148 AIFF エンコーダパネルについて 148 「サウンド設定」ダイアログについて 150 QuickTime オーディオのサンプルサイズおよびサンプルレート 150 配信用のオーディオコーデックを選択する 150 AIFF 設定を構成する 4 目次第 10 章 153 一般的なオーディオ・フォーマット・ファイルを作成する 153 一般的なオーディオ・フォーマット・ファイルを作成する 154 「一般的なオーディオフォーマット」パネルについて 155 一般的なオーディオフォーマットの設定を構成する 第 11 章 157 DV ストリームの出力ファイルを作成する 157 DV ストリームの「エンコーダ」パネルについて 158 DV トランスコーディングのワークフロー 第 12 章 159 Dolby Digital Professional の出力ファイルを作成する 160 Dolby Digital Professional の「エンコーダ」パネルについて 166 Dolby Digital Professional ファイルの作成についての一般情報 168 ステレオオーディオファイルを Dolby Digital Professional フォーマットに変換する 169 ファイルをサラウンドサウンド・チャンネルに割り当てる（手動） 172 ファイルをサラウンドサウンド・チャンネルに割り当てる（自動） ドロップレットを使ってファイルをサラウンドサウンド・チャンネルに割り当て る 174 174 空間的なミキシングのためのオプション 第 13 章 177 H.264（Apple デバイス用）出力ファイルを作成する 178 「H.264（Apple デバイス用）」の「エンコーダ」パネルについて 182 Apple デバイス用のチャプタマーカーと Podcast マーカー 182 アスペクト比（Apple デバイス用） 183 H.264 のワークフロー（Apple デバイス用） 183 H.264（Apple デバイス用）出力ファイルの設定を構成する 第 14 章 185 H.264（Blu-ray ディスク用）を作成する 186 「H.264（Blu-ray 用）」の「エンコーダ」パネルについて 188 H.264 のワークフロー（光学式ディスク用） 第 15 章 191 イメージシーケンスファイルを作成する 191 イメージシーケンス出力ファイルを作成する 192 イメージシーケンスの「エンコーダ」パネルについて 194 イメージシーケンスの設定を構成する 第 16 章 197 MP3 出力ファイルを作成する 197 MP3 の一般的な用途 198 MP3 の「エンコーダ」パネルについて 200 MP3 のトランスコーディングのワークフロー 第 17 章 201 MPEG-1 出力ファイルを作成する 201 MPEG-1 の一般的な用途 202 MPEG-1 の仕様 目次 5203 MPEG-1 エンコーダパネルについて 204 MPEG-1 の「ビデオ」タブについて 206 MPEG-1 の「オーディオ」タブについて 207 システムストリームとエレメンタリーストリームについて 207 MPEG-1 トランスコードのワークフロー 208 MPEG-1 ファイルフォーマットを Web 用に設定する 210 MPEG-1 ファイルフォーマットを DVD 用に設定する 211 DVD 用 MPEG-1 ビデオ設定を作成する 213 DVD 用 MPEG-1 オーディオ設定を作成する 215 （オプション）「DVD 用 MPEG-1」のグループと書き出し先を作成する 第 18 章 217 MPEG-2 出力ファイルを作成する 217 標準精細度 MPEG-2 について 218 高精細度ソースと MPEG-2 について 219 エレメンタリーストリーム、転送ストリーム、プログラムストリームについて 220 MPEG-2 エンコーダパネルについて 232 MPEG-2 に関する参考情報 237 MPEG-2 トランスコードのワークフロー 244 MPEG-2 設定の例 第 19 章 245 MPEG-4 出力ファイルを作成する 246 MPEG-4 Part 2 について 247 MPEG-4 Part 2 の「エンコーダ」パネルについて 251 デフォルトの MPEG-4 Part 2 設定を使用する 252 MPEG-4 Part 2 設定をカスタマイズする 255 オーディオ Podcasting のワークフロー 258 設定およびプリセットを追加する 第 20 章 259 QuickTime 書き出しコンポーネントファイルを作成する 259 QuickTime 書き出しコンポーネント出力ファイルを作成する 260 QuickTime 書き出しコンポーネントプラグインをインストールする 260 iPod のプラグインについて 261 QuickTime 書き出しコンポーネントの「エンコーダ」パネルについて 261 書き出しコンポーネントの設定を構成する 第 21 章 263 QuickTime ムービー出力ファイルを作成する 263 QuickTime 出力ファイルを作成する 264 QuickTime ムービーの「エンコーダ」パネルについて 271 QuickTime トランスコーディングのワークフロー 275 コーデックについて 275 QuickTime ビデオコーデック 276 QuickTime オーディオコーデック 6 目次第 22 章 279 設定にフィルタを追加する 279 フィルタを使って作業する 281 「フィルタ」パネルについて 282 ビデオの「フィルタ」タブ 290 オーディオの「フィルタ」タブ 293 「カラー」タブ 293 設定にフィルタを追加する 第 23 章 297 フレームコントロールを使って作業する 297 「フレームコントロール」パネルについて 303 設定にフレームコントロールを追加する 304 デインターレース処理について 305 リバーステレシネについて 308 タイミング変更コントロールを使う 第 24 章 311 画角設定を追加する 311 クロップ、拡大／縮小、パディングを使って作業する 313 「画角設定」パネルについて 318 画角設定を調整する 第 25 章 321 アクションを追加する 321 ポスト・トランスコード・アクションを使って作業する 321 設定アクションを追加する 323 ジョブ操作を追加する 第 26 章 339 プレビューウインドウを使う 339 「プレビュー」ウインドウについて 346 クリップをプレビューする 352 プレビューウインドウでクリップの一部をトランスコードする 353 マーカーとポスターフレームを使って作業する 360 「プレビュー」ウインドウのキーボードショートカットについて 第 27 章 361 書き出し先を決める／変更する 362 「書き出し先」タブについて 363 「書き出し先」で「インスペクタ」を使う 364 書き出し先を決める 366 警告の三角マーク 366 書き出し先を削除する／複製する 第 28 章 369 ドロップレットを使う 370 ドロップレットを作成する 373 「ドロップレット」ウインドウについて 375 ドロップレットの設定を確認する 目次 7377 ドロップレットを使ってソースメディアファイルをトランスコードする 379 Compressor でドロップレットを使ってジョブと設定を作成する 380 ドロップレットのヒント 第 29 章 381 Apple Qmaster と分散処理 381 分散処理の基本 383 Apple Qmaster 分散処理システムの基本的なコンポーネント 391 「このコンピュータプラス」を使ったクイックスタート 393 QuickCluster を使ったクイックスタート 395 Apple Qmaster 分散処理システムのインターフェイス 402 Compressor の「Apple Qmaster 共有」ウインドウ 407 クラスタの全般的な情報 420 「Apple Qadministrator」でクラスタを作成する 422 「Shake」を使ってパートタイム分散処理を設定する 付録 A 427 キーボードショートカット 427 Compressor の一般的なキーボードショートカット 428 「プレビュー」ウインドウのキーボードショートカット 付録 B 431 問題を解決する 431 問題解決の手段 432 一般的な問題の解決策 433 AppleCare サポートに連絡する 付録 C 435 コマンドラインを使う 435 Compressor のジョブを実行するシェルコマンド 8 目次「Compressor」は、ビデオ圧縮処理に欠かせないツールです。圧縮を、短時間 で、効率よく、簡単に実行でき、圧縮設定や出力フォーマットも豊富に用意され ています。 この序章では以下の内容について説明します： • Compressor について (ページ 9) • Compressor のマニュアルについて (ページ 10) • 追加リソース (ページ 10) Compressor について 「Compressor」は、DVD オーサリング、ストリーミングメディアサーバ、および ワイヤレスデバイス用の最終デジタルコンテンツを、高いパフォーマンスで、し かも高いレベルで操作したいと考える、ビデオのポストプロダクション技術者や 圧縮技術者を対象としています。 「Compressor」は、サイズ変更、クロップ、イメージ処理、エンコード、配信の ためのオプションに加えて、バッチ処理、VBR オプション、および H.264 エン コードの機能を備えています。ドロップレットと AppleScript を使ったり、トラ ンスコード設定を指定および保存したり、フィルタを使ったり、書き出し先を指 定したりすることもできます。「Compressor」には、Apple デバイス、DVD、 Web、CD、およびキオスク用のさまざまな出力フォーマットも用意されていま す。 重要： 「Compressor 4」は、「Final Cut Pro X」以降および「Motion 5」以降と密 接に連携するように設計されており、「Compressor へ送信」機能を使用するた めに必要です。このドキュメントで「Final Cut Pro」、「Motion」に言及する場合 は、すべてこれらのバージョンを指しています。 9 ようこそ Compressor へ 序章Compressor のマニュアルについて 「Compressor」には、作業の開始に役立つ書類や、アプリケーションに関する詳 しい情報を提供する書類など、さまざまな書類が付属しています。 （「Compressor」のオンスクリーンヘルプを利用するには、「Compressor」を開 いて、「ヘルプ」＞「Compressor ヘルプ」と選択します。） • 「Compressor ユーザーズマニュアル」： この総合的なマニュアルでは、 「Compressor」のインターフェイス、コマンド、メニューと、「Compressor」 を使用して特定のタスクを実行するための手順を 1 つずつ説明しています。 Apple Qmaster 分散処理システムを設定してトランスコードおよびレンダリン グの効率を高める方法についても説明しています。これは、すべての経験レベ ルのユーザを対象に書かれています。 • Apple Qadministrator ユーザーズマニュアル： このドキュメントは、Apple Qmaster 分散処理システムで使用するクラスタを手動で設定および管理する方法につい て説明しています。 • Apple Qmaster ユーザーズマニュアル： このドキュメントは、「Apple Qmaster」 をクライアントとして使用して、「Shake」、「Maya」などのアプリケーショ ンからのレンダリングジョブを分散処理システムで実行する方法について説明 しています。 • Share Monitor ユーザーズマニュアル： このドキュメントは、「Share Monitor」 を使ってバッチおよびジョブのトランスコーディングの進行状況をモニタする 方法について簡単に説明しています。 追加リソース 「Compressor」に付属のマニュアルに加えて、「Compressor」についてさらに詳 しく調べることができるさまざまなリソースがほかにもあります。 Compressor Web サイト 「Compressor」についての一般情報やアップデート、最新情報について知りたい 場合は、次をご覧ください。 • http://www.apple.com/jp/finalcutpro/compressor Apple のサービスおよびサポート Web サイト Appleの製品についてのソフトウェア・アップデートや、よくある質問の回答に ついては、Appleの一般的なサポート Web ページをご覧ください。製品仕様、参 考文書、および Apple と他社製品の技術情報にもアクセスできます。 • http://www.apple.com/jp/support 10 序章 ようこそ Compressor へ「Compressor」についてのソフトウェア・アップデート、マニュアル、ディス カッションフォーラム、およびよくある質問の回答については、次をご覧くださ い。 • http://www.apple.com/jp/support/compressor 序章 ようこそ Compressor へ 11「Compressor」には、トランスコードをすぐに開始できるように、多数の定義済 み設定が含まれています。1つまたは複数のソースメディアファイルがあり、構 成済みの「Compressor」のバッチテンプレートまたは設定と書き出し先がトラン スコーディングの要件に適していれば、「Compressor」のインストール後ただち にメディアファイルのトランスコードを開始できます。 この章では以下の内容について説明します： • Compressor で使われる用語 (ページ 13) • 簡単な Compressor ワークフロー：バッチテンプレートを使う方法 (ページ 14) • 簡単な Compressor ワークフロー：手動による方法 (ページ 19) • バッチの実行前に実行できるその他のタスク (ページ 26) Compressor で使われる用語 「Compressor」では、以下の用語が使われます。実際に作業に取り掛かる前に、 これらの用語を理解しておいてください。 バッチは、トランスコードプロセスの中心となるものです。1 つまたは複数の ソースメディアファイルからなり、これらのファイルが別のフォーマットへ変換 またはトランスコードする対象になります。ソースメディアファイルごとに、固 有のジョブが作成されます。言い換えると、1つのバッチに複数のジョブを取り 込むことができ、それぞれのジョブは固有のソースメディアファイルがベースと なります。 また、ジョブにはそれぞれ少なくとも 1 つのターゲットがあります。ターゲット は、トランスコード処理でどのような種類の出力ファイルが作成されるか、およ びそのファイルをどこに置くかを定義します。1つのジョブに複数のターゲット を割り当てることができ、それぞれ異なるフォーマットで複数の出力ファイルを 簡単に作成できます。 13 クイックスタート 1各ターゲットは以下の 3 つの部分から構成されます。 • 設定： ターゲットの設定部分では、使用されるエンコーダフォーマットを含 むトランスコード処理をはじめ、各種のフィルタや画角設定の属性を定義しま す。 • 書き出し先： ターゲットの書き出し先部分では、出力ファイルの保存先を定 義します。また、出力ファイル名を作成するために使われる規則も定義しま す。「Compressor」には、デフォルトの書き出し先を指定する環境設定もあり ます。 • 出力ファイル名： 書き出し先に基づいて生成された名前を何らかの理由で使 用したくない場合に、ターゲットの出力ファイル名部分を編集できます。 メモ: ジョブをトランスコードするには、その前に少なくとも 1 つの設定を割り 当てる必要があります。 独自に設定を作成したい場合、または「Compressor」に用意されている設定を変 更したい場合は、トランスコードの基本的なワークフローおよび設定を作成する ／プレビューする／変更するを参照してください。 簡単な Compressor ワークフロー：バッチテンプレートを 使う方法 バッチテンプレートを使うと、トランスコードのワークフローが簡単かつ迅速に なります。次のワークフローは、「Compressor」でバッチテンプレートを使う簡 単な方法を示しています。 • ステージ 1: バッチテンプレートを選択する • ステージ 2: ソース・メディア・ファイルを追加する • ステージ 3: バッチを実行する • ステージ 4: ポスト・トランスコード・アクションを使う • ステージ 5: カスタムのバッチテンプレートを保存する（オプション） ステージ 1: バッチテンプレートを選択する 「Compressor」でこのワークフローを使うには、バッチテンプレートを選択する 必要があります。 「Compressor」を開いてバッチテンプレートを選択するには 1 「アプリケーション」フォルダ内の Compressor アイコンをダブルクリックしま す。 「Compressor」は、バッチ・テンプレート・セレクタと、PlaceHolder ジョブで名 称の設定されていない空のバッチを開きます。 14 第 1 章 クイックスタートメモ: バッチ・テンプレート・セレクタは、前に「今後このダイアログを表示し ない」チェックボックスを選択したか、「Compressor」の環境設定で「空のテン プレートを使用」を選択した場合は表示されません。バッチの新規作成時にバッ チ・テンプレート・セレクタを表示するようにするには、「Compressor」の環境 設定で「テンプレートセレクタ・ダイアログボックスを表示」を選択します。そ うする代わりに、「ファイル」＞「テンプレートから新規バッチを作成」と選択 して、バッチの新規作成時にバッチ・テンプレート・セレクタを表示することも できます。 バッチ・テンプレート・セレクタには、Appleの標準バッチテンプレート（手順 2 で説明します）のオプションが含まれています。 カスタムのバッチテンプレートを追加することもできます。詳細については、 「カスタム・バッチ・テンプレートを作成する」を参照してください。 メモ: このマニュアルの図と同じような構成の Compressor インターフェイスを表 示するには、「ウインドウ」メニューの「レイアウト」サブメニューから標準レ イアウトを選択します。 第 1 章 クイックスタート 152 バッチ・テンプレート・セレクタでいずれかのオプションをクリックして選択し ます。 Apple の標準バッチテンプレートのリストを以下に示します。 • オーディオ Podcast を作成： Podcasting に適した AAC オーディオファイルを作 成して iTunes ライブラリに追加する場合は、このテンプレートを使います。 • Blu-ray ディスクを作成： BD H.264 ビデオおよび Dolby Digital Professional（.ac3） オーディオファイルを作成して、それらのファイルから自動的に Blu-ray ディ スクまたは AVCHD ディスクを作成する場合は、このテンプレートを使います （AVCHD ディスクは、AVCHD フォーマットと互換性のある Blu-ray ディスクプ レーヤーで再生できます）。 • DVD を作成： MPEG-2（.m2v）ビデオと Dolby Digital Professional（.ac3）オー ディオを使って標準精細度の DVD を作成して自動的にディスクにする場合は、 このテンプレートを使います。 • HTTP ライブストリーミング： このテンプレートでは、一般的なサーバを使っ てムービーを iPhone、iPad、iPod touch、Mac にストリーミングするためのファ イルのセットを作成できます。 • Apple TV に公開： Apple TV での視聴に適したビデオファイルを作成して iTunes ライブラリに追加する場合は、このテンプレートを使います。 • YouTube に公開： YouTube での視聴に適したビデオファイルを作成して YouTube アカウントにアップロードする場合は、このテンプレートを使います。 メモ: テンプレートの選択は、作成する出力メディアファイルの使用目的に基づ いて行ってください。目的のワークフローに適したテンプレートが見つからない 場合は、手動で行うことができます。詳細については、簡単な Compressor ワー クフロー：手動による方法を参照してください。カスタムテンプレートの作成に ついては、「カスタム・バッチ・テンプレートを作成する」を参照してくださ い。 3 「選択」をクリックします。 16 第 1 章 クイックスタートPlaceHolder ジョブにターゲットが適用されます。ターゲットには、適切なトラ ンスコード設定（選択したテンプレートに基づいています）、デフォルトの書き 出し先（「ソース」）、および提案された出力ファイル名（ソースファイル名と 適用された設定の名前に基づいています）が含まれます。 デフォルトでは、バッチテンプレートでエンコードされたファイルの書き出し先 として「ソース」（ソース・メディア・ファイルの元の場所と同じフォルダ）が 使用されます。ほかの書き出し先を選択する方法については、「書き出し先を決 める／変更する」を参照してください。 ステージ 2: ソース・メディア・ファイルを追加する ソースファイルを Finder またはデスクトップから「バッチ」ウインドウの PlaceHolder ジョブにドラッグします。 メモ: バッチテンプレートに含まれるジョブは 1 つだけなので、ドラッグできる ソースファイルは 1 つだけです。ジョブにファイルを複数ドラッグした場合、最 後のファイルだけがこのジョブに追加され、それ以外のファイルはすべて無視さ れます。 ステージ 3: バッチを実行する ジョブにソース・メディア・ファイル、設定、書き出し先、および出力ファイル 名を含めたら、処理の準備が整います。 バッチを実行して処理を行う µ 「実行」ボタンをクリックして、ジョブを含むバッチを実行します。 第 1 章 クイックスタート 17ダイアログが表示され、この実行に名前を付け、分散処理を使用するかどうかを 選択して、この実行の優先順位を設定できます。ほとんどの場合、設定はそのま まで、「実行」をクリックできます。 この「実行」ダイアログの詳細については、バッチを実行するを参照してくださ い。 バッチを実行すると、「Compressor」の「履歴」ウインドウまたは「Share Monitor」アプリケーションを開いて、バッチのトランスコーディングの進行状 況をモニタできます。「Compressor」の環境設定で、「Share Monitor」を自動的 に開くように設定することもできます。 ステージ 4: ポスト・トランスコード・アクションを使う ほとんどすべてのバッチテンプレートには、トランスコード後の自動アクション が含まれています。これらのバッチテンプレートを使ったジョブの 1 つを出力メ ディアファイルにトランスコードすることが完了すると、YouTube アカウントへ のファイルのアップロード、Automatorワークフローの実行、DVDの作成などの 対応する自動アクションが実行されます。 このようなジョブアクションの詳細については、「ジョブ操作」タブおよびアク ションを追加するを参照してください。 以下のリストに、「Compressor」のバッチテンプレートごとにトランスコード後 のデフォルトのジョブアクションを示します。 • オーディオ Podcast を作成： iTunes ライブラリへ追加します。 • Blu-ray ディスクを作成： Blu-ray ディスクを作成します。 • DVD を作成： DVD を作成します。 • HTTP ライブストリーミング： HTTP ライブストリーミングの準備をします。 • Apple TV に公開： iTunes ライブラリへ追加します。 • YouTube に公開： YouTube に公開します。 18 第 1 章 クイックスタートステージ 5: カスタムのバッチテンプレートを保存する（オプショ ン） カスタムテンプレートを作成する手順（オプション）については、「カスタム・ バッチ・テンプレートを作成する」を参照してください。 簡単な Compressor ワークフロー：手動による方法 次のワークフローは、「Compressor」で手動でバッチをビルドおよび処理する簡 単な方法を示しています。 • ステージ 1: ソース・メディア・ファイルを追加する • ステージ 2: 設定と書き出し先を割り当てる • ステージ 3: バッチを実行する ステージ 1: ソース・メディア・ファイルを追加する 「Compressor」を使用するには、まずソース・メディア・ファイルを「バッチ」 ウインドウに追加する必要があります。 「Compressor」を開いてソース・メディア・ファイルを「バッチ」ウインドウに 追加するには 1 「アプリケーション」フォルダ内の Compressor アイコンをダブルクリックしま す。 「Compressor」は、バッチ・テンプレート・セレクタと、PlaceHolder ジョブで名 称の設定されていない空のバッチを開きます。 2 このワークフローは、バッチテンプレートを使う方法ではなく手動による方法に 焦点を当てているので、バッチ・テンプレート・セレクタの「キャンセル」をク リックして閉じます。 第 1 章 クイックスタート 19今後バッチ・テンプレート・セレクタが開かないようにするには、「今後このダ イアログを表示しない」を選択するか、「Compressor」の環境設定で「空のテン プレートを使用」を選択します。 バッチテンプレートを使う方法については、簡単な Compressor ワークフロー： バッチテンプレートを使う方法を参照してください。 下の図は、Compressor インターフェイスの残りのウインドウを示しています。 メモ: 上図と同じような構成の Compressor インターフェイスを表示するには、 「ウインドウ」メニューの「レイアウト」サブメニューから標準レイアウトを選 択します。 3 1つ以上のソースファイルを Finderまたはデスクトップから「バッチ」ウインド ウの空の領域（この例では、空のジョブのすぐ下）にドラッグします。 メモ: 空のジョブにファイルを複数ドラッグした場合、最後のファイルだけがこ のジョブに追加され、それ以外のファイルはすべて無視されます。 20 第 1 章 クイックスタートバッチにドラッグしたソースファイルごとに、新しいジョブが作成されます。 Each source file creates a job in the batch. Target area (empty in this case) of a job 「バッチ」ウインドウのコントロールの詳細については、バッチウインドウにつ いてを参照してください。 ステージ 2: 設定と書き出し先を割り当てる バッチを実行する前に、各ソースメディアファイルのジョブに設定を最低 1 つず つ割り当てる必要があります。1 つのジョブに複数の設定を割り当てて、複数 バージョンのメディアファイルをトランスコードすることもできます。設定と書 き出し先の各ペアを、「Compressor」ではターゲットと呼びます。 第 1 章 クイックスタート 21設定と書き出し先をジョブに割り当てるには 1 以下のいずれかの方法で、ソースメディアファイルのジョブの設定を選択しま す。 • 複数のジョブにそれぞれ異なる設定を割り当てるには： 「設定」タブから 「バッチ」ウインドウの個々のジョブに設定をドラッグします。 Select one or more (two in this case) settings to apply to the job. A job with a source media file in the Batch window • 複数のジョブを指定して同じ設定を割り当てるには： 「バッチ」ウインドウ でジョブ（ソースメディアファイル）を選択し、「ターゲット」＞「設定を 使って新規ターゲットを作成」と選択します。「バッチ」ウインドウ上に設定 を選択するよう求めるダイアログが開きます。 22 第 1 章 クイックスタートClick Add to assign the settings to the selected jobs. Select the settings to apply to the selected jobs. Select the jobs in the Batch window. 1 つまたは複数の設定を選択して、「追加」をクリックします。開閉用三角ボ タンを使用すると、個々の設定を表示できます。選択した設定が、選択した ジョブすべてに割り当てられます。 New targets are added for each setting you drag to the job. また、設定を適用する前に、「編集」＞「すべてを選択」と選択して、すべて のジョブを選択することもできます。設定の詳細については設定を作成する／ プレビューする／変更するを、ジョブおよびターゲットを使って作業する場合 の詳細についてはジョブを完成する／バッチを実行するをそれぞれ参照してく ださい。 次に、書き出し先フォルダを設定します。デフォルトの書き出し先は「ソー ス」フォルダ、つまりソースファイルがあるのと同じフォルダです。書き出し 先は変更できます。会社の規則に合わせたり、高速な大容量ハードディスクを 指定したりできます。 第 1 章 クイックスタート 23メモ: 「Compressor」の「環境設定」ウインドウからデフォルトの書き出し先 を選択することもできます。詳細については、Compressor の環境設定を行うを 参照してください。 単一のターゲットごと、または複数のターゲットのグループごとに、書き出し 先を設定することができます。 2 以下のいずれかの方法でジョブのターゲットの書き出し先を選択します。 • 何も操作をしない： 「書き出し先」欄で指定したデフォルトの書き出し先 「ソース」（ソースメディアファイルの元のフォルダ）を使用します。 • ターゲットのショートカットメニューを使って、一度に 1 つずつ設定を変更す る： Control キーを押したまま変更したいターゲットをクリックして、「書き 出し先」サブメニューにすでに提供されている書き出し先から目的のものを選 択します。 Use the target’s shortcut menu to change the destination for the selected targets. また、ショートカットメニューから「その他」を選択して、ダイアログを開き、 コンピュータで使用可能な場所を書き出し先として選択することもできます。 メモ: 「その他」を選択すると、マウントされている開いているボリュームを含 めて、現在デスクトップからアクセスできる場所を選択できます。ただし、この ボリュームはバッチのトランスコードが完了するまで開いている必要がありま す。 複数のターゲットを選択して、同じメソッドを使用して一度にすべての書き出し 先を変更することができます。また、ターゲットのショートカットメニューの 「書き出し先」サブメニューを使って書き出し先を選択したり、「書き出し先」 タブからターゲットに書き出し先をドラッグしたりすることもできます。 書き出し先の詳細については、書き出し先を決める／変更するを参照してくださ い。 3 「ファイル」＞「保存」と選択して、バッチに名前を付け、保存することができ ます。 ステージ 3: バッチを実行する 各メディアファイルに少なくとも 1 つの設定と書き出し先を関連付けると、その ファイルはジョブとして認識され、バッチを実行する準備が整います。 24 第 1 章 クイックスタートバッチを実行して処理を行うには µ 「実行」をクリックします。 ダイアログが表示され、この実行に名前を付け、分散処理を使用するかどうかを 選択して、この実行の優先順位を設定できます。ほとんどの場合、設定はそのま まで、「実行」をクリックできます。 この「実行」ダイアログの詳細については、バッチを実行するを参照してくださ い。 バッチを実行すると、「Share Monitor」を開いて、バッチのトランスコーディン グの進行状況をモニタできます。「Share Monitor」を自動的に開くように、 「Compressor」の「環境設定」ウインドウで設定することもできます。 メモ: 「Share Monitor」を開くには、Dock にある「Share Monitor」アイコンをダ ブルクリックするか、「バッチ」ウインドウ内のアイコンをクリックします。 第 1 章 クイックスタート 25「履歴」ウインドウでもエンコーディングの進行状況をモニタできます。 ジョブとバッチの詳細については、ジョブを完成する／バッチを実行するを参照 してください。 バッチの実行前に実行できるその他のタスク 前のセクションで説明した 3 つの段階は、最もすばやくメディアファイルをトラ ンスコードする方法です。この方法でも構成済みの設定を変更することはできま すが、ファイルをプレビューしたり、設定を微調整したりすることはできませ ん。 以下の章では、ジョブの実行前に設定について実行できる操作について説明して います： • 設定を作成する／プレビューする／変更する • ジョブを完成する／バッチを実行する • 設定にフィルタを追加する • フレームコントロールを使って作業する • 画角設定を追加する • アクションを追加する • プレビューウインドウを使う • 書き出し先を決める／変更する 以下の章では、出力形式設定とさまざまなトランスコードオプションについて詳 しく説明しています： • AIFF ファイルを作成する • 一般的なオーディオ・フォーマット・ファイルを作成する • DV ストリームの出力ファイルを作成する • Dolby Digital Professional の出力ファイルを作成する • H.264（Apple デバイス用）出力ファイルを作成する • H.264（Blu-ray ディスク用）を作成する • イメージシーケンスファイルを作成する 26 第 1 章 クイックスタート• MP3 出力ファイルを作成する • MPEG-1 出力ファイルを作成する • MPEG-2 出力ファイルを作成する • MPEG-4 出力ファイルを作成する • QuickTime 書き出しコンポーネントファイルを作成する • QuickTime ムービー出力ファイルを作成する 第 1 章 クイックスタート 27「Compressor」は強力で柔軟性のあるツールで、さまざまな用途で使って目的の 結果を達成することができます。 この章では以下の内容について説明します： • Compressor の一般的なシナリオ (ページ 30) • Compressor の機能 (ページ 31) 29 Compressor の用途 2Compressor の一般的なシナリオ 以下に「Compressor」の一般的なシナリオを示します。 • ソースメディアを 1 つまたは複数の異なる出力フォーマットに変換する： 「Compressor」を使うと、元のメディアファイルを、1 つまたは複数の異なる 出力フォーマットに変換できます。詳細については、簡単な Compressor ワー クフロー：手動による方法を参照してください。 Apple TV DVD video CD-ROM iPhone iPad iPod iTunes H.264 MP3 AC-3 MP3 MPEG-1 MPEG-4 QuickTime AC-3 AIFF H.264 MPEG-1 MPEG-2 AIFF MP3 QuickTime Blu-ray Disc H.264 AC-3 Source media or Final Cut Pro project To web QuickTime movie (for broadband and lowband) • シーケンスまたはクリップをほかのアプリケーションから直接、1 つまたは複 数のフォーマットで書き出す： 「Compressor」を使うと、「Final Cut Pro」な ど、ほかのアプリケーション内で、シーケンスやクリップを 1つまたは複数の 異なるファイルフォーマットに変換できます。ワークフローの詳細について は、「プロジェクトをトランスコード用に実行する」を参照してください。 「Final Cut Pro」および「Motion」とのこうした統合により、トランスコード （オリジナルのファイルフォーマットを変換して、配布メディアに適した別の フォーマットのファイルに出力する処理）がますます短時間で簡単に行えるよ うになりました。また、処理前に中間のメディアファイルを書き出す必要がな いのでハードディスク容量も節約できます。「Compressor」では作業のほとん どをほかのアプリケーションのビデオ処理テクノロジーを利用して行うため、 エンコードするイメージの画質が大幅に向上し、圧縮と展開の繰り返しによっ て生じる画質の劣化も回避できます。 30 第 2 章 Compressor の用途• DVD規格準拠のファイルを作成する： 既存のメディアファイルを DVD プロジェ クトに変換する前に、ビデオを MPEG-1（SD プロジェクト専用）、MPEG-2（SD および HD プロジェクト）、または H.264（HD プロジェクト専用）ファイルに 変換する必要があります。「Compressor」を使用すると、オーディオを Dolby Digital Professional（別名 AC-3）フォーマットにエンコードすることができま す。Dolby Digital Professional は、DVD ビデオディスクに採用される最も一般的 な圧縮オーディオフォーマットの 1 つです。「Compressor」はまた、次の 2 つ の特別な状況にも対応しています。 • 高精細度（HD）のソースを「Final Cut Pro」で編集して標準精細度（SD）の DVDを作成する場合のために、「Compressor」には高画質のダウンコンバー ト機能が用意されています。解像度が 1080i または 720p の HD ソースでは、 高画質のトランスコード処理を使用して SD MPEG-2ビデオ出力ファイルを作 成します。 • DVD になるべく長時間のビデオを収める必要があり、ブロードキャストに適 した品質でなくてもよい場合のために、「Compressor」には、DVDビデオ互 換の MPEG-1 フォーマットファイルを書き出す機能が用意されています。 Compressor の機能 「Compressor」はスタンドアロンのアプリケーションとして使用することも、 「Final Cut Pro」など、ほかのアプリケーションのワークフローに統合すること もできます。このため、「Compressor」は「Final Cut Pro」とまったく同じソース メディアファイルタイプに対応しています。「Compressor」には以下の機能が用 意されています。 • バッチ処理： 1つのソースメディアファイルから、効率よく複数の出力ファイ ルを作成できます。 • VBR オプション： MPEG-2 エンコーダを使用して、出力ファイルに 1 パスまた は 2 パスの可変ビットレート（VBR）を設定できます。この VBR の設定により、 ビデオファイルの画質が変化します。 • H.264エンコーディング： H.264 は、携帯電話から高精度（HD）DVD まで、あ らゆるメディアのビデオを高い品質と低いデータレートで作成できるエンコー ドフォーマットです。H.264 は特に Apple の QuickTime メディアプレーヤーに 適しています。「Compressor」には、Blu-ray ディスク、iTunes、iPhone、iPad、 iPod、Apple TV 向けに特化した H.264 フォーマットがあります。 • ドロップレット： このスタンドアロンのアプリケーションを使って、デスク トップからのドラッグ＆ドロップで、簡単にトランスコード操作を行うことが できます。ドロップレットは、いったん作成すれば、後は「Compressor」を開 かなくても使用でき、トランスコード処理を自動で簡単に実行できるようにな ります。 第 2 章 Compressor の用途 31• 設定： 「設定」には、トランスコードに必要なファイルフォーマット、フィ ルタ、ジオメトリがすべて含まれています。このオプションでは、Apple から 提供された設定のカスタマイズや変更もでき、新規の設定を作成することも可 能です。特殊な設定を組み込んだライブラリを作成し、再利用することができ ます。 • フィルタ： 「Compressor」の豊富なフィルタを使えば、ソースメディアをほ かのフォーマットに変換する際に、瞬時に芸術的なタッチを加えて、思った通 りの作品を完成させることができます。フェードイン/フェードアウト、タイ ムコードオーバーレイ、ガンマ補正、ノイズ除去、レターボックス、ウォー ターマーク、カラー調整など、さまざまなフィルタが用意されています。さら に、ダイナミックレンジ、ピークレベル、イコライゼーション、フェードイン ／フェードアウトを制御するためのオーディオファイルもあります。 • プレビュー： フィルタ設定を「インスペクタ」ウインドウで調整しながら、 「プレビュー」ウインドウでリアルタイムでプレビューできます。このため、 満足のいくまで設定を微調整してから、ソースメディアファイルをトランス コードすることができます。 • 書き出し先： 出力ファイルの書き出し先を作成して保存しておくと、後で各 出力ファイルのターゲットに割り当てることができます。FTP および iDisk 位置 を書き出し先にすることもできます。書き出し先ごとに異なるファイル命名規 則を使用できます。 • ジオメトリ： 「インスペクタ」ウインドウのジオメトリコントロールおよび 「プレビュー」ウインドウのグラフィックコントロールを使用して、フレーム サイズを調整できます。この機能を使うと、ソースメディアファイルの不要な イメージ部位をクロップし、ファイルサイズを小さくすることができます。 「Compressor」では、イメージを 4:3、16:9、2.35:1 などのアスペクト比に変更 して、DVD や iPod などほかのプラットフォームに配信することもできます。 • パブリッシング： 「Compressor」を使って、DVD オーサリングのために出力 ファイルを QuickTime Streaming Server などにアップロードできます。 • AppleScript の使用： 出力ファイルに専用の AppleScript 情報を追加して、エン コード後の操作を柔軟に自動化したりカスタマイズしたりできます。 • 相互運用性： 「Compressor」は、「Final Cut Pro」や「Motion」など、プロユー ザを対象とした Apple のその他のビデオアプリケーションに欠かせないコン ポーネントです。たとえば、「Final Cut Pro」から直接「Compressor」にシーケ ンスを書き出してトランスコードすることができます。 • バックグラウンドでのトランスコード作業： 「Compressor」では、まずバッ チのトランスコードを開始してから、バックグラウンドで処理を続けるため、 ユーザは複数の作業を同時に行うことができます。 • 電子メールによる通知： 「Compressor」で電子メールによる通知設定を行え ば、どこにいてもバッチのトランスコードが終わったことが分かります。 32 第 2 章 Compressor の用途• 分散処理： 「Compressor」には分散処理機能があります。この機能を使用す ると、指定した複数のコンピュータに作業を分担させることができるため、よ り高い処理能力を得ることができます。分散処理機能を使用するには、 「Compressor」がインストールされたコンピュータを使用する必要がありま す。詳細については、「Apple Qmaster と分散処理」を参照してください。 • コマンドライン機能： 「Compressor」には、ジョブの実行、サービスノード とクラスタ・コントロール・サービスの有効化、およびバッチのモニタ機能に 関係するさまざまなコマンドラインオプションが用意されています。詳細につ いては、「コマンドラインを使う」を参照してください。 第 2 章 Compressor の用途 33「Compressor」を使うと、メディアをさまざまなフォーマットに簡単にトランス コードすることができます。加えて、「Compressor」は「Final Cut Pro」および 「Motion」に統合されています。 単純なまたは繰り返しの多いワークフローの場合は、「Final Cut Pro」および 「Motion」で「共有」機能を使うこともできます。「共有」機能は、トランス コード、配信用ファイルフォーマット、または FTP プロトコルに関する高度な知 識がなくても、クライアント、友達、およびその他の視聴者に作品を送信するた めの、「ワンクリック」の簡単な方法です。「Final Cut Pro」および「Motion」の 「共有」ウインドウから、追加のアプリケーションを開くことなく、iPhone、 iPad、iPod、Apple TV、DVD、Blu-ray ディスク、および YouTube の各フォーマッ トで、出力メディアファイルをすばやく作成および配信できます。「共有」機能 の詳細については、「 Final Cut Pro ユーザーズマニュアル 」および「 Motionユー ザーズマニュアル」を参照してください。 この章では以下の内容について説明します： • Compressor の概念と用語 (ページ 35) • カスタム設定を使ってトランスコードのために Compressor を準備する (ページ 39) • 出力フォーマットを選択する (ページ 41) • Compressor のバッチを作成する (ページ 42) • トランスコード状況を表示する (ページ 44) • 作業を効率化するための Compressor のオプション (ページ 45) Compressor の概念と用語 ここでは、「Compressor」を使うときによく出てくる用語について説明します。 35 トランスコードの基本的なワー クフロー 3下の図は、「Compressor」で実行される標準的なトランスコード処理の仕組みを 示しています。トランスコードにおける最大のコンポーネントをバッチと呼びま す。バッチとは、現在のメディアをトランスコードするために必要なすべてのコ ンポーネントのことです。バッチは 1 つまたは複数のジョブを含む必要がありま す。ジョブは 1つまたは複数のターゲットを持つ少なくとも 1つのソースメディ アファイルからなり、ソースメディアファイルにはそれぞれ設定と書き出し先が 割り当てられます。トランスコード処理の後、作成されるファイルを出力メディ アファイルと呼びます。ソースメディアファイルに割り当てた設定 1 つにつき、 出力メディアファイルが 1 つ作成されます。 下図の例では、バッチは 2 つのソースメディアファイルで構成され、各ソースメ ディアファイルはそれぞれ 2 つのターゲット（設定と書き出し先のセット）から なるジョブです。このバッチをトランスコードした結果、作成される出力ファイ ルの数は、4 つになります：ジョブ 1 から 2 つの出力メディアファイルが作成さ れ、ジョブ 2 からも同様に 2 つの出力ファイルが作成されます。 Job 2 Job1 Output media file (Job 1, Target 1) Output media file (Job 1, Target 2) Output media file (Job 2, Target 1) Output media file (Job 2, Target 2) Source media file 1 Source media file 2 Target 1 Setting Destination Target 2 Setting Destination Target 1 Setting Destination Target 2 Setting Destination Batch 以下の基本用語はよく理解しておいてください： • コーデック： COmpression/DECompression（圧縮／非圧縮）の略です。ソースメ ディアファイルのデータ量を減らすための数学的モデルです。 • ファイルフォーマット： ソースメディアファイルのトランスコードに使う出 力フォーマットです。 • グループ： 「設定」タブで表示される 1 つのフォルダに入れる、指定した設 定が含まれています。グループを使用することで、設定を整理し、ジョブ作成 処理を簡略化できます。 36 第 3 章 トランスコードの基本的なワークフロー• トランスコード： ファイルをオリジナルのフォーマットから別のフォーマッ トで配信可能な出力ファイルに変換する処理のことです。非常に関連性の深い 用語である圧縮は、単にデータの容量を減らすことを意味します。また、エン コードはトランスコードとほぼ同じ意味で使われますが、データフォーマット の変換処理だけを指すとは限りません。 • ソースメディアファイル： トランスコード処理は必ずソースメディアファイ ルから開始します。これは、オリジナルのファイルフォーマットを持つトラン スコード対象ファイルです。ソースメディアファイルは常に以下のいずれかに なります。 • ムービー： ビデオ、オーディオ、その他のデータ（マーカーなど）が含ま れます。 • 静止画像： ビデオ制作の種類によっては、静止画像をシーケンスの一部と して使用します。 • QuickTime： QuickTime は、クロスプラットフォームのマルチメディアテクノロ ジーであり、Mac OS および Windows のアプリケーションでビデオ、オーディ オ、および静止画像ファイルのキャプチャおよび再生を可能にします。QuickTime ファイルには、多数の異なる種類のメディアおよびコーデックを含めることが できます。コーデックは、メディアの再生方法を QuickTime に指示します。 第 3 章 トランスコードの基本的なワークフロー 37通常の「Compressor」のトランスコード処理は、以下のコンポーネントから構成 されています。 • 設定： ソースメディアファイルを読み込んだら、1 つまたは複数の設定を割り 当てる必要があります。設定とは、出力フォーマット、フィルタ、ジオメトリ を含むトランスコード属性の集合で、トランスコード処理の実行時にソースメ ディアファイルに適用されます。 • 出力（ファイル）フォーマット： ソースメディアファイル変換のために選 択するエンコーダです。出力フォーマットは、トランスコードしたメディア ファイルの再生方法や環境に基づいて、AIFF、Dolby Digital Professional、DV ストリーム、H.264（Apple デバイス用。iPhone、iPad、iPod、Apple TV で使う ための設定を含む）、イメージシーケンス（TIFFと TARGA イメージをサポー トする）、MPEG-1、MPEG-2、MPEG-4、QuickTime ムービー、QuickTime 書き 出しコンポーネントのいずれかを選択します。 • フィルタ： ファイルの圧縮後にビデオができるだけ高画質になるように、 色、明度、シャープネスなど、ビデオのさまざまな特性を調整できます。 • ジオメトリ： イメージのクロップや、イメージのフレームサイズ調整を行 います。 • アクション設定： トランスコード後の自動アクションを作成してジョブお よび設定に適用することができます。「Automator」を使って、簡単に出力 メディアファイルを作成および配信したり、メール通知を送信したり、トラ ンスコード後のタスクを実行したりできます。 • 書き出し先： ソースメディアファイルには書き出し先を割り当てる必要もあ ります。書き出し先とは、トランスコードしたメディアファイルが保存される 場所です。「ソース」と呼ばれるデフォルトの書き出し先（ソースメディア ファイルと同じフォルダ）を使用するか、またはいつでも確実にアクセスでき る場所を指定してください。また、「Compressor」の「環境設定」でデフォル トの書き出し先を変更することもできます。さらに、書き出し先によって、ト ランスコードしたメディアファイルの名前の付けかたも制御されます。 • ターゲット： 設定、書き出し先、出力ファイル名を含む出力メディアファイ ルを作成するための青写真です。 • ジョブ： ソースメディアファイルに 1 つまたは複数のターゲットを割り当て ると、そのファイルはジョブに変わり、いつでもトランスコードできる状態に なります。 • バッチ： バッチは、同時に処理される 1 つまたは複数のジョブで構成されま す。「実行」ボタンをクリックすると、バッチに含まれるすべてのジョブがま とめて実行されます。 38 第 3 章 トランスコードの基本的なワークフロー• 出力メディアファイル： バッチの実行、および処理後に作成される、トラン スコード済みのメディアファイルを、出力メディアファイルと呼びます。ソー スメディアファイルが正常にトランスコードされると、設定と書き出し先を 1 つずつ持つ出力メディアファイルが作成されます。バッチ内の複数のソースメ ディアファイルに別個の設定を適用すると、その数だけ出力メディアファイル が作成されます。 カスタム設定を使ってトランスコードのために Compressor を準備する 「Compressor」には、さまざまな構成済みの設定が用意されているので、すぐに トランスコードを開始できます。ソースメディアファイルをただちにトランス コードする必要があり、独自の設定を作成しなくてもよい場合は、簡単な Compressor ワークフロー：バッチテンプレートを使う方法の手順に従ってくだ さい。バッチテンプレートの中に目的のワークフローがないけれども、すぐにト ランスコードを開始したい場合は、簡単な Compressor ワークフロー：手動によ る方法の手順を試してみてください。 独自の設定と書き出し先を作成して、フィルタ、クロップ、フレームのサイズ変 更、アクション設定などの属性をカスタマイズしたい場合は、以下の手順に従っ てください。ここで作成するカスタム設定が、トランスコードを必要とするすべ ての場合に使用できるのであれば、この手順は一度実行するだけで済みます。た だし、トランスコーディングプロジェクトごとに異なる設定や書き出し先を作成 する必要がある場合は、そのつど、この手順を繰り返してください。 ステージ 1: 設定を作成する 「Compressor」に用意された構成済みの設定またはバッチテンプレートを使用し ない場合は、独自の設定を作成する必要があります。その場合はまず、「設定」 タブで追加（+）ボタンをクリックし、「ファイルフォーマット」メニューから 出力フォーマットを選択します。詳細については、出力フォーマットを選択する を参照してください。また、フィルタ、ジオメトリ、およびトランスコード後の アクションを追加するオプションや、設定をプレビューして仕上がりを確認する オプションも用意されています。詳細については、最初から設定を作成するを参 照してください。 作成した設定をグループに分けて、ワークフローを効率化することもできます。 詳細については、設定のグループを作成するを参照してください。 設定を作成した後で、それをさらにカスタマイズしてフィルタ（画質の調整やレ ターボックスなどのエフェクトの追加を行う）やピクセルサイズ（ジオメトリ 値）、トランスコード後のアクションなどの設定を加えることもできます。これ らの追加設定はすべて「インスペクタ」ウインドウで行います。詳細について は、設定にフィルタを追加する、フレームコントロールを使って作業する、画角 設定を追加する、およびアクションを追加するを参照してください。 第 3 章 トランスコードの基本的なワークフロー 39ステージ 2: 設定をプレビューする バッチを実行する前に設定をプレビューしておくと、時間を有効に使うことがで きます。「プレビュー」ウインドウでプレビューを実行し、出力メディアファイ ルの品質が満足いくものかどうか確認してください。「プレビュー」ウインドウ の画面は 2 つに分かれており、一方ではオリジナルの形式によるソースメディア ファイルの内容、他方に出力メディアファイルの内容が表示されます。 「プレビュー」ウインドウでは、以下のいずれかを実行できます： • メディアファイルを再生する • 設定の効果を動的に（リアルタイムで）プレビューする • 設定プリセット内のフィルタ設定とジオメトリのエフェクトを変更する • ソースファイルまたは出力ファイルのバージョン間で設定エフェクトを比較す る • 出力ファイルのフレームサイズをクロップする • アスペクト比を変更する • さまざまなマーカー（圧縮、チャプタ、Podcast）を追加する メモ: 「フレームコントロール」設定は、「プレビュー」ウインドウでプレビュー できません。「フレームコントロール」設定をプレビューするには、ソース・メ ディア・ファイルの小さな一部分でテスト・トランスコードを実行します。（詳 細については、プレビューウインドウでクリップの一部をトランスコードするを 参照してください。） 詳細については、プレビューウインドウを使うまたは設定をプレビューするを参 照してください。 ステージ 3: 書き出し先を決める デフォルトでは、トランスコードされたファイルはソースメディアファイルと同 じフォルダ（「ソース」）に保存されます。トランスコードされたファイルを別 の場所に保存したい場合には、「書き出し先」タブで新しい書き出し先を作成で きます。このタブでは、ユーザがアクセス権を持つフォルダ、ボリューム、また はリモートサーバを書き出し先として選択できます。また、トランスコードした 出力ファイルにファイル識別子を追加することもできます。適切な書き出し先を いったん作成すれば、以降は「書き出し先」タブを再度開いて指定する必要はあ りません。 詳細については、書き出し先を決める／変更するを参照してください。 40 第 3 章 トランスコードの基本的なワークフロー出力フォーマットを選択する ソース・メディア・ファイルを別の出力フォーマットで圧縮する場合は、まず対 応する再生プラットフォーム（Apple デバイス、DVD、Web、CD、およびキオス ク）を選択する必要があります。プラットフォームを決定したら、そのプラット フォームに適切な出力フォーマットを選択します。 「Compressor」が提供する豊富なエンコーダを使えば、それぞれ固有の属性が設 定された、以下の業界標準フォーマットを含むあらゆるデジタル・ビデオ・フォー マットのソース・メディア・ファイルをトランスコードできます： • AIFF： 設定のカスタマイズが必要なオーディオ用（DVDまたは CDのオーサリ ングを含む）フォーマットです。AIFF フォーマットの詳細については、AIFF ファイルを作成するを参照してください。 • 一般的なオーディオフォーマット： ここから、AIFF、Apple CAF ファイル、 WAVE などの一般的なオーディオフォーマットを簡単に利用できます。詳細に ついては、「一般的なオーディオ・フォーマット・ファイルを作成する」を参 照してください。 • DV ストリーム： SD プロジェクトでよく使われるフォーマットです。詳細につ いては、DV ストリームの出力ファイルを作成するを参照してください。 • Dolby Digital Professional： AC-3 とも呼ばれます。通常、DVD のオーサリング時 に使用するフォーマットです。AC-3 フォーマットの詳細については、Dolby Digital Professional の出力ファイルを作成するを参照してください。 • H.264（Appleデバイス用）： iTunes、iPhone、iPad、iPod、Apple TV を使った再 生に最適のビデオファイルを作成できます。H.264（Apple デバイス用）フォー マットの詳細については、H.264（Apple デバイス用）出力ファイルを作成する を参照してください。 • H.264（Blu-ray 用）： 特に Blu-ray ディスク用に構成された H.264 設定を作成す るためのフォーマットです。H.264（Blu-ray ディスク用）フォーマットについ て詳しくは、「H.264（Blu-ray ディスク用）を作成する」を参照してください。 • イメージシーケンス： さまざまな合成およびイメージ処理アプリケーション に対応しています。詳細については、イメージシーケンスファイルを作成する を参照してください。 • MP3： オーディオ圧縮用のフォーマットです。MP3 フォーマットは、さまざま な再生デバイスと互換性があるオーディオファイルを作成します。MP3 フォー マットの詳細については、MP3 出力ファイルを作成するを参照してください。 • MPEG-1： インターネット、CD-ROM、および特別な DVD で使用するための フォーマットです。MPEG-1フォーマットの詳細については、MPEG-1出力ファ イルを作成するを参照してください。 • MPEG-2： 標準精細度および高精細度の DVDで再生するためのフォーマットで す。MPEG-2フォーマットの詳細については、MPEG-2出力ファイルを作成する を参照してください。 第 3 章 トランスコードの基本的なワークフロー 41• MPEG-4、Part-2： Web やワイヤレスデバイスなど、さまざまな用途に使用され るフォーマットです。MPEG-4 フォーマットの詳細については、MPEG-4 出力 ファイルを作成するを参照してください。 • QuickTime 書き出しコンポーネント： QuickTime のコンポーネント・プラグイ ン・アーキテクチャを利用することにより、Windows Media Player、RealPlayer、 3G、AVI などのさまざまなコーデックオプションや他社製フォーマットのファ イルを「Compressor」から出力できます。QuickTime は、特別なアプリケーショ ンを起動しなくても他社製フォーマットのエンコードを制御できる書き出しコ ンポーネント機能を備えています。QuickTime 書き出しコンポーネントの詳細 については、QuickTime 書き出しコンポーネント出力ファイルを作成するを参 照してください。 • QuickTime ムービー： さまざまな環境で QuickTime を使って再生するための フォーマットです。QuickTime はクロスプラットフォーム対応のマルチメディ アテクノロジーで、Mac OS および Windows アプリケーションでビデオ、オー ディオ、および静止画像のファイルを取り込んで再生できます。QuickTime フォーマットの詳細については、QuickTime ムービー出力ファイルを作成する を参照してください。 Compressor のバッチを作成する このセクションでは、「Compressor」の完全なバッチを手動で作成および実行す る手順について説明します。もっと迅速で簡単ですが制限がある方法について は、簡単な Compressor ワークフロー：バッチテンプレートを使う方法を参照し てください。 必要な設定と書き出し先を用意したら、トランスコードを実行するためのバッチ を作成します。バッチには 1 つまたは複数のジョブが含まれます。ジョブは、1 つまたは複数のターゲットからなる 1 つのソースメディアファイルで構成され、 設定と書き出し先が含まれます。 バッチ内の各ジョブ（ソースメディアファイル）に少なくとも 1 つのターゲット （設定と書き出し先）を割り当てないと、バッチを実行してトランスコードする ことはできません。バッチ内のすべてのジョブがまとめて実行されます。バッチ とは、保存して、クローズし、再度開くことができる書類のようなものです。 Final Cut Pro プロジェクトと同じように、「Compressor」のバッチはそれぞれ個 別のタブ（個々に切り離すことができます）内にあります。 ステージ 1: ソースメディアファイルを Compressor に読み込む ファイル選択ダイアログを使用するか、または Finder から「Compressor」の「バッ チ」ウインドウにファイルをドラッグして、ソースメディアファイルをバッチに 読み込みます。ソースメディアファイルは、アクセス可能なすべてのフォルダか ら読み込むことができます。 42 第 3 章 トランスコードの基本的なワークフロー詳細については、ソースメディアファイルを読み込むを参照してください。 ステージ 2: 設定を割り当てる ソースメディアファイルを「バッチ」ウインドウに読み込んだら、1つまたは複 数の設定を割り当てる必要があります。これによりソースメディアファイルが ジョブに変わります。設定を少なくとも 1 つ割り当てないと、ソースメディア ファイルをトランスコードできません。ソースメディアファイルに設定を追加す るには、構成済みの設定を選択するか、独自の設定を作成します。設定には出力 ファイルフォーマットを関連付ける必要があります。 • 構成済みの設定を選択する場合： 出力ファイルフォーマットはすでに割り当 てられています。 • 独自の設定を作成する場合： 「設定」タブで追加（+）ボタンをクリックし、 ファイル・フォーマット・メニューから出力ファイルフォーマットを選択する 必要があります。 1 つの設定を 1 ステップの操作で複数のジョブに割り当てることができます。そ のためには、「バッチ」ウインドウでジョブを選択して、「ターゲット」＞「設 定を使って新規ターゲットを作成」を選択すると表示されるダイアログから設定 をします。または、Control キーを押したまま、選択済みのいずれかのジョブを クリックして、表示されたショートカットメニューの「設定を使って新規ター ゲットを作成」サブメニューから設定を選択します。 よく使う設定（構成済みの設定またはカスタム設定）がある場合は、複数の設定 を含むドロップレットと呼ばれるスタンドアロンのアプリケーションを作成して ワークフローを効率化できます。ドロップレットを使えば、「Compressor」を開 かなくてもバッチを実行できます。詳細については、「設定」タブからドロップ レットを作成するを参照してください。 メモ: 設定のグループを作成しておくと、複数の設定をソースメディアファイル に簡単に割り当てることができます。詳細については、設定のグループを作成す るを参照してください。 ステージ 3: 「プレビュー」ウインドウで設定をプレビューする ソースメディアファイル、または設定を割り当てたソースメディアファイルをプ レビューできます。「プレビュー」ウインドウでは、設定内のフィルタやジオメ トリのエフェクトを動的に（リアルタイムで）プレビューし、変更することがで きます。また、メディアファイルの再生や、ソースや出力バージョンの表示も可 能です。さらに、出力ファイルのフレームサイズをクロップしたり、アスペクト 比を変更したり、MPEG-1、MPEG-2、H.264（Apple デバイス用）フォーマットに 関連するさまざまなマーカーを追加したりすることもできます。 詳細については、クリップをプレビューするまたは設定をプレビューするを参照 してください。 第 3 章 トランスコードの基本的なワークフロー 43ステージ 4: 書き出し先を割り当てる 各ターゲットに書き出し先を割り当てることで、出力メディアファイルを配置す る位置を選択できます。さらに、書き出し先によって、出力メディアファイルに どのような名前を付けるかといったさまざまな側面も定義されます。「書き出し 先」タブにいくつかの書き出し先が用意されているので、この中から目的のもの を選択できます。また、独自の書き出し先も作成できます。「書き出し先」タブ からジョブのターゲットにドラッグして書き出し先を割り当てるだけでなく、 「ターゲット」＞「書き出し先」メニューまたは Control キーを押したままター ゲットをクリックしたときに表示されるショートカットメニューを使用して、既 存の書き出し先をジョブに割り当てることもできます。また、上記の 2 つのメ ニューで「その他」を選択することで、書き出し先として定義されていない位置 を選択することもできます。 詳細については、ソースメディアファイルに書き出し先を割り当てるを参照して ください。 ステージ 5: バッチを実行してトランスコードする バッチに必要なすべてのジョブを作成し、設定と出力ファイルの品質をプレビュー で確認すると、バッチを実行する準備が整います。「バッチ」ウインドウの「実 行」ボタンをクリックして実行します。 メモ: 大きなバッチをトランスコードする場合、コンピュータのスクリーンセー バをオフにしてください。スクリーンセーバにリソースが奪われない分、トラン スコードの速度が改善します。 詳細については、バッチを実行するを参照してください。 トランスコード状況を表示する 「Share Monitor」と「履歴」ウインドウを使えば、実行したバッチとバッチ内の すべてのジョブについて現在の状況を確認できます。「Share Monitor」はスタン ドアロンのアプリケーションであるため、「Compressor」とドロップレットの両 方で使用できます。バッチを実行していなくても、また「Compressor」を開いて いなくても使用に差し支えありません。ドロップレットの詳細については、「設 定」タブからドロップレットを作成するを参照してください。 ステージ 1: バッチのトランスコード状況を表示する バッチを実行すると、「Share Monitor」を開いて、バッチのトランスコードの状 況をモニタできます。この機能は、バッチのトランスコード終了や、トランス コード処理中に発生する問題をモニタするために役立ちます。「Compressor」環 境設定で、「Share Monitor」を自動的に開くように設定できます。 詳しくは、「Compressorの環境設定を行う」および「Share Monitorユーザーズマ ニュアル」を参照してください。 44 第 3 章 トランスコードの基本的なワークフローまた、「Compressor」でも「履歴」ウインドウを表示できます。進行状況を示す バーが表示されると共に、「Share Monitor 」の場合と同じように、実行が正常に トランスコードされたかどうかが示されます。 ステージ 2: トランスコードの完了を確認する トランスコード後には、必ずメディアファイルの書き出し先フォルダを開き、メ ディアファイルが正常にトランスコードされて指定した場所に保存されているか どうか確認してください。 作業を効率化するための Compressor のオプション 「Compressor」はワークフローという要素に着目して設計されています。必要に 応じて、いろいろな方法で「Compressor」によるトランスコードのワークフロー を効率化してください。 構成済みの設定を使用する 「Compressor」には、さまざまな構成済み設定が用意されているので、すぐにト ランスコードを開始できます。構成済みの設定がトランスコードの要件に適した ものであれば、すぐにソースメディアファイルを処理できます。 詳細については、簡単な Compressor ワークフロー：手動による方法を参照して ください。 独自の設定を作成する必要がある場合でも、ターゲットに簡単に適用できるよう に、設定をグループ化することができます。詳細については、設定を作成する／ プレビューする／変更するを参照してください。 デフォルトの設定と書き出し先を使う 各ソースメディアファイルに同じ設定および書き出し先を適用することが分かっ ている場合は、目的の設定および書き出し先が自動的に適用されるように 「Compressor」の「環境設定」を設定できます。詳細については、Compressor の 環境設定を行うを参照してください。 ドロップレットを使って作業する ドロップレットを使用すれば、「Compressor」を開かなくても簡単に素材をトラ ンスコードできます。ドロップレットを作成するには、1つの設定、または複数 の設定と書き出し先のグループをアクティブなアイコンとして保存します。その アイコンに 1 つまたは複数のソースメディアファイルをドラッグすると、ドロッ プレットによってトランスコード処理が自動的に開始されます。 詳細については、「設定」タブからドロップレットを作成するを参照してくださ い。 第 3 章 トランスコードの基本的なワークフロー 45「Compressor」のインターフェイスは中心となるいくつかのウインドウから構成 され、トランスコード準備のほとんどはこれらウインドウ内で実行されます。 この章では以下の内容について説明します： • Compressor のウインドウとトランスコードのワークフロー (ページ 48) • Compressor のレイアウトを作成する／管理する (ページ 49) • Compressor ウインドウを使って作業する (ページ 52) • バッチウインドウ (ページ 56) • 「設定」タブ (ページ 60) • 「書き出し先」タブ (ページ 61) • 「インスペクタ」ウインドウ (ページ 62) • 「履歴」ウインドウ (ページ 72) • 「プレビュー」ウインドウ (ページ 73) • 「Apple Qmaster 共有」ウインドウ (ページ 75) • Share Monitor (ページ 76) • 「ドロップレット」ウインドウ (ページ 77) • 値およびタイムコードエントリーの変更について (ページ 77) • キーボードショートカット (ページ 79) 47 Compressorのインターフェイス 4Compressor のウインドウとトランスコードのワークフロー 「Compressor」のウインドウは、トランスコードのワークフローの作業別に用意 されています。 Settings and Destinations tabs Batch window Preview window History window Inspector window • 「バッチ」ウインドウ： ソースメディアファイルを読み込み、設定と書き出 し先を追加し、バッチに名前を付けることができます。 • 「設定」および「書き出し先」タブ： 「設定」タブでは、「Apple」設定と 「カスタム」設定をまとめて管理できます。「書き出し先」タブでは、書き出 し先の設定の作成／変更／削除、デフォルトの書き出し先の設定、出力メディ アファイル名へのファイル識別子の追加ができます。 • 「インスペクタ」ウインドウ： トランスコードの一般的なコントロールに簡 単にアクセスできます。また、各設定に含まれるすべての詳細設定が保存され た設定一覧テーブルも用意されています。また、「インスペクタ」ウインドウ でソースクリップについての情報を集め、「プレビュー」ウインドウを併用し て実際のエフェクトを確認しながら設定を変更することもできます。 • 「プレビュー」ウインドウ： ソースメディアファイルを元のフォーマットの ままで再生したり、設定を割り当てた場合の結果をプレビューしたりすること ができます。たとえば、フィルタの設定やフレームサイズの変更などのエフェ クトを確認できます。メディアファイルをリアルタイムでプレビューしなが ら、それらの属性を調整することができます。「プレビュー」ウインドウで は、さまざまな種類のマーカーを追加および表示することもできます。 48 第 4 章 Compressor のインターフェイス• 「履歴」ウインドウ： 「履歴」ウインドウでは、現在トランスコード中のバッ チの進捗状況を示すバーも含め、お使いのコンピュータで実行したすべての バッチの完全なログを表示し、ログにリストされているバッチを一時停止また は再実行できます。 • 「ドロップレット」ウインドウ（上の写真では表示されていません）： 1つま たは複数の設定や設定のグループをドロップレットに保存できます。各ドロッ プレットは独立したプリセットで、ドラッグ＆ドロップ操作に対応するアプリ ケーションに自動的に組み込まれ、アイコンとして保存されます。 • 「Share Monitor」（上の写真では表示されていません）： 処理中のすべての バッチの状況を表示できます。（詳細については、「Share Monitorユーザーズ マニュアル」を参照してください。） Compressor のレイアウトを作成する／管理する 「Compressor」を使用していくうちに、設定しているエンコーディングタスクに 応じて、「Compressor」の使い勝手が各種ウインドウの配置にいかに左右される かに気付くと思います。このため、「Compressor」には、レイアウトを設定およ び保存するための機能が用意されています。レイアウトによって、表示するウイ ンドウ、そのサイズや位置、「バッチ」ウインドウのツールバーに配置するアイ コンを定義します。 「Compressor」にはレイアウトが 2 つ用意されています。独自のレイアウトを作 成するための開始点を決めるのにこれらのレイアウトを使用できます。 メモ: レイアウトごとにいくつかのサイズが用意されているので、この中からモ ニタに最適なサイズを選択できます。これらのレイアウトのいずれかを変更し、 独自のレイアウトとして保存することができます。 第 4 章 Compressor のインターフェイス 49標準レイアウト 標準レイアウトでは、すべての「Compressor」ウインドウが表示され、「設定」 タブと「書き出し先」タブが 1 つのウインドウを共有しています。このレイアウ トは、トランスコードしているソースメディアファイルが 1 つの場合に適してい ます。 バッチレイアウト バッチレイアウトでは、「バッチ」ウインドウが重要です。このレイアウトは、 似たようなソースメディアファイルをいくつかトランスコードする場合に適して います。 レイアウトを選択する／保存する／管理する 「Compressor」では、レイアウトを簡単に選択できます。 50 第 4 章 Compressor のインターフェイスレイアウトを選択するには µ 「ウインドウ」＞「レイアウト」と選択し、表示されたリストからレイアウトを 選択します。 レイアウトを選択すると、それに合わせて「Compressor」インターフェイスが変 わります。 また、独自のレイアウトを作成して保存することもできます。 レイアウトを保存するには 1 「Compressor」インターフェイスを保存したいように設定します。 各種ウインドウの使用方法の詳細については、Compressor ウインドウを使って 作業するを参照してください。 2 「ウインドウ」＞「レイアウトを保存」と選択します。 3 表示されたダイアログで、レイアウトの名前を入力して、「保存」をクリックし ます。 レイアウトが保存され、「ウインドウ」＞「レイアウト」で現れるリストに表示 されます。 既存のレイアウトを削除または名前を変更して、レイアウトリストを管理するこ とができます。 レイアウトを管理するには 1 「ウインドウ」＞「レイアウトを管理」と選択します。 「ウインドウレイアウト・マネージャ」ダイアログが表示されます。 2 以下のいずれかの操作を行います： • レイアウトの名前を変更するには： レイアウトをダブルクリックして、新し い名前を入力します。 • レイアウトを削除するには： レイアウトを選択して、削除（–）ボタンをク リックします。 第 4 章 Compressor のインターフェイス 51• 現在のインターフェイス構成を新しいレイアウトとして保存する： 追加（+） ボタンをクリックして、レイアウトの名前を入力します。 • レイアウトを選択して現在の Compressor インターフェイスに適用するには： レイアウトを選択して、「適用」ボタンをクリックします。 3 レイアウトを管理を終了したら、「完了」をクリックします。 レイアウトマネージャが閉じて、選択したレイアウト設定に合わせて Compressor インターフェイスが変わります。 メモ: レイアウトリストは実際には、Apple で提供されているものと独自に作成 したものの 2 つのセクションに分けられます。Apple から提供されたレイアウト の名称変更や削除はできません。独自に作成したものは、アルファベット順にリ ストされます。レイアウトに名前を付ける場合には、リスト内で簡単に見分けら れるような名前にしてください。 レイアウトフィルタについて 「Compressor」を使用するワークステーションが複数ある場合、そのすべての ワークステーションで同じレイアウトを使用できるようにしたい場合がありま す。 その場合、システム間でレイアウトファイルをコピーし、正しい位置に配置しま す。以下のパスにレイアウトが格納されます：ユーザ/ユーザ名/ライブラ リ/Application Support/Compressor/Layouts。レイアウトの拡張子はすべて 「.moduleLayout」になります。 重要： 「Compressor」が開いている間はレイアウトファイルを手動で追加した り削除したりしないでください。「Compressor」は、起動処理のときに、使用可 能なレイアウトがないかこの場所をチェックします。これらのファイルに対して 行った変更を反映させるには、「Compressor」を再起動する必要があります。 Compressor ウインドウを使って作業する 標準およびバッチのワークフローのレイアウトでは、Compressor インターフェ イスは 1 つの大きな要素として示されますが、実際にはいくつかの独立したウイ ンドウで構成され、それぞれのニーズに合わせて位置およびサイズを変更するこ とができます。 一部のウインドウが隠れてしまうのはなぜか？ Compressor インターフェイスは個別の複数のウインドウで構成されているため、 「Compressor」から別のアプリケーションに一度切り替えた後、ウインドウの 1 つをクリックして再度「Compressor」に戻ったときに、そのウインドウだけが表 示され、それ以外のウインドウはそれまでに開いていた別のウインドウによって 隠されていることがあります。 52 第 4 章 Compressor のインターフェイスすべての Compressor ウインドウを手前に移動するには 以下のいずれかの操作を行います: µ アプリケーション間で切り替えるときに、Mac OS X に内蔵されているアプリケー ション切り替え機能を使用します。Command ＋ Tab キーを押して、アプリケー ション選択ダイアログを表示します。Command キーを押しながら、Tab キーを 押すと、現在実行中のアプリケーションを順に切り替えることができます。 Compressor アイコンが選択されたら、Command キーを放します。これによっ て、すべての Compressor ウインドウが表示されます。 µ 「ウインドウ」＞「すべてを手前に移動」と選択します。 µ 「Dock」の Compressor アプリケーションアイコンをクリックします。 メモ: 「バッチ」ウインドウの上部にある「Compressor」のツールバーを使用す ると、メインの「Compressor」ウインドウと「Share Monitor」にすばやく移動で きます。 Compressor ウインドウのサイズを変更する 「インスペクタ」ウインドウを除き、Compressor ウインドウはすべてサイズを 変更できます。「インスペクタ」ウインドウはサイズが固定されています。 ウインドウはそれぞれ、水平方向と垂直方向の両方について最小サイズが決まっ ているので、ウインドウをどれだけ小さくできるかはこのサイズに左右されま す。 ウインドウのサイズを変更するには µ ウインドウの右下隅をドラッグして、ウインドウを水平方向または垂直方向に拡 大／縮小します。 Drag this corner to resize the window. メモ: ウインドウの位置またはサイズを変更する場合、別のウインドウに近づい たときに自動的にウインドウが吸着します。これによって、隙間や重なりのない すっきりしたレイアウトを簡単に作成できます。 第 4 章 Compressor のインターフェイス 53タブについて 「バッチ」ウインドウ、「設定」および「書き出し先」ウインドウに、複数のタ ブを取り込むことができます。 • 「バッチ」ウインドウ： バッチを複数開いている場合、大きなモニタをお使 いであれば、それぞれのバッチを個別のウインドウに表示させることができま す。 • 「設定」および「書き出し先」タブ： デフォルトでは、「設定」タブと「書 き出し先」タブは同じウインドウ内にあります。それぞれのタブを別のウイン ドウに表示させたり、一方のタブを閉じたりすることができます。さらに、こ のウインドウにほかのいずれかのウインドウ（「バッチ」ウインドウを除く） をタブとして追加することもできます。 どちらの場合でも、タブの順序を変更することもできます。 ドラッグによってタブを固有のウインドウに移動するには 1 現在の位置から目的の位置にタブをドラッグします。 54 第 4 章 Compressor のインターフェイス2 タブを放すと、固有のウインドウに表示されます。 ショートカットメニューを使ってタブを固有のウインドウに移動するには µ Control キーを押したままタブをクリックし、ショートカットメニューから「タ ブを切り離す」を選択します。 タブが固有のウインドウに表示されます。 ドラッグによってあるウインドウから別のウインドウへタブを追加するには 1 追加したいウインドウのタブ領域にタブをドラッグします。 タブ領域の周囲がハイライト表示されます。 第 4 章 Compressor のインターフェイス 552 タブを放します。 タブ領域に吸着され、元のウインドウが閉じます。 ショートカットメニューを使って、あるウインドウから別のウインドウへタブを 追加するには µ Control キーを押したまま、ウインドウを表示させたいタブ領域をクリックし、 ショートカットメニューに表示されたリストから目的のタブを選択します。 メモ: この方法でしか、「履歴」、「プレビュー」、または「インスペクタ」タ ブを別ウインドウに追加することはできません。 現在のウインドウ内でタブの順序を変更するには µ 新しい位置までタブを左右にドラッグします。 その他のタブが移動して、このタブを表示するための領域ができます。 Compressor インターフェイスが目的の設定になったら、レイアウトとして保存 しておくことができます。これによって、レイアウトの復元やレイアウトの切り 替えが簡単になります。詳細については、Compressor のレイアウトを作成する ／管理するを参照してください。 バッチウインドウ 「Compressor」を開くと、最初に「バッチ」ウインドウが表示されます。「バッ チ」ウインドウでは、圧縮処理するソースメディアファイルを読み込み、設定と 書き出し先を追加し、バッチに名前を付け、保存する場所を選択できます。「バッ チ」ウインドウは、トランスコードに備えてすべてのソースメディアファイルを 配置しておくウインドウです。 メモ: 通常、「バッチ」ウインドウは常に表示されています。このウインドウを 閉じた場合、新しいバッチを作成したり（「ファイル」＞「新規バッチ」）、既 存のバッチを開いたり（「ファイル」＞「開く」）すると再表示されます。 56 第 4 章 Compressor のインターフェイス「バッチ」ウインドウ最上部の「Compressor」メニューバーまたはツールバーを 使用して、ほかのすべてのウインドウを開くことができます。（「Compressor」 を開いたときにツールバーが表示されていない場合は、「バッチ」ウインドウの 右上隅のボタンをクリックすると表示されます。） Job area Toolbar Batch tabs Batch status Show/hide toolbar button Batch submission button 「バッチ」ウインドウには、Compressor ツールバーと「実行」ボタンのほか、 開いているバッチのタブ、さらにバッチのジョブを表示および設定するための領 域が表示されます。バッチにソースメディアファイルを追加する方法について は、バッチにソースメディアファイルを追加してジョブを作成するを参照してく ださい。ジョブおよびターゲットを操作する方法については、ジョブを完成する ／バッチを実行するを参照してください。 ツールバーをカスタマイズする 「バッチ」ウインドウには、それぞれのニーズに合わせてカスタマイズできる ツールバーがあります。 メモ: 「Compressor」を開いたときにツールバーが表示されていない場合は、 「バッチ」ウインドウの右上隅のボタンをクリックすると表示されます。 「バッチ」ウインドウのツールバーをカスタマイズするには 1 以下のいずれかの操作を行い、ツールバーカスタマイズ用のパレットを開きま す： • 「表示」＞「ツールバーをカスタマイズ」と選択します。 • Controlキーを押したままツールバーをクリックして、ショートカットメニュー から「ツールバーをカスタマイズ」を選択します。 • ツールバーで「カスタマイズ」アイコン（存在する場合）をクリックします。 第 4 章 Compressor のインターフェイス 57ツールバーパレットが表示されます。 2 ツールバーをカスタマイズするには、以下のいずれかの操作を行います： • ツールバーに現在ある項目を削除するには： 削除する項目をツールバーの外 にドラッグします。 • ツールバーに項目を追加するには： ツールバーパレットからツールバーに目 的の項目をドラッグして、表示させたい場所に配置します。 • ツールバーの項目を並べ替えるには： 並べ替える項目を現在の位置から新し い位置にドラッグします。 • ツールバーをデフォルトの設定に戻すには： デフォルトセット（パレット下 部に配置）をツールバーにドラッグします。 • ツールバーでの項目の表示方法を設定するには： 「表示」ポップアップメ ニューから目的の設定を選択します。 アイコンとテキスト、アイコンのみ、テキストのみのうちどれを表示するかを 選択できます。 3 完了したら、「完了」をクリックします。 メモ: レイアウトの一部としてツールバーの設定が保存されます。レイアウトの 詳細については、Compressor のレイアウトを作成する／管理するを参照してく ださい。 58 第 4 章 Compressor のインターフェイス画面に表示できるよりも多くの項目をツールバーに追加することができます。そ の場合、ツールバーの右端に二重矢印が表示されるので、これをクリックするこ とで、画面に収まらないアイコンにアクセスできます。 Click these arrows to see items that did not fit in the toolbar. ツールバー項目について ツールバーに追加できる項目のほとんどは、一度だけしか追加することができま せん。「区切り線」、「スペース」、「伸縮自在のスペース」など、何度でも追 加できるものもいくつかあります。 • 新規バッチ： 名称が設定されていない新しいバッチを作成します。 • バッチを開く： 保存されているバッチの中から開きたいバッチを探し、選択 するためのダイアログを開きます。 • 閉じる： 現在選択されているバッチを閉じます。 メモ: 開いているバッチが 1 つしかない場合、そのバッチを閉じることはでき ません。 • ファイルを追加： 現在のバッチに読み込みたいソースメディアファイルを 1 つまたは複数探し、選択するためのダイアログを開きます。 • サラウンドサウンドを追加： サラウンドサウンド設定で各オーディオチャン ネルにファイルを手動で割り当てるために使用できるオーディオファイル割り 当てダイアログを開きます。 • イメージシーケンスを追加： ソースメディアのイメージ・シーケンス・ファ イルを含むフォルダを検索し選択するためのダイアログが開きます。 • 前の設定を使って実行： 実行ダイアログをバイパスして、前回のバッチ実行 時に使われた設定でバッチを実行します。 • 履歴： 「履歴」ウインドウを開きます。 • インスペクタ： 「インスペクタ」ウインドウを開きます。 • 設定： 「設定」タブを開きます。 • 書き出し先： 「書き出し先」タブを開きます。 • プレビュー： 「プレビュー」ウインドウを開きます。 第 4 章 Compressor のインターフェイス 59• Share Monitor： Share Monitor アプリケーションを開きます。 • ドロップレットを作成： このドロップレットの設定を選択するための設定選 択ダイアログが開きます。 • 区切り線： ツールバーに区切り線を追加して、項目をグループ化します。 • スペース： 固定幅のスペースをツールバーに追加します。 • 伸縮自在のスペース： 可変幅のスペースをツールバーに追加します。このス ペースによって、ツールバーの左右の端にも項目を表示させることができ、空 いている領域をすべて埋めるようにスペースのサイズが自動的に変更されま す。 • カスタマイズ： ツールバーカスタマイズ用のパレットを開きます。 「設定」タブ 「設定」タブでは、「Apple」設定と「カスタム」設定をまとめて管理できます。 「設定」タブと「インスペクタ」ウインドウを併用すると、設定の作成と変更、 ソースメディアファイルのトランスコードに適用する設定の選択、およびトラン スコードによる変換後の出力ファイルフォーマットの選択ができます。 「設定」タブを開くには 以下のいずれかの操作を行います: µ 「ウインドウ」＞「設定」と選択します（または、Command ＋ 3 キーを押しま す）。 µ 「バッチ」ウインドウのツールバーで「設定」アイコン（存在する場合）をク リックします。 µ 「設定」タブ（存在する場合）をクリックします。 60 第 4 章 Compressor のインターフェイス「設定」タブには、既存の設定の一覧があります。また、設定を追加、削除、複 製したり、設定グループやドロップレットを作成したりするための各種ボタンも 用意されています。 「設定」タブを使用して設定を作成、管理、選択するための方法の詳細について は、設定を作成する／プレビューする／変更するを参照してください。 「書き出し先」タブ 「書き出し先」タブでは、書き出し先の設定の作成／変更／削除、デフォルトの 書き出し先の設定、出力メディアファイル名へのファイル識別子の追加ができま す。 「書き出し先」タブを開くには 以下のいずれかの操作を行います: µ 「ウインドウ」＞「書き出し先」と選択します（または、Command ＋ 4 キーを 押します）。 µ 「バッチ」ウインドウのツールバーで「書き出し先」アイコン（存在する場合） をクリックします。 第 4 章 Compressor のインターフェイス 61µ 「書き出し先」タブ（存在する場合）をクリックします。 Compressor ワークフローを簡易化するための書き出し先の設定方法の詳細につ いては、書き出し先を決める／変更するを参照してください。 「インスペクタ」ウインドウ 「インスペクタ」ウインドウから、トランスコードの一般的なコントロール（設 定および書き出し先を作成／変更するためのコントロール）、各設定に含まれる すべての詳細設定が保存された設定一覧テーブル、および A/V 属性やクローズド キャプションデータ、注釈、ジョブアクションといった、ソースメディアファイ ルに関する情報に簡単にアクセスできます。 「インスペクタ」ウインドウを開くには 以下のいずれかの操作を行います: µ 「ウインドウ」＞「インスペクタを表示」と選択します。 µ 「バッチ」ウインドウのツールバーで「インスペクタ」アイコンをクリックしま す。 メモ: ほかの Compressor ウインドウとは異なり、「インスペクタ」ウインドウは サイズを変更することができません。 62 第 4 章 Compressor のインターフェイス自動設定について 「設定」パネルのいくつかの項目では、オプションの「自動」モードが用意され ています。「自動」モードが有効になっている場合は、「Compressor」が設定の 最適値を指定します。 The Automatic button is dark when active, and its item is dimmed. The Automatic button is dimmed when inactive, and its item is selectable. 通常、「自動」モードがアクティブであると、項目は淡色表示され、変更するこ とができません。 • ソースメディアファイルに設定が割り当てられていない場合： 項目は「自動」 になります。ただし、「インスペクタ」ウインドウの「フレームコントロー ル」パネルは、ソースメディアファイルに設定を適用するまで状態は決定され ません。 • ソースメディアファイルに設定が割り当てられている場合： 項目は淡色表示 されたままですが、使用される値が表示されます。 「自動」モードがアクティブでないと、ボタンは淡色表示され、通常通り項目の 値を選択できます。 「自動」ボタンのオン／オフを切り替えて、オン（ボタンが濃いグレイで表示） からオフ（ボタンが明るい色で表示）に変更できます。 ヒント: 「自動」とされている設定について「インスペクタ」で値を確かめるこ とをお勧めします。通常、「Compressor」で適切な値を正しく指定できますが、 正しい値を指定するのに十分な情報がソースメディアファイルにない場合があり ます。たとえば、QuickTime クリップによっては、メタデータが適切でなかった り、メタデータ自体が間違っていたりすることがあります。さらに、ソースメ ディアファイルで非標準の設定（ビデオのフレームサイズやフレームレートな ど）を使用している場合、「Compressor」はその値に最も近い標準値を使用する よう選択します。 第 4 章 Compressor のインターフェイス 63メディアソースファイルと「インスペクタ」ウインドウ 「バッチ」ウインドウでジョブを選択すると、「インスペクタ」ウインドウにそ のジョブのソースメディアファイルに関する情報が表示され、注釈、クローズド キャプションファイル、およびジョブアクションを追加することができます。 「インスペクタ」ウインドウには、「A/V属性」、「追加情報」、および「ジョ ブ操作」の 3 つのタブがあります。 「A/V 属性」タブ 「A/V 属性」タブにはソースメディアファイルに関する一般情報が含まれ、3 つ のセクションに分割されています。 • ファイル情報： このセクションには、ファイルの名前、位置、およびタイプ が表示されます。 • ビデオ情報： このセクションには、適用できる場合、ビデオに関連するファ イル情報がすべて表示されます。フレームサイズ、フレームレート、タイム コードに関する情報などです。 • オーディオ情報： このセクションには、該当する場合、オーディオに関連す るファイル情報がすべて表示されます。サンプルサイズやサンプルレートなど です。 「追加情報」タブ 「追加情報」タブでは、「Final Cut Pro」や QuickTime といったほかのアプリケー ションで追加されたさまざまなメタデータ項目を表示および変更することができ ます。また、出力メディアファイルにメタデータ項目を追加することもできま す。そして、このファイルをクローズドキャプションファイルと関連付けるため の機能もあります。 64 第 4 章 Compressor のインターフェイスクローズドキャプションファイルおよび注釈の管理については、「「追加情報」 タブ」を参照してください。 • 「クローズドキャプションファイル」フィールド： 現在ソースメディアファ イルと関連付けられているクローズドキャプションファイルの名前を表示しま す。 • 「選択」（クローズドキャプション）ボタン： ダイアログを開いて、ソース メディアファイルと関連付けたいクローズドキャプションファイルに移動する ときは、このボタンを使います。 • 「消去」ボタン： このボタンで、関連するクローズド・キャプション・ファ イルを取り除きます。 • 「注釈」テーブル： 現在の注釈のタイプと対応する注釈テキストを表示しま す。 • 「注釈を追加」ポップアップメニュー： ソースメディアファイルに追加した い注釈のタイプを選択するときは、このメニューを使います。 • 「取り除く」（注釈）ボタン： 選択した注釈を取り除くときは、このボタン を使います。 第 4 章 Compressor のインターフェイス 65「ジョブ操作」タブ 「ジョブ操作」タブを使うと、トランスコード後のアクションをジョブ全体に適 用および調整できます。詳細については、アクションを追加するを参照してくだ さい。 • 「ジョブの完了時」ポップアップメニュー： 「バッチ」ウインドウで選択し たジョブのトランスコード後のアクションを選択および適用するときは、この ポップアップメニューを使います。 「設定」パネルについて 「設定」タブの設定またはバッチのジョブ内のターゲットを選択すると、「イン スペクタ」に以下の 6 つのパネルのいずれかが表示されます。 66 第 4 章 Compressor のインターフェイス設定一覧パネル 「設定一覧」パネルには設定一覧テーブルがあります。ここには、「設定」タブ で選択した設定に関連付けられているすべての設定（ビデオとオーディオの設 定、ジオメトリ、フィルタ設定）が表示されます。設定一覧テーブルの情報は、 設定を変更するたびに自動的にアップデートされます。 設定一覧テーブルには以下の詳細が含まれています。 • 名前： 「設定」タブで選択した設定の名前 • 説明： 「設定」タブで選択した設定の説明 • ファイル拡張子： トランスコードしたメディアファイルに割り当てた拡張子。 ソースメディアファイルを変換する形式を識別します。 • 予想されるファイルサイズ： ソースメディアファイルに割り当てられている 場合、予想される合計ファイルサイズが表示されます。ソースメディアファイ ルに割り当てられていない場合は、1 時間あたりに予想されるソースメディア のサイズが表示されます。 メモ: 予想される合計ファイルサイズは、すべての出力フォーマットで使用で きるわけではありません。 • オーディオエンコーダ： オーディオ出力ファイルのフォーマットおよびその 他のトランスコード設定の詳細（サンプルレート、チャンネル、サンプルあた りのビット数、コーデックタイプなど）。 • ビデオエンコーダ： ビデオ出力ファイルのフォーマットおよびその他のトラ ンスコード設定の詳細（フレームの幅と高さ、クロップ量（ピクセル単位）、 フレームレート、アスペクト比、コーデックタイプ、ピクセル深度、空間品 質、最小の空間品質、キーフレーム間隔、時間品質、最小の時間品質、データ レート（ビット／秒）など）。 第 4 章 Compressor のインターフェイス 67• フィルタ： 使用可能な 「Compressor」フィルタのすべてまたは一部の詳細。 詳細が表示されない場合もあります（「フィルタ」パネルで選択したフィルタ の数によります）。 「エンコーダ」パネル 「エンコーダ」パネルでは、出力ファイルフォーマットおよびその他の設定を選 択および構成します。ファイルフォーマットのオプションと属性は、フォーマッ トごとに異なります。 • ファイルフォーマット： このポップアップメニューでは、出力ファイルの フォーマットを選択できます。使用できる出力フォーマットの詳細について は、出力フォーマットを選択するを参照してください。 • 「ファイル拡張子」フィールド： ビデオおよびオーディオトラックの出力オ プションを有効にした場合、「ファイルフォーマット」ポップアップメニュー で選択したフォーマットに応じて、以下のファイル拡張子がこのフィールドに 自動的に表示されます。このフィールドを変更するとファイルが認識されない ことがあるので、必要な場合以外は変更しないでください。 • aiff： AIFF • ac3： Dolby Digital Professional のファイル拡張子 • caf： Apple CAF ファイルの拡張子 • dv： デジタルビデオ（DV）フォーマットのビデオ • mpg： MPEG-1 多重ストリーム（ビデオおよびオーディオ）のファイル拡張 子 • m1v： MPEG-1 ビデオエレメンタリーストリームのファイル拡張子 • m1a： MPEG-1 オーディオエレメンタリーストリームのファイル拡張子 • m2v： MPEG-2 ビデオエレメンタリーストリームのファイル拡張子 68 第 4 章 Compressor のインターフェイス• m2t： MPEG-2 転送ストリームのファイル拡張子 • mpeg： MPEG-2 プログラムストリームのファイル拡張子 • m4v： H.264（Apple デバイス用）のファイル拡張子 • mp4： MPEG-4 • mov： QuickTime のファイル拡張子 • tga： TARGA • tiff： TIFF • ジョブのセグメント化を許可： このチェックボックスを使って、ジョブのセ グメント化をオフにすることができます。これは、「Compressor」を分散処理 で使っていて、さらに、2 パスまたはマルチパスエンコーディングを実行する 場合のみ有効です。詳細については、ジョブのセグメント化と 2パスまたはマ ルチパスエンコーディングを参照してください。 「フレームコントロール」パネル 「インスペクタ」のこのパネルには、フレームのサイズ変更とタイミング変更時 の高度なイメージ解析に使用できる、自動およびカスタムのさまざまな設定が用 意されています。 フレームのサイズ変更は、1080i などの高精細度フォーマットと DV-NTSC などの 標準精細度フォーマット間のトランスコーディングで必要となる場合がありま す。たとえば、NTSC（29.97 フレーム／秒）対 PAL（25 フレーム／秒）など、フ レームレートの異なるビデオフォーマット間でトランスコードを行うときにフ レームのサイズを変更する必要があります。「フレームコントロール」パネルの 詳細については、「フレームコントロール」パネルについてを参照してくださ い。 第 4 章 Compressor のインターフェイス 69「フィルタ」パネル 設定にフィルタを追加するには、「フィルタ」パネルを使用します。ここでガン マ補正やノイズ除去などの作業を行えます。 特定の設定に追加したいフィルタの隣にあるチェックボックスを選択します。各 フィルタのスライダまたは矢印コントロールを使用して、必要に応じてフィルタ 設定を調整できます。 フィルタリストの順序に従って、フィルタがソースメディアファイルに適用され ます。フィルタを並べ替えるには、リスト内でフィルタを上下にドラッグしま す。 「フィルタ」パネルの詳細については、「フィルタ」パネルについてを参照して ください。 70 第 4 章 Compressor のインターフェイス「画角設定」パネル 「ジオメトリ」パネルのオプションを使用して、圧縮するメディアファイルをク ロップおよびサイズ指定したり、アスペクト比を設定したりします。 「ジオメトリ」パネルには 3 つのセクションがあります： • ソースの挿入（クロップ）： 4 つのフィールドを必要に応じて使用し、ソー ス・メディア・ファイルのサイズを小さくするために減らすピクセル数を入力 するか、「クロップ設定」ポップアップメニューから設定を選択して、ソー ス・メディア・ファイルのビデオコンテンツに基づいて「Compressor」でク ロップ値を自動的に入力します。 • サイズ（エンコード後のピクセル）： 「フレームサイズ」ポップアップメ ニューまたはこれらのフィールドを使用して、出力メディアファイルに適した 出力フレームサイズとアスペクト比を設定します。「ピクセルのアスペクト」 ポップアップメニューを使って、指定したピクセルのアスペクト比に適した幅 と高さの値を設定します。 • 出力イメージの挿入（パディング）： 「パディング」ポップアップメニュー を使って、出力ファイルの高さまたは幅の値を計算します。「カスタム」を選 択すると、フィールドに値を入力できます。 「画角設定」パネルの詳細については、画角設定を追加するを参照してくださ い。 第 4 章 Compressor のインターフェイス 71「アクション」パネル 「アクション」パネルでは、トランスコード完了通知メールを有効にして、デ フォルトの書き出し先をこの設定に割り当てることができます。 • 「メール通知先」チェックボックスとフィールド： メディアファイルのトラ ンスコードが完了したとき、またはエラーが発生したときに、電子メール通知 を送信するアドレスを入力します。 • デフォルトの書き出し先： ポップアップメニューから、この設定をデフォル トとして使用する書き出し先を選択します。 「アクション」パネルの詳細については、アクションを追加するを参照してくだ さい。 「履歴」ウインドウ 「履歴」ウインドウから、以前に実行したバッチの情報にすばやくアクセスでき ます。このウインドウを使用して、トランスコード処理を一時停止し、「バッ チ」ウインドウにドラッグすることでバッチを再実行することができます。ま た、特定のバッチについての実行の詳細も表示できます。さらに、以前に実行し たバッチの中から出力メディアファイルを探すこともできます。 「履歴」ウインドウには進行状況バーも含まれているので、実行したバッチの状 況をモニタできます。 「履歴」ウインドウを開いたり閉じたりするには 以下のいずれかの操作を行います: µ 「ウインドウ」＞「履歴」と選択します（または、Command ＋ 1 キーを押しま す）。 72 第 4 章 Compressor のインターフェイスµ 「バッチ」ウインドウのツールバーで、「履歴」ボタンをクリックします。 メモ: 「履歴」ウインドウは、バッチをトランスコードする際に閉じていれば自 動的に開きます。 「履歴」ウインドウには、バッチ名、およびバッチを最初にトランスコードした 日時についての情報が表示されるエントリーが含まれます。エントリーは日付の 順に並び、古いものが最初に来ます。再実行するためにバッチを「バッチ」ウイ ンドウにドラッグすると、名称が設定されていない新しいバッチが作成されます （既存のバッチは影響を受けません）。 「履歴」ウインドウのコントロールと設定の詳細については、「履歴」ウインド ウについてを参照してください。 「プレビュー」ウインドウ 「プレビュー」ウインドウは分割された画面から成り立っています。左側には選 択したソースメディアファイルが元の形式で表示され、右側には出力メディア ファイルがどのように見えるかが表示されます。この画面を使って、オリジナル とトランスコード後のバージョンを比較し、必要に応じて設定を調整します。ま た、このウインドウのオプションを使用して、フレームのクロップ、キーフレー ムの追加、アスペクト比の変更を行えます。 「プレビュー」ウインドウを開くには 以下のいずれかの操作を行います: µ 「ウインドウ」＞「プレビュー」と選択します（または、Command ＋ 2 キーを 押します）。 第 4 章 Compressor のインターフェイス 73µ 「バッチ」ウインドウのツールバーで、「プレビュー」ボタンをクリックしま す。 Marker pop-up menu button 「プレビュー」ウインドウには、「マーカー」ポップアップメニューなど、付加 的な機能が用意されています。「マーカー」ポップアップメニューを使用して、 チャプタリストを読み込んだり、チャプタ（および Podcast）マーカーと圧縮マー カーを手動で追加したりして、メディアファイルの圧縮品質を向上させることが できます。 「プレビュー」ウインドウのコントロールと設定の詳細については、「プレ ビュー」ウインドウについてを参照してください。 74 第 4 章 Compressor のインターフェイス「Apple Qmaster 共有」ウインドウ 「Compressor」は、トランスコードジョブの高速化に有効な分散処理機能を備え ています。これにより、ローカルネットワーク上の複数のコンピュータの処理能 力を制御して、作業負荷を分散できます。「Apple Qmaster 共有」ウインドウは、 「Apple Qmaster」＞「このコンピュータを共有」と選択して開きます。分散処理 システムの構成に必要なコントロールのほとんどがこのウインドウにあります。 分散処理の設定について詳しくは、「Apple Qmaster と分散処理」を参照してく ださい。 第 4 章 Compressor のインターフェイス 75Share Monitor 「Share Monitor」を使って、残りのジョブすべてのトランスコードにかかる時間 の見積もりなど、バッチのトランスコーディングの進行状況をモニタできます。 「Share Monitor」は独立したアプリケーションなので、「Compressor」を開いて いなくても起動できます。「Share Monitor」の詳細については、「Share Monitor ユーザーズマニュアル」を参照してください。 「Share Monitor」を開くには µ 「バッチ」ウインドウのツールバーにある、「Share Monitor」ボタンをクリック します。 「Compressor」の環境設定で、バッチの実行時に「Share Monitor」が自動的に開 くように設定することもできます。詳細については、Compressor の環境設定を 行うを参照してください。 「Share Monitor」には、各バッチの名前などの詳細といった、実行したすべての バッチの状況が表示されます。「履歴」ウインドウだけでなく、「Share Monitor」 でも、正常に終了したジョブと失敗したジョブの両方に関するレポートを表示で きます。 「Share Monitor」のコントロールと設定の詳細については、「Share Monitor ユー ザーズマニュアル」を参照してください。 76 第 4 章 Compressor のインターフェイス「ドロップレット」ウインドウ 1 つまたは複数の設定や設定グループをドロップレットに保存できます。各ド ロップレットは独立したプリセットで、ドラッグ＆ドロップ操作に対応するアプ リケーションに自動的に組み込まれ、アイコンとして保存されます。次にソース メディアファイルをトランスコードするときは、「Compressor」を開かなくて も、ドロップレットアイコンにファイルをドラッグするだけで処理を実行できま す。ドロップレットを使うで、ドロップレットの作成と使用についての情報を参 照できます。 Drag selected source media files to a Droplet to transcode them. いずれかのドロップレットを開くと、ドロップレットに関する詳細がウインドウ に表示されます。 「ドロップレット」ウインドウを開くには µ ドロップレットアイコンをダブルクリックします。 「ドロップレット」ウインドウのコントロールと設定の詳細については、「ド ロップレット」ウインドウについてを参照してください。 値およびタイムコードエントリーの変更について 「Compressor」には、何種類かの値入力方法があります。そのほとんどに、値ま たはタイムコードフィールドの変更を簡単にするための機能が用意されていま す。 第 4 章 Compressor のインターフェイス 77値スライダを使う 一般的な数値を入力する方法には、数値入力フィールドが独立した従来のスライ ダを使用する方法と、数値入力フィールドとスライダを兼ね備えた値スライダを 使用する方法の 2 つがあります。 Value slider with combined slider and numeric entry field Separate slider and numeric entry field 値スライダでは、値フィールドに特定の数値を入力するか、または値フィールド でドラッグして値を設定します。値スライダを使用する場合、修飾キーを使用し て、値を適度に調整したり、微調整したり、大幅に調整したりすることができま す。中央の領域（数値がある場所）をドラッグすると、通常のスライダを使用す るのと同様に、右側にドラッグすると値が大きくなり、左側にドラッグすると値 が小さくなります。さらに、右向き矢印と左向き矢印をクリックすると、一度に 1ステップずつ値を変更できます。数値自体をダブルクリックするか、新しい数 値を入力して、値フィールドに特定の数値を入力することもできます。 通常の増分で値を変更するには 以下のいずれかの操作を行います: µ 値フィールドを左または右にドラッグします。 µ 左向き矢印をクリックして値を小さくするか、または右向き矢印をクリックして 値を大きくします。 µ スクロールホイールがある 3 ボタンマウスをお使いの場合は、値フィールドをク リックして、マウスのスクロールホイールを使用します。 値を微調整するには 以下のいずれかの操作を行います: µ Option キーを押したまま値フィールドをドラッグします。 µ Option キーを押したまま左向き矢印をクリックして値を小さくするか、または Option キーを押したまま右向き矢印をクリックして値を大きくします。 µ スクロールホイールがあるマウスをお使いの場合は、Option キーを押したまま値 フィールドをスクロールします。 値を粗調整するには 以下のいずれかの操作を行います: µ Shift キーを押したまま値フィールドをドラッグします。 µ Shift キーを押したまま左向き矢印をクリックして値を小さくするか、または Shift キーを押したまま右向き矢印をクリックして値を大きくします。 78 第 4 章 Compressor のインターフェイスµ スクロールホイールがあるマウスをお使いの場合は、Shift キーを押したまま値 フィールドをスクロールします。 値スライダまたは値フィールドがアクティブである（ハイライトされている）場 合、Tab キーを押すと、次のフィールドに移動します。 タイムコード値スライダを使う 「Compressor」では、すべてのタイムコード入力フィールドにタイムコード値ス ライダを使用します。タイムコード値を直接入力できるだけでなく、タイムコー ド値をドラッグして「スクラブ」することもできます。 タイムコードのセグメントにポインタを合わせると、そのセグメントの上下に小 さい矢印が表示されます。 上または右にドラッグすることで、このセグメントの値を大きくできます（ド ラッグの結果、選択したセグメントの桁が繰り上がる場合、それに伴い左側のセ グメントの値も大きくなります）。左または下にドラッグすると、値が小さくな ります。Option キーを押すと値の変化を遅くでき、Shift キーを押すと値の変化 を速くできます。 また、タイムコード値の両側にある上向き矢印および下向き矢印をクリックする か、キーボードの上向き矢印キーおよび下向き矢印キーを押して、タイムコード 値を増減することもできます。 セグメントを選択し、そのセグメントの下にカレットを表示させることで、上向 き矢印および下向き矢印でどのセグメントが影響を受けるか明らかにすることが できます。また、キーボードの左向き矢印キーおよび右向き矢印キーを使用し て、ほかのセグメントも選択できます。 キーボードショートカット 「Compressor」のキーボードショートカットの完全なリストについては、 Compressor の一般的なキーボードショートカットおよび「プレビュー」ウイン ドウのキーボードショートカットを参照してください。 第 4 章 Compressor のインターフェイス 79「Compressor」の「環境設定」を使用すると、「Compressor」のさまざまな機能 を設定できます。 この章では以下の内容について説明します： • Compressor の「環境設定」について (ページ 81) • Compressor の環境設定を使う (ページ 84) Compressor の「環境設定」について 「Compressor」の「環境設定」ウインドウを使用すると、「Compressor」のさま ざまな項目を設定できます。 「Compressor」の「環境設定」ウインドウには以下の項目があります。 81 Compressor の環境設定を行う 5「Compressor」の「環境設定」の詳細 • メールアドレス： 電子メール通知用のデフォルトの電子メールアドレスを入 力するときは、このフィールドを使います。 • 送信用メールサーバ： 電子メール通知の詳細については、ポスト・トランス コード・アクションを使って作業するを参照してください。 • Share Monitor を自動的に起動： バッチを実行したときに「Share Monitor」が自 動的に開くようにするかどうかを指定するには、このチェックボックスを使い ます。 • ジョブサムネールを表示： バッチ内のジョブのサムネールイメージを表示す るかどうかを指定するには、このチェックボックスを使います。 • クラスタオプション： 分散処理用スクラッチストレージに関するクラスタオ プションを設定するには、以下のいずれかを選択します。 • 必要なときにソースをクラスタにコピー： 必要に応じて「Compressor」か らソースファイルがクラスタのスクラッチストレージにコピーされます。 • 常にソースをクラスタにコピー： 常に「Compressor」からソースファイルが クラスタのスクラッチストレージにコピーされます。 • ソースをクラスタにコピーしない： 「Compressor」からソースファイルをコ ピーしないようにします。 • クラスタとの間でファイルをコピーしない： 「Compressor」からどのファイ ルもコピーしないようにします。すべてのファイルが正しい位置にあるか、 バッチが失敗します。 • 実行時にコピー（高い優先度）： 「Compressor」から処理クラスタへのソー スファイル転送をただちに実行するかどうかを指定するには、このチェック ボックスを使います。 • デフォルト設定： 「デフォルト設定」ポップアップメニューで、既存の設定 のリストから設定を 1 つ選びます。 • デフォルトの書き出し先： 「デフォルトの書き出し先」ポップアップメニュー で、既存の書き出し先のリストから書き出し先を 1 つ選びます。 • 新規バッチ用： 「Compressor」の起動画面を設定する以下のオプションから 1 つ選択します。 • テンプレートセレクタを表示： 起動時に「Compressor」でバッチ・テンプ レート・セレクタを表示します。 • 空のテンプレートを使用： 「Compressor」は、PlaceHolder ジョブで名称の 設定されていない空のバッチを開きます。 82 第 5 章 Compressor の環境設定を行う• ほかのコンピュータからの接続を許可： このチェックボックスで、このコン ピュータのジョブの状況を「Share Monitor」を実行するリモートコンピュータ でモニタできるようにするかどうかを設定します。リモートコンピュータ上の 「Share Monitor」に表示するために必要な情報は、IP アドレスまたはホスト名 だけです。（パスワードを入力する必要はありません。） • 手動で選択したコンピュータの IP アドレスまたは範囲を入力： このテーブル にリモート・ホスト・コンピュータの情報が表示されます。 • 追加／削除ボタン： リモート・ホスト・コンピュータの情報を追加または削 除するには、このボタンを使います。 リモート・コンピュータ・アドレス・ダイアログ リモート・コンピュータ・アドレス・ダイアログは、「Compressor」のメインの 「環境設定」ウインドウにある追加／削除ボタンをクリックすると表示されま す。手動で選択したコンピュータの IP アドレスまたは範囲を入力するには、こ のウインドウを使います。 このダイアログには、以下の項目が含まれます： • 「ホスト」／「ホスト IP アドレスの範囲」ボタン： これらのボタンで、この ダイアログを IP アドレスのモード（特定のアドレスを入力します）にするか、 IPアドレスの範囲のモード（アドレスの範囲を入力します）にするかを指定し ます。 • ホスト： 特定のリモートコンピュータのホスト名と IP アドレスを入力する には、このモードを使います。 • ホスト IP アドレスの範囲： 名前と、リモート IP アドレスの範囲に関する範 囲の数値（開始、終了）のセットを入力するには、このモードを使います。 第 5 章 Compressor の環境設定を行う 83Compressor の環境設定を使う 「Compressor」の環境設定を設定するには、以下の手順に従います。 「Compressor」の環境設定を開くには µ 「Compressor」＞「環境設定」と選択するか、または Command ＋カンマ（,） キーを押します。 環境設定ウインドウが表示されます。 電子メール通知の環境設定を設定するには 1 電子メール通知が起動されるときに使用されるデフォルトの電子メールアドレス を入力します。 このアドレスは、「インスペクタ」ウインドウの「アクション」パネルで変更で きます。 2 このコンピュータが電子メールの送信に使用するメールサーバを入力します。 電子メール通知の詳細については、ポスト・トランスコード・アクションを使っ て作業するを参照してください。 「Share Monitor」が自動的に開くかどうかを設定するには 以下のいずれかの操作を行います: µ バッチを実行したときに「Share Monitor」が自動的に開くようにするには、「Share Monitor を自動的に起動」チェックボックスを選択します。 84 第 5 章 Compressor の環境設定を行うµ 「Share Monitor」が自動的に開かないようにするには、「Share Monitor を自動的 に起動」チェックボックスの選択を解除します。その場合でも、「バッチ」ウイ ンドウから手動で「Share Monitor」を開くことができます。 バッチ内のジョブごとにサムネールイメージを表示するかどうかを指定するには µ 「Compressor」にイメージを表示するときは、「ジョブサムネールを表示」を選 択します。 µ 「Compressor」にイメージを表示しないときは、「ジョブサムネールを表示」の 選択を解除します。 分散処理用スクラッチストレージに関するクラスタオプションを設定するには µ 「クラスタオプション」ポップアップメニューからオプションを選択します： • 必要なときにソースをクラスタにコピー： 必要に応じて「Compressor」から ソースファイルがクラスタのスクラッチストレージにコピーされます。 • 常にソースをクラスタにコピー： 常に「Compressor」からソースファイルが クラスタのスクラッチストレージにコピーされます。 • ソースをクラスタにコピーしない： 「Compressor」からソースファイルをコ ピーしないようにします。 • クラスタとの間でファイルをコピーしない： 「Compressor」からどのファイ ルもコピーしないようにします。すべてのファイルが正しい位置にあるか、 バッチが失敗します。 「Compressor」から処理クラスタへのソースファイル転送をただちに実行するか どうかを指定するには 以下のいずれかの操作を行います: µ 「実行時にコピー（高い優先度）」を選択すると、「Compressor」からソース ファイルがすぐに転送されます。 µ 「実行時にコピー（高い優先度）」の選択を解除すると、「Compressor」から ソースファイルはすぐに転送されません。 デフォルトの設定を変更するには µ 「デフォルト設定」ポップアップメニューで、既存の設定のリストから設定を 1 つ選びます。 選択した設定は、「バッチ」ウインドウに新しいソースファイルを読み込むと、 デフォルトの設定として表示されます。 デフォルトの書き出し先を変更するには µ 「デフォルトの書き出し先」ポップアップメニューで、既存の書き出し先のリス トから書き出し先を 1 つ選びます。 選択した書き出し先は、「バッチ」ウインドウに新しいソースファイルを読み込 むと、デフォルトの書き出し先として表示されます。 第 5 章 Compressor の環境設定を行う 85起動時に「Compressor」でバッチ・テンプレート・セレクタを表示するかどうか を指定するには µ 起動時にバッチ・テンプレート・セレクタを表示するときは、「テンプレートセ レクタを表示」を選択します。 µ 起動時にバッチ・テンプレート・セレクタを表示しないときは、「空のテンプ レートを使用」を選択します。 「Share Monitor」を実行するほかのコンピュータでこのコンピュータのジョブの 状況を表示できるようにするかどうかを指定するには µ 「Share Monitor」を実行するリモートコンピュータでこのコンピュータのジョブ の状況をモニタできるようにするには、「ほかのコンピュータからの接続を許 可」を選択します。 リモートコンピュータ側で知る必要があるのは、このコンピュータの IP アドレ スまたはホスト名です。（パスワードはありません。） リモート・ホスト・コンピュータの IP アドレスまたは範囲を入力するには 1 「Compressor」環境設定ウインドウの下部にある追加（+）をクリックします。 ホスト・アドレス・ダイアログが表示されます。 2 ホスト・アドレス・ダイアログで以下のいずれかを実行します： • 「ホスト」を選択し、「ホスト名」および「IP アドレス」フィールドに入力し て、「ホストを追加」をクリックします。 メモ: または、ホスト名または IP アドレスのみを入力して、Tab キーを押しま す。対応するホスト名または IP アドレスが見つかった場合は、その値がフィー ルドに自動的に入力されます。 • 「ホスト IP アドレスの範囲」を選択し、範囲のフィールドを入力して、「範 囲を追加」をクリックします。 ホストまたはホストの範囲が、メインの「環境設定」ダイアログの「ホスト」 テーブルに表示されます。 重要： 「Compressor」の環境設定に加えた変更は、「OK」をクリックするまで 有効になりません。指定した変更を使用したくない場合は「キャンセル」をク リックします。 86 第 5 章 Compressor の環境設定を行う「Compressor」を使用した従来のトランスコード処理では、まず「バッチ」ウイ ンドウに少なくとも 1 つのソースメディアファイルを読み込みます。 メモ: バッチテンプレートのワークフローを使う場合は、まずバッチテンプレー トを選択します。バッチテンプレートを使う簡単なワークフローの詳細について は、簡単な Compressor ワークフロー：バッチテンプレートを使う方法を参照し てください。 この章では以下の内容について説明します： • バッチウインドウについて (ページ 88) • バッチにソースメディアファイルを追加してジョブを作成する (ページ 92) • 「インスペクタ」とソースメディアファイルを使う (ページ 101) • ソースメディアファイルの読み込みのヒント (ページ 104) 87 ソースメディアファイルを読み 込む 6バッチウインドウについて 「バッチ」ウインドウは、トランスコードのタスクを整理し、設定をすばやく割 り当てるための拠点ともいえるウインドウです。最初に「Compressor」を開く と、名称が設定されていない「バッチ」ウインドウが表示されます。バッチと は、保存して、クローズし、再度開くことができる書類のようなものです。「バッ チ」ウインドウ上部のツールバーを使って、その他のタスクを実行するすべての ウインドウを開くことができます。 Job area Toolbar Batch tabs Batch status Show/hide toolbar button Batch submission button 「バッチ」ウインドウの一般情報 バッチは Compressor ワークフローの中心となるものであり、バッチを作業する 場所が「バッチ」ウインドウです。「バッチ」ウインドウでは、一度に複数の バッチを開き、個々のタブに表示することができます。 新しいバッチを作成するには µ 「ファイル」＞「新規バッチ」と選択します（または、Command ＋ N キーを押 します）。 名称が設定されていない新しいバッチが「バッチ」ウインドウに追加されます。 「Compressor」の環境設定での「新規バッチ用」の設定状況によっては、バッ チ・テンプレート・セレクタが表示されます。 88 第 6 章 ソースメディアファイルを読み込むメモ: 新規バッチの作成時に必ずバッチ・テンプレート・セレクタを表示するよ うにするには、「ファイル」＞「テンプレートから新規バッチを作成」と選択す るか、Command ＋ Shift ＋ N キーを押します。 Each tab is for a different batch. The new batch’s tab バッチファイルの詳細については、バッチファイルを保存する／開くを参照して ください。バッチ・テンプレート・セレクタの詳細については、「バッチ・テン プレート・セレクタについて」を参照してください。 バッチのタブを新しい位置にドラッグすることで、バッチごとに複数の「バッ チ」ウインドウを開くこともできます。タブをドラッグして「バッチ」ウインド ウを開いたり閉じたりする方法の詳細については、タブについてを参照してくだ さい。 「バッチ」ウインドウには右下隅に「実行」ボタンがあり、現在選択されている バッチのトランスコードを開始するために使用できます。左下隅には、現在の バッチの状況（バッチ内にジョブがいくつあるか、バッチが実行されているかど うか）が表示されます。 バッチ・テンプレート・セレクタについて よくあるワークフローを簡素化するために、「Compressor」にはバッチの新規作 成時にいつでも表示できるバッチ・テンプレート・セレクタが用意されていま す。「Compressor」の「環境設定」にある「新規バッチ用」設定で、バッチ・テ ンプレート・セレクタを表示するかどうかを制御します。この設定について詳し くは、「Compressor の「環境設定」について」を参照してください。 第 6 章 ソースメディアファイルを読み込む 89バッチ・テンプレート・セレクタには、新しいバッチを設定するためのさまざま なオプションがあります。 テンプレートを選択すると、バッチの出力完了後に実行するジョブ操作に加え て、1 つ以上の設定がバッチに追加されます。 Apple の標準バッチテンプレートのリストを以下に示します。 • オーディオ Podcast を作成： Podcasting に適した AAC オーディオファイルを作 成して iTunes ライブラリに追加する場合は、このテンプレートを使います。 • Blu-ray ディスクを作成： BD H.264 ビデオおよび Dolby Digital Professional（.ac3） オーディオファイルを作成して、それらのファイルから自動的に Blu-ray ディ スクまたは AVCHD ディスクを作成する場合は、このテンプレートを使います （AVCHD ディスクは、AVCHD フォーマットと互換性のある Blu-ray ディスクプ レーヤーで再生できます）。 • DVD を作成： MPEG-2（.m2v）ビデオと Dolby Digital Professional（.ac3）オー ディオを使って標準精細度の DVD を作成して自動的にディスクにする場合は、 このテンプレートを使います。 • HTTP ライブストリーミング： このテンプレートでは、一般的なサーバを使っ てムービーを iPhone、iPad、iPod touch、Mac にストリーミングするためのファ イルのセットを作成できます。 • Apple TV に公開： Apple TV での視聴に適したビデオファイルを作成して iTunes ライブラリに追加する場合は、このテンプレートを使います。 • YouTube に公開： YouTube での視聴に適したビデオファイルを作成して YouTube アカウントにアップロードする場合は、このテンプレートを使います。 メモ: テンプレートの選択は、作成する出力メディアファイルの使用目的に基づ いて行ってください。目的のワークフローに適したテンプレートが見つからない 場合は、手動で行うことができます。詳細については、簡単な Compressor ワー クフロー：手動による方法を参照してください。カスタムテンプレートの作成に ついては、「カスタム・バッチ・テンプレートを作成する」を参照してくださ い。 90 第 6 章 ソースメディアファイルを読み込むカスタム・バッチ・テンプレートを作成する どのバッチでもカスタム・バッチ・テンプレートとして保存することができま す。カスタム・バッチ・テンプレートは、バッチ・テンプレート・セレクタに Appleのデフォルト・バッチ・テンプレートと一緒にオプションとして表示され ます。頻繁に繰り返すワークフローの場合は特に、カスタム・バッチ・テンプ レートを使うと時間を節約できます。 カスタム・バッチ・テンプレートを作成するには 1 「バッチ」ウインドウで以下のいずれかの操作を行って、バッチテンプレートに 付与したい特性（ジョブ、設定、書き出し先、ジョブ操作、など）を持つバッチ を開きます： • 新しいバッチを作成し、必要な調整を加える。 詳細については、トランスコードの基本的なワークフロー、設定を割り当て る、書き出し先を設定する、およびアクションを追加するを参照してくださ い。 • バッチテンプレートに付与したい特性を持つ保存済みのバッチを開く。 詳細については、バッチファイルを保存する／開くを参照してください。 2 「ファイル」＞「テンプレートとして保存」と選択します。 3 表示されたダイアログで、名前と説明を入力して、「OK」をクリックします。 カスタム・バッチ・テンプレートが保存されます。 また、「ファイル」＞「テンプレートから新規バッチを作成」と選択し、バッ チ・テンプレート・セレクタを開いて新しいカスタム・バッチ・テンプレートを 確認または使用することもできます。 「バッチ」ウインドウのツールバーについて 「バッチ」ウインドウの上部にカスタマイズ可能なツールバーが並んでいます。 ウインドウの右上隅のボタンをクリックすることで、ツールバーを表示または非 表示にすることができます。 Show/hide toolbar button (with the toolbar hidden in this example) バッチを開いたり、保存したり、閉じたりするための項目など、さまざまな項目 をツールバーに表示させることができます。追加できる項目や項目の追加方法の 詳細については、ツールバーをカスタマイズするを参照してください。 第 6 章 ソースメディアファイルを読み込む 91バッチにソースメディアファイルを追加してジョブを作 成する ソースメディアファイルのトランスコード設定を追加するには、「バッチ」ウイ ンドウのバッチにソースメディアファイルを読み込む必要があります。ソースメ ディアファイルをバッチに読み込むと、ジョブが作成されます。これは、ソース メディアファイルをトランスコードするための第一歩です。サラウンドサウンド のソースメディアファイルを読み込むには特別な方法があります。 バッチに標準的なソースメディアファイルを追加する 標準的な（サラウンドサウンドまたはイメージシーケンス以外）ソース・メディ ア・ファイルをバッチに追加するための詳細は以下の通りです。 バッチにソースメディアファイルを追加するには 1 「Compressor」を開きます。 「バッチ」ウインドウが開きます。「名称未設定」の空のバッチタブが作成され ます。 Untitled batch tab Empty batch area with a placeholder job メモ: バッチ・テンプレート・セレクタが自動的に開く場合は、「キャンセル」 をクリックしてバッチ・テンプレート・セレクタを閉じます。「Compressor」を 開くときにバッチ・テンプレート・セレクタが開かないようにするには、「今後 このダイアログを表示しない」チェックボックスを選択するか、「Compressor」 の環境設定で「新規バッチ用：空のテンプレートを使用」を選択します。 2 以下のいずれかの操作を行います： • 「ジョブ」＞「ファイルを使って新規ジョブを作成」と選択して（または、 Command キーを押しながら I キーを押して）、目的のメディアファイルフォ ルダまで移動し、1 つまたは複数のソースメディアファイルを選択して「開 く」をクリックします。 92 第 6 章 ソースメディアファイルを読み込む• 「ファイルを追加」ボタン（「バッチ」ウインドウのツールバー（ツールバー が表示されている場合））をクリックして、目的のメディアファイルフォルダ まで移動し、1 つまたは複数のソースメディアファイルを選択して「開く」を クリックします。 • Control キーを押したままジョブをクリックし、ショートカットメニューから 「ソース」＞「ファイル」と選択します。 • Control キーを押したままバッチの空の領域をクリックし、ショートカットメ ニューから「ファイルを使って新規ジョブを作成」を選択します。その後、目 的のメディアファイルフォルダまで移動し、1 つまたは複数のソースメディア ファイルを選択して「開く」をクリックします。 • ソースメディアファイルフォルダを開いて、1 つまたは複数のソースメディア ファイルをバッチにドラッグします。 メモ: 上記のステップを組み合わせた方法として、「Compressor」を開く前に、 トランスコードしたいソースメディアファイルをすべて選択し、「Compressor」 アプリケーションアイコンにドラッグすることもできます。「Compressor」が開 き、すべてのメディアファイルが名称が設定されていないデフォルトのバッチに まとめて追加されます。 3 「ファイル」＞「別名で保存」と選択して、バッチを保存します（または、 Command ＋ Shift ＋ S キーを押します）。 4 バッチの名前を入力して、表示されたダイアログでバッチを保存する場所を選択 します。 5 完了したら、「保存」をクリックします。 ファイルの名前に合わせて、「バッチ」ウインドウのタブが変更されます。 メモ: Finder の環境設定で拡張子を表示するようにしている場合は、名前と一緒 に拡張子「.compressor」がタブに表示されます。 第 6 章 ソースメディアファイルを読み込む 93必ずしもバッチに名前を付けて保存する必要はなく、急いでいる場合には省略す ることもあります。ただし、バッチに名前を付けて保存しておくと、希望するよ うな出力ファイルが得られなかった場合やニーズに変更があった場合に簡単に バッチを実行し直すことができます。また、短い期間に複数のバッチを実行する 場合にも、「履歴」ウインドウと「Share Monitor」の内容を簡単に把握できま す。 選択したメディアファイルがバッチに取り込まれ、メディアソースファイルごと にジョブが作成されます。ビデオコンテンツのソースメディアファイルには、さ らにサムネールイメージとビデオをスクロールするためのスクローラがありま す。 Drag the slider to scroll through video files. Click anywhere in the job to see this file’s attributes in the Inspector window. Each source media file creates a job. The targets for this job will appear in this area. ジョブに割り当てられているソースメディアファイルは変更できます。 ジョブに割り当てられているソースメディアファイルを変更するには 1 ソースメディアファイルを変更したいジョブを選択します。 2 以下のいずれかの操作を行います： • 「ジョブ」＞「ソース」＞「ファイル」と選択して、目的のメディアファイル フォルダまで移動し、1 つまたは複数のソースメディアファイルを選択して 「開く」をクリックします。 • Control キーを押したままジョブをクリックし、ショートカットメニューから 「ソース」を選択します。その後、目的のメディアファイルフォルダまで移動 し、1 つまたは複数のソースメディアファイルを選択して「開く」をクリック します。 • ジョブに新しいソースメディアファイルをドラッグします。 94 第 6 章 ソースメディアファイルを読み込むすでに設定済みのターゲットはそのままで、新しいソースメディアファイルに適 用されます。また、必要に応じて、ジョブからソースメディアファイルを削除す ることもできます。 ジョブからソースメディアファイルを削除するには µ Control キーを押したままジョブをクリックし、ショートカットメニューから 「ソースを消去」を選択します。 バッチからジョブを削除するには 以下のいずれかの操作を行います: µ ジョブを選択して、Delete キーを押します。 µ Control キーを押したままバッチの空の部分をクリックし、ショートカットメ ニューから「すべてのジョブを取り除く」を選択します。 この状態で、ジョブにターゲットを追加することができます。 バッチにサラウンドサウンドのソースメディアファイルを追加する バッチにオーディオファイルを追加してサラウンドサウンド・ジョブを作成する には、ファイル命名規則に基づいてオーディオファイルを適切なチャンネルに自 動的にマッピングする方法と、チャンネルに手動でオーディオファイルを割り当 てる方法の 2 つを使用できます。 どちらの方法でも、作成されたジョブに、Dolby Digital Professional、AIFF、およ び QuickTime ムービー出力フォーマットの複数のオーディオコーデックなど、サ ラウンドサウンド・オーディオ出力をサポートする設定を追加することができま す。 重要： 出力フォーマットによっては、サラウンドサウンドのオーディオチャン ネル用の設定が複数ある場合があります。お使いの再生デバイスでどの設定が必 要なのか確認してください。たとえば、AIFF出力フォーマットでは、5.1（6チャ ンネル）オーディオ出力用に、チャンネルの順番が異なる 4 種類の設定がありま す。 ファイルをサラウンドサウンド・チャンネルに割り当てる（自動） 「Compressor」では、効率よくチャンネルを割り当てる方法があるので、時間を 節約できます。 チャンネル識別子コードを使ってサラウンドチャンネルにファイルを割り当てる には 1 ターゲット・サラウンドチャンネルのチャンネル識別子コードを、各ソース・ オーディオ・ファイルのファイル名に付加します。（該当するチャンネル識別子 コードについては、以下の一覧を参照してください。） • -L： 左フロントチャンネル • -R： 右フロントチャンネル 第 6 章 ソースメディアファイルを読み込む 95• -C： センター・フロントチャンネル • -Ls： 左サラウンドチャンネル • -Rs： 右サラウンドチャンネル • -S： センター・サラウンドチャンネル • -LFE： 低周波チャンネル（サブウーファー、LFE） たとえば、AIFF ファイルを左サラウンドチャンネルに割り当てるには、ファイル 名を filename-Ls.aiff と変更します（ここで、filename はファイルの名前です）。 （ここに示すように、チャンネル識別子コードにはハイフンを含める必要があり ます。） メモ: Mac OS X では、.aiff のようなファイル拡張子を追加できます。拡張子を追 加しても、このチャンネルを割り当て方法が無効になることはありません。 この手順は、「バッチ」ウインドウにファイルをドラッグ＆ドロップする場合に 限り有効です。「Compressor」アプリケーションアイコンにファイルをドラッグ した場合、ジョブごとに個別のソースファイルとして表示されます。 メモ: Dolby Digital Professional（AC-3）サラウンドストリームを作成する場合、 テーブルに示されているすべてのチャンネルを一度に使用することはありませ ん。Dolbyオーディオコーディングモードの図については、「オーディオ」タブ の設定を参照してください。 2 「バッチ」ウインドウに、名前を変更したソース・オーディオ・ファイルをド ラッグします。 以下の条件が満たされると、「Compressor」は、単一のサラウンドソースメディ アファイルとして「バッチ」ウインドウに表示されているファイルのグループ全 体を自動的に閉じます： • グループのファイル名が正しく付けられている。（前の手順の一覧を参照して ください。） • グループのファイル数が 6 つ以下になっている。 ファイルをサラウンドサウンド・チャンネルに割り当てる（手動） サラウンドサウンド・チャンネルに個々に手動でオーディオファイルを割り当て るには、以下の手順に従います。さらに、サラウンド・サウンド・ジョブにビデ オファイルを追加できます。 ソース・オーディオ・ファイルをサラウンドサウンド・ストリームのチャンネル に手動で割り当てるには 1 ソース・オーディオ・ファイルを読み込むには、以下のいずれかの操作を行いま す： • 「ジョブ」＞「サラウンドサウンド・グループを使って新規ジョブを作成」と 選択します（または、Command ＋ Control ＋ I キーを押します）。 96 第 6 章 ソースメディアファイルを読み込む• 「バッチ」ウインドウの「サラウンドサウンドを追加」ボタンをクリックしま す。 • Control キーを押したままバッチをクリックし、ショートカットメニューから 「サラウンドサウンド・グループを使って新規ジョブを作成」を選択します。 チャンネルを割り当てるインターフェイスが開きます。 2 ソース・オーディオ・ファイルを特定のチャンネルに割り当てるには、以下のい ずれかの操作を行います： • 目的のソース・オーディオ・ファイルを、Finderから特定のチャンネル（たと えば「L」）のアイコンにドラッグします。 • 特定のチャンネル（たとえば「L」）のアイコンをクリックし、「開く」ダイ アログで、そのチャンネルに使用するソース・オーディオ・ファイルの場所を 探します。 これで、ファイルが「L」（左フロント）チャンネルに割り当てられます。 3 サラウンドストリームに含めるソース・オーディオ・ファイルごとに、ステップ 2 を繰り返します。 メモ: Dolby Digital Professional（AC-3）サラウンドストリームを作成する場合、 テーブルに示されているすべてのチャンネルを一度に使用することはありませ ん。Dolbyオーディオコーディングモードの図については、「オーディオ」タブ の設定を参照してください。 4 必要に応じて「ビデオを追加」ボタンをクリックし、サラウンド・サウンド・ ジョブに含めるビデオファイルを選択します。 5 チャンネルを割り当てるインターフェイスへのソース・オーディオ・ファイルと ソース・ビデオ・ファイルの追加を終えたら、「OK」をクリックします。 サラウンドファイルのグループが、「バッチ」ウインドウに単一のサラウンド・ ソースメディアファイルとして表示されます。 第 6 章 ソースメディアファイルを読み込む 97サラウンドサウンドジョブについて サラウンド・サウンド・ジョブの作成が完了すると、「バッチ」ウインドウの ソース・メディア・ファイルのサムネールに（ビデオファイルがジョブに追加さ れていない限り）サラウンドサウンドのアイコンが表示され、「インスペクタ」 ウインドウにチャンネルとそれに割り当てられたファイルが表示されます。 Click a channel’s icon to change the file assigned to that channel. ファイルの割り当ては「インスペクタ」ウインドウで変更できます。 サラウンドサウンド・ファイルの割り当てを変更するには 1 変更したいチャンネルのスピーカーアイコンをクリックします。 ファイル選択ダイアログが開きます。 2 このチャンネルに割り当てるファイルを見つけ、「開く」をクリックします。 3 必要に応じて、「ビデオを追加」をクリックしてジョブにビデオファイルを追加 したり、割り当て済みのビデオファイルを削除してから「ビデオを追加」をク リックして別のビデオファイルを選択したりすることができます。 Dolby Digital Professional 出力ファイルの作成方法については、Dolby Digital Professional の出力ファイルを作成するを参照してください。 98 第 6 章 ソースメディアファイルを読み込むバッチにイメージシーケンスを追加する 静止画像のシーケンスを単一のイメージ・シーケンス・ジョブとして 「Compressor」に読み込んでから、出力フレームレートとオーディオファイルを そのジョブに適用することができます。その時点から、「Compressor」のほかの ソースメディアファイルと同じようにそのジョブを扱い、設定、書き出し先、 フィルタ、およびポスト・トランスコード・アクションを追加して、目的のビデ オとオーディオのフォーマットおよび特性を持つ出力メディアファイルを作成す ることができます。 バッチに静止画像のシーケンスのジョブを追加するには 1 「Compressor」を開きます。 「バッチ」ウインドウが開きます。「名称未設定」の空のバッチタブが作成され ます。 Untitled batch tab Empty batch area with a placeholder job メモ: バッチ・テンプレート・セレクタが自動的に開く場合は、「キャンセル」 をクリックしてバッチ・テンプレート・セレクタを閉じます。「Compressor」を 開くときにバッチ・テンプレート・セレクタが開かないようにするには、「今後 このダイアログを表示しない」チェックボックスを選択するか、「Compressor」 の環境設定で「新規バッチ用：空のテンプレートを使用」を選択します。 2 以下のいずれかの操作を行います： • 「イメージシーケンスを追加」ボタンをクリックし、読み込みたいイメージ シーケンスファイルが含まれるフォルダに移動します。 • 「ジョブ」＞「イメージシーケンスを使って新規ジョブを作成」と選択して （または、Command ＋ Option ＋ I キーを押して）、読み込みたいイメージシー ケンスファイルが含まれるフォルダに移動します。 3 読み込みたいイメージシーケンスファイルが含まれるフォルダを選択します。 4 「開く」をクリックします。 第 6 章 ソースメディアファイルを読み込む 99新しいジョブが「バッチ」ウインドウに表示されます。 5 「バッチ」ウインドウでジョブを選択します。 「インスペクタ」ウインドウに、新しいイメージ・シーケンス・ジョブの情報と コントロールを含む「A/V 属性」タブが表示されます。 6 以下のいずれかの操作を行います： • 選択したイメージシーケンスファイルを確認します。（「情報」（i）ボタン をクリックすると、ファイルの完全な一覧を確認できます。） • 「ビデオ」セクションでビデオフォーマット情報を確認します。 • 「ネイティブ優先フィールド」ポップアップメニューを使って、ソースファイ ルの優先フィールドを調整します。（「プログレッシブ」、「上を優先」、お よび「下を優先」から選択できます。） • 「フレームレート」ポップアップメニューを使って、標準のフレームレートの 一覧から選択することでソースファイルのフレームレートを調整します。 • 「オーディオを選択」をクリックし、オーディオファイルを検索および選択し てイメージ・シーケンス・ジョブに追加します。 100 第 6 章 ソースメディアファイルを読み込むメモ: 「Compressor」が対応している、イメージシーケンス用のオーディオファ イルの種類は以下の通りです：AIFF、MP3、MPEG-4 オーディオのみ（.m4a）、 QuickTime ムービー（.mov） メモ: 「Compressor」を使って、イメージシーケンスを出力することもできます。 詳細については、イメージシーケンス出力ファイルを作成するを参照してくださ い。 「インスペクタ」とソースメディアファイルを使う バッチのジョブを選択すると、「インスペクタ」ウインドウにそのジョブのソー スメディアファイルに関する情報が表示されます。 「インスペクタ」ウインドウには、「A/V属性」、「追加情報」、および「ジョ ブ操作」の 3 つのタブがあります。 「A/V 属性」タブ 「A/V 属性」タブにはソースメディアファイルに関する一般情報が含まれ、3 つ のセクションに分割されています。 • ファイル情報： このセクションには、ファイルの名前、位置、およびタイプ が表示されます。 • ビデオ情報： このセクションには、適用できる場合、ビデオに関連するファ イル情報がすべて表示されます。フレームサイズ、フレームレート、タイム コードに関する情報などです。 • オーディオ情報： このセクションには、該当する場合、オーディオに関連す るファイル情報がすべて表示されます。サンプルサイズやサンプルレートなど です。 第 6 章 ソースメディアファイルを読み込む 101「追加情報」タブ 「追加情報」タブでは、「Final Cut Pro」や QuickTime といったほかのアプリケー ションで追加されたさまざまなメタデータ項目を表示および変更することができ ます。そして、このファイルをクローズドキャプションファイルと関連付けるた めの機能もあります。 クローズドキャプションファイルをジョブのソースメディアファイルと関連付け るには 1 ジョブをクリックして、ソースメディアファイルの属性を「インスペクタ」ウイ ンドウに表示します。 2 「追加情報」タブをクリックします。 3 「選択」をクリックし、クローズドキャプションファイル（Scenarist クローズド キャプションフォーマットのファイルで、ファイル拡張子は通常「.scc」）を探 して「開く」をクリックします。 メモ: クローズドキャプションデータは、H.264（Apple デバイス用）、MPEG-2、 および QuickTime ムービーの出力フォーマットでサポートされています。 ジョブのターゲットの出力フォーマットに応じて、「Compressor」はクローズド キャプションファイルを出力メディアファイルに適用します。 • QuickTime 出力の場合： 「Compressor」は、クローズドキャプショントラック として QuickTime 出力ファイルにクローズドキャプションファイルを追加しま す。QuickTime プレーヤー（バージョン 7.2 以降）を使ってクローズドキャプ ションを表示できます。 • MPEG-2 エレメンタリーストリーム出力の場合： 「Compressor」は、DVD オー サリングに使用できるように、エレメンタリー MPEG-2 ビデオストリームの中 にクローズドキャプションデータを埋め込みます。 102 第 6 章 ソースメディアファイルを読み込む• MPEG-2 プログラムおよび転送ストリーム出力の場合： 「Compressor」は、 EIA-708 ATSC プロトコルを使用して、プログラムおよび転送 MPEG-2 ストリー ムの中にクローズドキャプションデータを埋め込みます。 重要： クローズドキャプションファイルのタイムコード値は、ソースメディア ファイルのタイムコードと直結している必要があります。「テキストエディッ ト」でクローズドキャプションファイルを開くことで、このファイルに含まれる タイムコード値を表示できます（実際のテキストはエンコードされていて、この ままでは読むことはできません）。 注釈を追加するには 1 ジョブをクリックして、ソースメディアファイルの属性を「インスペクタ」ウイ ンドウに表示します。 2 「追加情報」タブをクリックします。 3 「注釈を追加」ポップアップメニューを使って、注釈のタイプを選択します。 4 対応する「値」フィールドをダブルクリックして、注釈テキストを入力します。 5 「保存」をクリックします。 メモ: この「注釈を追加」機能は、H.264（Apple デバイス用）、MP3、および QuickTime ムービーの出力フォーマットでサポートされています。 第 6 章 ソースメディアファイルを読み込む 103「ジョブ操作」タブ 「ジョブ操作」タブを使うと、トランスコード後のアクションをジョブ全体に適 用および調整できます。 「ジョブ操作」タブの使いかたの詳細については、「ジョブ操作を追加する」を 参照してください。 ソースメディアファイルの読み込みのヒント ソースメディアファイルの読み込みについていくつかのヒントを紹介します。 圧縮率の高いソースファイル MPEG ファイルなど、圧縮率の高いソースファイルはソースファイルとして使用 しないよう強くお勧めします。エンコードしたビデオに望ましくないアーティ ファクトが生じる原因になります。 QuickTime 参照ムービー 参照ムービーで分散処理を実行する場合は、Apple Qmaster 分散処理システムに よって適切なメディアファイルが自動的に処理クラスタにコピーされます。最高 のパフォーマンスを得るため、参照ムービーで指定されているメディアファイル が Apple Qmaster クラスタの各ノードで使用可能であることを確かめることによっ て、このファイル転送のステップを回避することができます。詳細については、 「Apple Qmaster システムはどのようにバッチを分散するか」を参照してくださ い。 104 第 6 章 ソースメディアファイルを読み込むMPEG-2 ファイルを読み込む MPEG-2 ファイルを読み込んだ場合、このファイルを「プレビュー」ウインドウ で再生するにはあらかじめファイルを解析する必要があります。ファイルの解析 では、フレーム構造やその他ファイルに必要とされる情報の判定が行われます。 ファイル全体でフレーム構造が変動する可能性があるため、ファイル全体をス キャンする必要があり、ファイルが長い場合はこの処理に数分かかることがあり ます。 「DVD Studio Pro メタデータを追加」チェックボックスが選択されている状態で 「Compressor」を使用してエンコードした MPEG-2 エレメンタリーファイルでは、 これは発生しません。詳細については、「エクストラ」タブを参照してくださ い。 Dolby Digital Professional のソースメディアファイルについて Dolby Digital Professional の AC-3 オーディオファイルをジョブのソースメディア ファイルとして使用することができます。このようなファイルを使用するには、 大きく 2 つの理由があります。 • エンコードしたファイルをその場でテストする： Dolby Digital Professional の出 力設定はプレビューすることができないため、エンコードしたファイルをジョ ブに読み込むことで、ファイルを再生し、設定を確認することができます。 • Dolby Digital オーディオファイルを別のフォーマットに変換する： 必ずしもす べてのメディアプレーヤーに Dolby Digital デコーダが装備されているわけでは ないため、別のフォーマットにファイルをトランスコードしなければならない 場合があります。 「Compressor」には Dolby Digital デコーダが装備されているので、Dolby Digital オーディオファイルの再生またはトランスコードに使用されます。このため、外 部の Dolby Digital デコーダを用意しなくても、エンコードしたファイルの Dolby Digital Professional 出力設定をシステム上で確認することができます。サラウンド サウンドを聞くには、外部のサラウンドサウンド・デバイスをお使いのコンピュー タの USB または FireWire 出力に接続する必要があります。システムのステレオス ピーカーを使用してオーディオを再生した場合、2つのチャンネルにオーディオ がミックスダウンされます。 重要： オーディオ出力はすでにデコードされ、Dolby Digital フォーマットでなく なっているため、「Compressor」から Dolby Digital ファイルを再生するときに光 出力は使用できません。 ヒント: 「Compressor」でジョブにファイルを追加できない場合には、ファイル 名に拡張子「.ac3」を付けてください。 第 6 章 ソースメディアファイルを読み込む 105自動値と非標準の QuickTime ファイル 「Compressor」はさまざまな手法を使って、「自動」に設定されている設定に適 切な値を判断します。ほとんどの場合、QuickTime ファイルに、フレームレート やフレームサイズなど、ファイルのさまざまな属性を指定するメタデータが含ま れています。しかし、このようなメタデータが存在せず、「Compressor」に強制 的に情報を判断させたり、メタデータが正しくなく、「Compressor」が「自動」 設定に対して間違った値を生成したりという場合があります。 さらに、一部の QuickTime ファイルは非標準の設定を使うため、「Compressor」 で不適切な自動値を選択せざるを得ないこともあります。 このような理由から、「自動」に設定されている設定について「インスペクタ」 で値を確かめることをお勧めします。詳細については、自動設定についてを参照 してください。 106 第 6 章 ソースメディアファイルを読み込む設定とは、出力フォーマット、フィルタ、ジオメトリを含むトランスコード属性 の集合で、トランスコード処理の一環としてユーザがソースメディアファイルに 適用します。 ソースメディアファイルに設定を少なくとも 1 つ割り当てないと、トランスコー ドは実行できません。「バッチ」ウインドウで現在のバッチにソースメディア ファイルを配置したら、構成済みの設定を選択するか、「設定」タブで独自の設 定を作成することができます。 必要と思われる設定がすべて指定されていれば、直接「バッチ」ウインドウから 選択できるので、「設定」タブを再び開く必要はありません。 メモ: 個々の設定は、「Compressor」プリセットの 1 種です。設定の場合と同様 に、書き出し先プリセットも作成、変更、保存、および削除ができます。書き出 し先の詳細については、書き出し先を決める／変更するを参照してください。 この章では以下の内容について説明します： • 「設定」タブについて (ページ 108) • 「インスペクタ」と設定を使う (ページ 112) • 設定を複製する (ページ 113) • 最初から設定を作成する (ページ 114) • 設定を検索する (ページ 116) • 設定をプレビューする (ページ 116) • 設定を削除する (ページ 118) • 設定のグループを作成する (ページ 119) • 設定を配布する／共有する (ページ 120) • 例：DVD のカスタムグループおよび設定を作成する (ページ 121) 107 設定を作成する／プレビューす る／変更する 7「設定」タブについて 「設定」タブでは、設定を管理できます。「設定」タブを「インスペクタ」ウイ ンドウと併用することで、すべての設定の詳細だけでなく、トランスコードの一 般的なコントロールにも簡単にアクセスできます。 「設定」タブと「インスペクタ」ウインドウを使用して、設定を作成、変更、削 除したり、グループフォルダを作成して複数の設定をまとめて保存したりするこ とができます。ドロップレットも「設定」タブから作成できます。 「設定」タブには、既存の設定の一覧があります。また、設定を追加、削除、複 製したり、設定グループやドロップレットを作成したりするための各種ボタンも 用意されています。 Duplicate Selected Setting button Settings list “Create a New Setting Group” button An example setting Click the disclosure triangles to show or hide a setting group’s contents. “Save Selection as Droplet” button Delete Selected Settings button “Create a New Setting” button 「設定」タブのボタン 次のボタンは、「設定」タブの一番上にあります。 • 新規設定グループを作成： クリックすると、既存の設定をグループにまとめ るためのフォルダを作成できます。このボタンを使用して、あるルールに従っ た順序で設定を整理すると、「設定」タブが使いやすくなります。設定を作成 してから、複数の設定を分類した設定グループをソースメディアファイルに割 り当てたり（「バッチ」ウインドウでソースファイルに設定グループをドラッ グ）、複数の設定を組み込んだドロップレットを作成したりすることができま す。詳細については、設定のグループを作成するを参照してください。 108 第 7 章 設定を作成する／プレビューする／変更する• 選択したものをドロップレット として保存： クリックすると、既存の 1 つの 設定または設定グループからドロップレットを作成することができます。ド ロップレットを作成すると、そのアイコンに 1つまたは複数のソースメディア ファイルをドラッグするだけで、メディアファイルをトランスコードできま す。設定または設定グループを選択してからこのボタンをクリックすると、 「保存」ダイアログが表示されます。ここで、ドロップレットに名前を付けて 保存先を選択し、関連付けられる出力メディアファイルの書き出し先フォルダ を選択します。このダイアログを終了すればドロップレットの準備が整い、必 要なファイルをいくつでもこのアイコンにドラッグできます。ドロップレット の詳細については、ドロップレットを使うを参照してください。 • 選択した設定を複製： クリックして、「設定」タブで現在選択している設定 を複製します。このボタンを使うと、「設定」タブで現在選択している設定の 完全なコピーが作成されます。このボタンを使用すれば、構成済みの設定を複 製してから必要に応じて調整できるため、新しい設定を最初から作成する手間 が省けます。 • 検索フィールド： 特定の属性の設定を検索するためのテキストを入力します。 たとえば、「iPod」と入力すると、特に iPod 用に設計された設定のリストを表 示できます。 • 新規設定を作成（+）： クリックすると、「設定」タブに新しい設定を追加で きます。このボタンをクリックすると、出力ファイルフォーマット（H.264 （Apple デバイス用）、MPEG-2、MPEG-4 など）を選択するためのダイアログ が表示されます。 • 選択した設定を削除（–）： クリックすると、「設定」タブから設定を削除で きます。確認画面は表示されません。このボタンをクリックする前に、その設 定を削除してもよいかどうかを十分に確認してください。 メモ: 「Apple」フォルダ内の設定は削除できません。 第 7 章 設定を作成する／プレビューする／変更する 109設定リスト 「設定」タブをはじめて開いたとき、Apple が「Compressor」にあらかじめ組み 込んでいる設定のセットが「Apple」フォルダ内に表示されます。このタブには、 コンピュータに保存されている設定および設定グループの名前と詳細説明がすべ て示されます。 The Apple setting group with subgroups New “Untitled” setting 新しい設定は、「カスタム」フォルダ内に「名称未設定 [ファイルフォーマッ ト]」というデフォルト名で表示されます。ここで、「[ファイルフォーマット]」 には「+」（新規設定を作成します）ポップアップメニューから選択したファイ ルフォーマット名が入ります。その設定に関連した設定詳細や配布手段など、何 らかの意味を持つ名前に変更することをお勧めします。「設定」タブで設定をク リックすると、「インスペクタ」ウインドウにその設定が開きます。 Click a setting to see it in the Inspector window. Enter the selected setting’s name and description in the Inspector window. 110 第 7 章 設定を作成する／プレビューする／変更するこのウインドウの「名前」フィールドに適切な名前を入力してください。「説 明」フィールドには、その設定についての詳細情報を入力します。この情報は 「設定」タブ内だけに表示されるもので、多数の設定が保存されている場合に用 途に適した設定のファイルを識別するのに役立ちます。 設定は、グループフォルダに入れて整理することもできます。グループフォルダ を作成して名前を付けたら、既存のカスタム設定をそのフォルダにドラッグして 整理します。グループに設定をドラッグすると、その設定は現在の位置から削除 されます。グループ内の個々の設定をソースメディアファイルにドラッグするこ ともできます。詳細については、設定のグループを作成するを参照してくださ い。 ターゲットを選択する バッチのターゲットを選択すると、その設定は即座に「インスペクタ」ウインド ウに表示されます。「名前」フィールドには、「選択したターゲット」と表示さ れます。これは選択した設定の一時的なコピーで、設定そのものではありませ ん。したがって、1回だけ実行するバッチに合わせて、その設定を一時的に変更 することができます。 Select a target in the Batch window to see its settings in the Inspector window. The setting’s name shows as “Selected Target.” Click the Save As button to save this as a new setting with any changes you make. ターゲットの設定を変更すると、「インスペクタ」ウインドウの下にある「別名 で保存」ボタンがアクティブになります。このボタンをクリックすると、変更し た設定が新しく指定した名前で保存されます。保存したコピーは、「設定名－コ ピー」という名前で「設定」タブに表示され、即座に選択状態の設定になりま す。 第 7 章 設定を作成する／プレビューする／変更する 111「インスペクタ」と設定を使う 「インスペクタ」ウインドウには、フィルタ、ジオメトリ、出力フォーマットな ど、出力メディアファイルに関連したすべての設定を作成および変更することが できるパネルがあります。「インスペクタ」ウインドウでは、設定に名前を付け たり、カスタマイズした内容を後で簡単に思い出せるように説明を加えたりする こともできます。 • 「設定一覧」パネル： 選択した設定に関する詳細な設定一覧が表示されます。 このパネルの詳細については、設定一覧パネルを参照してください。 • 「エンコーダ」パネル： 出力ファイルフォーマット、および関連のビデオ設 定とオーディオ設定を選択できます。各種「エンコーダ」パネルの詳細につい ては、以下のセクションを参照してください。 • AIFF エンコーダパネルについて • 一般的なオーディオ・フォーマット・ファイルを作成する • DV ストリームの「エンコーダ」パネルについて • Dolby Digital Professional の「エンコーダ」パネルについて • 「H.264（Apple デバイス用）」の「エンコーダ」パネルについて • H.264（Blu-ray ディスク用）を作成する • イメージシーケンスの「エンコーダ」パネルについて • MP3 出力ファイルを作成する • MPEG-1 エンコーダパネルについて • MPEG-2 エンコーダパネルについて • MPEG-4 Part 2 の「エンコーダ」パネルについて • QuickTime 書き出しコンポーネントの「エンコーダ」パネルについて • QuickTime ムービーの「エンコーダ」パネルについて • 「フレームコントロール」パネル： フレームサイズ、フレームレート、また は優先フィールドへの変更をカスタマイズできます。（詳細については、フ レームコントロールを使って作業するを参照してください。） • 「フィルタ」パネル： 出力ファイルの品質を高めるために、設定にフィルタ を追加できます。（詳細については、「フィルタ」パネルについてを参照して ください。） • 「ジオメトリ」パネル： 出力メディアファイルのフレームサイズをクロップ して設定できます。（詳細については、画角設定を追加するを参照してくださ い。） • 「アクション」パネル： メール通知を送信し、デフォルトの書き出し先を設 定に割り当てることができます。（詳細については、アクションを追加するを 参照してください。） 112 第 7 章 設定を作成する／プレビューする／変更する設定を複製する 別の設定で使いたい属性が含まれている設定がある場合は、最初から新しい設定 を作成するのではなく、既存の設定を複製して、その複製に対して必要な変更を 加えることができます。Apple が提供する設定を複製し、その複製にニーズに 合った調整を加えていくことは、カスタムな設定を作成する場合に最も便利な方 法です。 設定を複製するには 1 「設定」タブで、複製したい設定を選択します。 2 選択した設定を複製するボタンをクリックします。 Select the setting to be duplicated. Click the Duplicate Selected Setting button to duplicate the selected setting. 元の名前の前に「名称未設定」という語が追加された名前で、新しい設定が「カ スタム」フォルダ内に表示されます。 3 「カスタム」フォルダ内の新しい設定を選択します。 4 「インスペクタ」ウインドウの各パネルを開くと、次の項目を変更できます： • 設定名および説明： このカスタム設定を作成した理由を簡単に思い出すこと ができるよう、名前と説明を変更します。 • 「エンコーダ」パネル： ここでは、出力フォーマット、ビデオコーデックと オーディオコーデック、およびそれらの関連属性を変更します。 • 「フレームコントロール」パネル： 必要に応じて「フレームコントロール」 パネルの属性を変更します。 • 「フィルタ」パネル： 必要に応じてフィルタの属性を変更します。フィルタ の横のチェックボックスを選択すると、そのフィルタが設定に追加され、チェッ クボックスの選択を解除すると、そのフィルタが設定から削除されます。 • 「ジオメトリ」パネル： 必要に応じて「ジオメトリ」パネルの属性を変更し ます。 • 「アクション」パネル： 必要に応じて「アクション」パネルの属性を変更し ます。 第 7 章 設定を作成する／プレビューする／変更する 1135 設定に何らかの変更を加えた場合は、次のいずれかの操作をするとその変更内容 が保存されます： • 「インスペクタ」ウインドウの下にある「保存」ボタンをクリックする • その他の設定を選択する 変更した属性を保存するかどうかを確認するダイアログが表示されます。 6 「OK」をクリックすると、変更内容が保存されます。「元に戻す」をクリック すると、変更内容をキャンセルして「インスペクタ」ウインドウに戻ることがで きます。 設定の割り当て方法の詳細については、ソースメディアファイルに設定を割り当 てるを参照してください。 最初から設定を作成する 構成済みの設定では適切なトランスコードができない場合、またはより多くのプ リセットが必要な場合は、独自の設定を作成できます。 メモ: カスタムな設定を作成するには、Apple が提供する設定を複製し、その複 製に対してニーズに合った調整を加えていく方法をお勧めします。設定の複製の 詳細については、設定を複製するを参照してください。 設定を作成するには 1 「設定」タブで追加（+）ボタンをクリックして、ポップアップメニューから出 力フォーマットを選択します。 Choose an output format for the new setting 114 第 7 章 設定を作成する／プレビューする／変更する「設定」タブの「カスタム」フォルダに「名称未設定」という名前の新しい設定 が、選択した出力ファイルフォーマット名と共に表示されます（たとえば、「名 称未設定 MPEG-2」）。 The new Untitled setting 「インスペクタ」ウインドウも変更され、この設定のパラメータが表示されま す。 メモ: この設定の出力ファイルフォーマットは「インスペクタ」ウインドウの 「エンコーダ」パネルでいつでも変更できますが、変更した場合は必ず設定名も 修正して、変更後のフォーマットを反映させてください。 2 「インスペクタ」ウインドウの各パネルを開くと、次の項目を変更できます： • 設定名および説明： このカスタム設定を作成した理由を簡単に思い出すこと ができるよう、名前と説明を変更します。 • 「エンコーダ」パネル： ここでは、出力フォーマット、ビデオコーデックと オーディオコーデック、およびそれらの関連属性を変更します。 • 「フレームコントロール」パネル： 必要に応じて「フレームコントロール」 パネルの属性を変更します。 • 「フィルタ」パネル： 必要に応じてフィルタの属性を変更します。フィルタ の横のチェックボックスを選択すると、そのフィルタが設定に追加され、チェッ クボックスの選択を解除すると、そのフィルタが設定から削除されます。 • 「ジオメトリ」パネル： 必要に応じて「ジオメトリ」パネルの属性を変更し ます。 • 「アクション」パネル： 必要に応じて「アクション」パネルの属性を変更し ます。 3 「保存」をクリックして、設定を保存します。 設定の割り当て方法の詳細については、ソースメディアファイルに設定を割り当 てるを参照してください。 メモ: 設定のグループを作成して、1 ステップの操作でメディアファイルに割り 当てることができます。詳細については、設定のグループを作成するを参照して ください。 第 7 章 設定を作成する／プレビューする／変更する 115設定を検索する 「設定」タブには、必要な設定をすばやく見つけるための検索フィールドがあり ます。たとえば、「iPhone」と入力すると、iPhone を含む設定のリストを表示で きます。 設定を検索するには µ 検索フィールドをクリックし、検索するテキストを入力します。 設定の名前と説明の両方を検索場所として、入力したテキストが含まれているか どうか判定されます。検索フィールドの右にある「X」をクリックすると、入力 テキストが消去され、通常の設定表示に戻ります。 設定をプレビューする 「Compressor」の「プレビュー」ウインドウでは、フィルタやフレームのサイズ 変更など、作成する設定のエフェクトを確認できます。また、メディアファイル をリアルタイムでプレビューしながら、設定の属性を調整できます。 メモ: 設定だけをプレビューすることはできません。ソースメディアファイルか らなるジョブに設定をあらかじめ割り当てておく必要があります。また、「エン コーダ」パネルおよび「フレームコントロール」パネルの設定はプレビューでき ません。これら 2 つのパネルで行った設定のエフェクトを確認するには、「プレ ビュー」ウインドウを使って、トランスコードするソースメディアファイルの一 部分だけを選択し、出力ファイルを表示して結果を確認します。詳細について は、「テストトランスコードのヒント」を参照してください。 「プレビュー」ウインドウで設定をプレビューするには 1 バッチ内のジョブに設定を適用します。 詳細については、ソースメディアファイルに設定を割り当てるを参照してくださ い。 2 プレビューしたい設定のターゲットを「バッチ」ウインドウで選択します。 メモ: 「プレビュー」ウインドウが表示されないときは、「バッチ」ウインドウ の「プレビュー」ボタンをクリックするか、Command ＋ 2 キーを押してくださ い。 116 第 7 章 設定を作成する／プレビューする／変更する「プレビュー」ウインドウに、選択したソースメディアファイルの最初のフレー ムが表示されます。また、選択した設定のタイトルがバッチ項目のポップアップ メニューに表示されます。画面の左半分（ソースビュー）にはソースメディア ファイルが元のフォーマットで表示され、右半分（出力ビュー）には、選択した フィルタおよびその他の設定属性を適用した場合の出力イメージが表示されま す。 Output view Batch Item selection buttons Source view Batch Item pop-up menu 第 7 章 設定を作成する／プレビューする／変更する 1173 「プレビュー」ウインドウでメディアファイルをプレビューしながら、必要に応 じて設定を調整します。 This half of the Preview window shows the effects of the Inspector window changes. Make adjustments while previewing the media file in the Preview window. Select the item you want to change. メモ: メディアファイルのフィルタ設定のエフェクトをプレビューするには、 フィルタリストでそのフィルタのチェックボックスを選択しておく必要がありま す。選択しないと「プレビュー」ウインドウでフィルタが認識されないため、 ジョブのトランスコード設定にはそのフィルタが含まれません。設定のプレビュー 方法の詳細については、プレビューウインドウを使うを参照してください。ま た、フィルタの詳細については、「フィルタ」パネルについてを参照してくださ い。 設定を削除する カスタムな設定を削除するには、「選択した設定を削除」ボタンを使います。 メモ: 「Apple」フォルダ内の設定は削除できません。 設定を削除するには 1 削除したい設定を選択します。 2 「選択した設定を削除」（–）ボタンをクリックするか、キーボードの Delete キーを押します。 118 第 7 章 設定を作成する／プレビューする／変更する警告： 設定を削除するときに確認メッセージは表示されません。また、削除操 作を取り消して設定を復元することもできません。 設定のグループを作成する 設定のグループを作成しておくと、ソースメディアファイルに複数の設定をすば やく割り当てることができます。 設定のグループを作成するには 1 「設定」タブでグループ作成ボタンをクリックします。 「設定」タブに「名称未設定」というフォルダが表示され、「説明」列には「0 個の設定」と表示されます。このフィールドは変更できません。ここには、グ ループに含まれる設定の数が表示されます。 A new untitled group with 0 settings is created. Enter a name for the new group. Click the Group button. 2 「インスペクタ」ウインドウの「名前」フィールドに、適切なグループ名を入力 します。 3 「設定」タブで、必要な設定をグループフォルダにドラッグします。 第 7 章 設定を作成する／プレビューする／変更する 119メモ: グループの階層（グループを包含するグループ）も作成できます。グルー プフォルダを別のグループフォルダにドラッグするだけです。 This custom group contains three other custom groups, each with its own settings. 「説明」フィールドに、グループに含まれる設定の数が表示されます。グループ フォルダ内に最低限 1 つの設定があれば、グループフォルダの横にある開閉用三 角ボタンをクリックして、その設定グループの詳細を表示したり隠したりするこ とができます。グループの設定の詳細をすべて表示するには、グループを選択し ます。これで、「インスペクタ」ウインドウの「設定一覧」パネルにすべての詳 細が表示されます。 メモ: あるグループの設定を別のグループにドラッグして移すこともできます。 複数のグループに同じ設定を追加するには 1 設定を選択します。 2 「複製」ボタンをクリックしてコピーを作成します。 3 複製した設定を別のグループフォルダにドラッグします。 設定の名前を変更、たとえば、名前から「コピー」という語を取り除くことがで きます。 設定を配布する／共有する 新しく作成した設定は、「/ユーザ/ユーザ名/ライブラリ/Application Support/Compressor/Settings」にあるホームフォルダに XML ファイルとして保存 されます。ファイルには「.setting」という拡張子が付きます。カスタム設定は、 配布先として使ったコンピュータのホームフォルダの同じ場所に置けば、配布し たり、共有したりすることができます。また、これらのファイルは通常のファイ ルを配布する場合と同様に、電子メールに添付したり、サーバに置いたりして転 送できます。 120 第 7 章 設定を作成する／プレビューする／変更するメモ: 「Compressor 4」以降を使って作成した設定は、それより前のバージョン の「Compressor」と互換性がありません。 「設定」タブから設定をデスクトップまたは Finder ウインドウにドラッグすれ ば、設定ファイルをすばやく簡単にコピーできます。Finder から、設定をメール に添付したり、別のフォルダまたはボリュームにコピーしたりできます。 設定を直接「Compressor」からコピーするには µ 1つまたは複数の設定を「設定」タブから Finderにドラッグします（たとえば、 デスクトップにドラッグします）。 逆に、Finderから設定ファイルをドラッグして「Compressor」に設定を追加する こともできます。 設定を Finder から「Compressor」に適用または追加するには 以下のいずれかの操作を行います: µ 1 つまたは複数の設定を Finder から「設定」タブの「カスタム」グループにド ラッグします。 「設定」タブの「カスタム」グループに設定が表示されます。 µ 1つまたは複数の設定を Finderから「バッチ」ウインドウの空の領域にドラッグ します。 1つまたは複数のターゲット行に設定が指定された状態で、新しいジョブが表示 されます。 µ 1つまたは複数の設定を Finderから「バッチ」ウインドウのジョブタイル上の空 の領域にドラッグします。 1つまたは複数の新しいターゲット行が、設定を指定された状態でジョブに表示 されます。 ドロップレットを使って設定を「Compressor」に追加することもできます。詳細 については、Compressor でドロップレットを使ってジョブと設定を作成するを 参照してください。 例：DVD のカスタムグループおよび設定を作成する たとえば、現在、HD プロジェクトに取り組んでいるとします。このプロジェク トでは、最終的に HD と SD両方の DVD が作成されます。さらに、完成までの毎 日の作業を SD DVD に記録しておくとします。 第 7 章 設定を作成する／プレビューする／変更する 121このためには、2 つの設定グループを作成するのが簡単な方法です。 • 日次作業のための設定： これは、AIFF オーディオエンコーダ（高速な処理能 力を必要とし、ディスク容量には問題がないため）および最速の設定を使用す る SD フレームサイズの MPEG-2 エンコーダ（品質が重視されるわけではない ため）などです。また、HD DVD を簡単に再生できるのであれば、HDエンコー ダであってもかまいません。 • 最終的なディスクのための設定： これは、高品質の SD出力ビデオを保証する ためにフレームコントロールを使用した、AC-3 オーディオエンコード、DVD 用 H.264 HD ビデオエンコード、MPEG-2 エンコードなどです。 上記の 2 つのグループを含み、このプロジェクトを表す名前の設定グループをも う 1 つ別に作成できます。 日次作業と最終出力用のグループを作成するには 1 「設定」タブでグループ作成ボタンを 3 回クリックして、名称未設定の新しいグ ループを 3 つ作成します。 2 新規グループの 1 つ目を選択し、「インスペクタ」ウインドウでプロジェクトを 表す名前を付けます。 3 新規グループの 2 つ目を選択し、Dailies という名前を付けます。 4 新規グループの 3 つ目を選択し、Final Discs という名前を付けます。 5 「設定」タブで、Dailies グループおよび Final Discs グループを上にドラッグし て、プロジェクトを表す名前が付けられたグループが黒い箱で囲まれたら、マウ スを放します。 メモ: Shift キーを押しながら、複数のグループまたは設定を選択できます。 6 「Apple」フォルダ内の設定から、これらの新規グループ内の各設定で必要とさ れるものに最も近いものを探します。 7 選択した設定を複製するボタンをクリックして、各設定のコピーを作成します。 122 第 7 章 設定を作成する／プレビューする／変更する8 コピーした各設定を選択し、名前を変更した後、適切なフォルダにドラッグしま す。 This custom group contains the settings used to create the dailies. This custom group contains the settings used to create the final disc. This custom group contains the other custom groups, each with its own settings. 各設定を選択し、必要な変更を行います。 ソースメディアファイルを読み込み、ジョブを作成したら、該当するグループ （Dailiesまたは Final Disc）を割り当てるだけで、適切な設定がすべてターゲット に適用されます。 第 7 章 設定を作成する／プレビューする／変更する 123ジョブは、設定と書き出し先からなる少なくとも 1 つのターゲットが割り当てら れたソースメディアファイルから構成されます。これまでにソースメディアファ イルを読み込んで、ジョブを作成しました。 このジョブを完成させ、トランスコードを実行できる状態にするには、1つまた は複数のターゲットを追加する必要があります。ファイルをどのようにトランス コードするかについてあらゆる点を定義する設定と、トランスコードしたファイ ルをどこに保存し、どのように名前を生成するかを定義する書き出し先が各ター ゲットに含まれます。また、各ターゲットで出力ファイルに手動で名前を入力す ることもできます。 「Compressor」には、設定や書き出し先をターゲットに割り当てたり、バッチを 実行／再実行したりするためのさまざまなオプションがあります。 メモ: 該当のウインドウでのプリセット作成の詳細については、「設定」タブに ついておよび「書き出し先」タブについてを参照してください。 この章では以下の内容について説明します： • 設定を割り当てる (ページ 125) • 書き出し先を設定する (ページ 130) • ジョブおよびターゲットの一般情報 (ページ 133) • バッチの一般情報 (ページ 135) • Final Cut Pro や Motion で Compressor を使う (ページ 142) • Compressor で分散処理を使う (ページ 144) 設定を割り当てる このセクションでは、ソースメディアファイルに設定を割り当て、割り当てた設 定を置き換えるまたは変更する方法について説明します。 125 ジョブを完成する／バッチを実 行する 8ソースメディアファイルに設定を割り当てる 各種の方法を使用して、ジョブに設定を割り当てることができます。「設定」タ ブから設定をドラッグする方法などは、1つのジョブで作業するのに適していま す。ショートカットメニューを使う方法などは、同じ設定をジョブのグループに 割り当てるのに適しています。Finder から（設定またはドロップレットを）ド ラッグして、設定を割り当てることもできます。 メモ: 以下の手順は、すでにバッチにソースメディアファイルを追加し、設定を 追加するジョブが作成されていることが前提となります。ソースメディアファイ ルの読み込みの詳細については、ソースメディアファイルを読み込むを参照して ください。 ヒント: Optionキーを押したまま設定グループの開閉用三角ボタンをクリックす ると、このグループ（およびすべてのサブグループ）を展開し、その中に含まれ るすべての設定を表示することができます。 ドラッグによって設定をジョブに割り当てるには 1 「設定」タブで 1 つまたは複数の設定や設定のグループを選択します。 2 「バッチ」ウインドウでジョブに設定をドラッグします。 Select one or more (two in this case) settings to apply to the job. A job with a source media file in the Batch window 126 第 8 章 ジョブを完成する／バッチを実行するバッチのジョブに追加した設定ごとに新しいターゲットが作成されます。 New targets are added for each setting you drag to the job. メモ: ドラッグで設定を割り当てた場合、1 つのジョブにしか設定を適用できま せん。 「ターゲット」メニューを使って設定をジョブに割り当てるには 1 「バッチ」ウインドウの現在のバッチ内にある 1 つまたは複数のジョブを選択し ます。 2 「ターゲット」＞「設定を使って新規ターゲットを作成」と選択します。 「バッチ」ウインドウ上に設定を選択するよう求めるダイアログが表示されま す。 Click Add to assign the settings to the selected jobs. Select the settings to apply to the selected jobs. Select the jobs in the Batch window. 3 ジョブに割り当てる 1 つまたは複数の設定や設定のグループを選択して、「追 加」をクリックします。 第 8 章 ジョブを完成する／バッチを実行する 127選択したそれぞれのジョブに設定が割り当てられます。 ショートカットメニューを使って設定をジョブに割り当てるには 1 「バッチ」ウインドウの現在のバッチ内にある 1 つまたは複数のジョブを選択し ます。 2 Control キーを押したまま、選択したジョブの 1 つをクリックし、ショートカッ トメニューから「設定を使って新規ターゲットを作成」を選択します。 ショートカットメニューに、グループ別に設定がリストされます。割り当てたい グループを直接選択することはできませんが、それぞれのグループに「すべて」 項目が含まれているので、そのグループのすべての設定を選択することができま す。 メモ: この方法では、複数の設定を個別に選択することはできません。 3 いずれかの 1 つの設定を選択するか、または「すべて」を選択してグループ内の すべての設定を選択します。 選択したすべてのジョブにこの設定が適用されます。 Finder から設定を割り当てるには 以下のいずれかの操作を行います: µ 1つまたは複数の設定を Finderから「バッチ」ウインドウの空の領域にドラッグ します。 1つまたは複数のターゲット行に設定が指定された状態で、新しいジョブが表示 されます。 µ 1つまたは複数の設定を Finderから「バッチ」ウインドウのジョブタイトル上の 空の領域にドラッグします。 1つまたは複数の新しいターゲット行が、設定を指定された状態でジョブに表示 されます。 詳細については、設定を配布する／共有するを参照してください。 ドロップレットを使って設定を「Compressor」に追加することもできます。詳細 については、Compressor でドロップレットを使ってジョブと設定を作成するを 参照してください。 割り当てた設定を別の設定に置き換える ジョブに設定を割り当てた後に、もっと適切な設定が見つかり、ターゲットの設 定を新しいものに変更したいという場合があります。いくつかの方法を使って、 ターゲットの設定を変更することができます。どの方法を使っても、書き出し先 および出力ファイル名の設定はそのままで、影響を受けることはありません。 128 第 8 章 ジョブを完成する／バッチを実行するすでにターゲットに割り当てられている設定を別の設定に置き換えるには 以下のいずれかの操作を行います: µ 「ターゲット」＞「設定を変更」と選択します。設定を選択するよう求めるダイ アログが表示されるので、新しい設定を選択し、「追加」をクリックして、選択 したターゲットに新しい設定を割り当てます。 µ Control キーを押したままターゲットをクリックし、ショートカットメニューか ら「設定を変更」を選択します。設定を選択するよう求めるダイアログが表示さ れるので、新しい設定を選択し、「追加」をクリックして、選択したターゲット に新しい設定を割り当てます。 µ 「設定」タブで新しい設定を選択して、ターゲットにドラッグします。 メモ: 上記のどの方法でも、設定を複数選択した場合、ターゲットに割り当てら れるのは先頭の設定だけです。 割り当てた設定を変更する 「バッチ」ウインドウで、すでにソースメディアファイルに割り当てられている 設定のコンポーネント（「インスペクタ」ウインドウに「選択したターゲット」 と表示されます）を編集または変更することができます。 ソースメディアファイルにすでに割り当てた設定を「バッチ」ウインドウで変更 するには 1 変更したい設定を含むバッチ内のターゲットを選択します。 第 8 章 ジョブを完成する／バッチを実行する 129選択した設定が「インスペクタ」ウインドウに表示され、「名前」フィールドに 「選択したターゲット」というテキストが表示されます。これは選択した設定の 一時的なコピーで、設定そのものではありません。したがって、1回だけ実行す るバッチに合わせて、その設定を一時的に変更することができます。 Select a target in the Batch window to see its settings in the Inspector window. The setting’s name shows as “Selected Target.” Click the Save As button to save this as a new setting with any changes you make. 2 設定を変更します。 設定を変更すると、「インスペクタ」ウインドウの下にある「別名で保存」ボタ ンがアクティブになります。 3 このボタンをクリックすると、変更した設定が新しく指定した名前で保存されま す。 保存したコピーは、「設定名－コピー」という名前で「設定」タブに表示され、 即座に選択状態の設定になります。 メモ: 変更した設定は必ずしも保存しておく必要はありませんが、後でもう一度 必要になった場合に備えて保存しておくと便利です。 書き出し先を設定する このセクションでは、出力の書き出し先と出力ファイル名を設定する方法につい て説明します。 130 第 8 章 ジョブを完成する／バッチを実行するソースメディアファイルに書き出し先を割り当てる ターゲットに設定を割り当てると、デフォルトの書き出し先も自動的に割り当て られます。「Compressor」の環境設定を使ってデフォルトの書き出し先を設定で きます。（「Compressor」＞「環境設定」と選択します。）デフォルトの書き出 し先は「Compressor」に用意されていますが、カスタムの書き出し先を作成する こともできます。書き出し先の詳細については、書き出し先を決めるを参照して ください。 デフォルトの書き出し先をほかの書き出し先に置き換えることも、出力ファイル の保存先を手動で選択することもできます。ソースファイルに書き出し先を割り 当てる方法は複数あります。設定を割り当てる場合と同様、それぞれの方法に利 点があります。 ドラッグによって書き出し先を割り当てるには 1 「書き出し先」タブで書き出し先を選択します。 2 「バッチ」ウインドウでターゲットに書き出し先をドラッグします。 Drag the destination to a job with a target in the Batch window. Select a destination to apply to the target. ターゲットの書き出し先部分が新しい書き出し先にアップデートされます。 メモ: ドラッグで書き出し先を割り当てた場合、1 つのジョブにしか書き出し先 を適用できません。さらに、この方法では、一時的な書き出し先は作成できませ ん。 第 8 章 ジョブを完成する／バッチを実行する 131このドラッグ方法を使用して、ジョブの空の部分に書き出し先をドラッグし、新 しいターゲット（設定は空の状態）を作成することもできます。 「ターゲット」メニューまたはショートカットメニューを使って書き出し先を割 り当てるには 1 書き出し先を設定したいすべてのターゲットを選択します。 2 以下のいずれかの操作を行います： • 「ターゲット」＞「書き出し先」＞「[書き出し先]」と選択します。 • Control キーを押したままターゲットの 1 つをクリックし、ショートカットメ ニューから「書き出し先」＞「書き出し先」と選択します。 Use the target’s shortcut menu to change the destination for the selected targets. 書き出し先を選択すると、各ターゲットの書き出し先セクションに表示されま す。 メモ: 「その他」を選んで、一時的な書き出し先を設定することもできます。 ファイル選択ダイアログが開き、その時に実行しようとしているバッチのためだ けの、別の書き出し先を設定することができます。この書き出し先は保存され ず、ここで実行されるバッチにのみ適用されます。 出力ファイル名を設定する 書き出し先では、出力ファイルの保存先だけでなく、出力ファイル名をどのよう に作成するかも規定します。書き出し先を割り当てると、出力ファイル名が設定 されます。この出力ファイル名をこのまま使用することもできますが、手動で ファイル名を変えても、新しいファイル名を入力してもかまいません。 132 第 8 章 ジョブを完成する／バッチを実行するファイル名を変更したり、新しい出力ファイル名を入力したりするには µ 出力ファイル名領域をクリックして既存の名前を編集するか、または既存のファ イル名をトリプルクリックして新しい名前を入力します。 The output filename ジョブおよびターゲットの一般情報 このセクションでは、ジョブおよびターゲットに関する一般情報を提供します。 ターゲットについて ターゲットには、以下の 3 つの項目が含まれます： • 設定 • 書き出し先 • 出力ファイル名 The setting The destination The output filename Drag the dividers to expand a target’s section and make it easier to see the entry. The target Add and Delete buttons 各種の方法を使用して、ジョブにターゲットを追加することができます。その中 でも最も一般的なのが、設定または書き出し先をジョブに追加する方法です。そ の他、以下のいずれかの方法を使用することも可能です。 第 8 章 ジョブを完成する／バッチを実行する 133ジョブに空のターゲットを追加するには 以下のいずれかの操作を行います: µ 1つまたは複数のジョブを選択して、「ターゲット」＞「新規ターゲット」と選 択します。これによって、空のターゲットがジョブに追加されます。 µ 1 つまたは複数のジョブを選択し、Control キーを押したまま、その中のいずれか のジョブの空の領域をクリックして、「ターゲット」＞「新規ターゲット」と選 択します。これによって、空のターゲットがジョブに追加されます。 µ 既存のターゲットの追加（+）ボタンをクリックします。 あるジョブの 1 つまたは複数のターゲットを別のジョブにコピーすることもでき ます。 ドラッグによってターゲットを別のジョブにコピーするには 1 コピーするターゲットを選択します。 2 Option キーを押して、新しいジョブにターゲットをドラッグします。 ターゲットを削除するには 以下のいずれかの操作を行います: µ 1 つまたは複数のターゲットを選択して、Delete キーを押します。 µ ターゲットで削除（–）ボタンをクリックします。 ジョブの追加とコピーについて 一般的には、バッチにソースメディアファイルを追加することでジョブが作成さ れます。それ以外にもいくつかの方法を使用して、バッチにジョブを追加するこ とができます。さらに、バッチ内のジョブをチェーン化して、実行したときに ファイルがトランスコードされる順番を設定できます。 バッチに空のジョブを追加するには µ 「ジョブ」＞「新規ジョブ」と選択します。 バッチからジョブを削除するには µ ジョブを選択して、Delete キーを押します。 あるバッチから別のバッチにジョブをコピーするには 以下のいずれかの操作を行います: µ 各バッチをそれぞれのウインドウに開いて、一方のウインドウからもう一方のウ インドウにジョブをドラッグします。 µ コピーするジョブを選択して、Command ＋ C キーを押し、コピー先のバッチを 選択して、Command ＋ V キーを押します。 134 第 8 章 ジョブを完成する／バッチを実行するジョブのチェーン化について それぞれの設定を 1 つずつ順番に適用しながら、複数の設定をソースメディア ファイルに適用しなければならない場合、ジョブをチェーン化しておくと便利で す。こうすることで、設定によってソースメディアファイルが変更される順番を 制御することができます。 選択したターゲットを新規ジョブにチェーン化するには 1 新規ジョブにチェーン化したい出力があるターゲットを選択します。 2 以下のいずれかの操作を行います： • 「ジョブ」＞「ターゲット出力を使って新規ジョブを作成」と選択します。 • Control キーを押したまま、ターゲットの 1 つをクリックし、ショートカット メニューから「ターゲット出力を使って新規ジョブを作成」を選択します。 新規ジョブがバッチに追加され、チェーンサムネールとチェーン化先のターゲッ トの出力ファイル名が表示されます。 The chained job’s source name is the output filename of the target it is chained to. The chained job’s thumbnail is this chain link logo. 必要に応じて、複数のジョブをチェーン化できます。2つのジョブをチェーン化 した例については、その他のリバーステレシネに関する問題を参照してくださ い。 バッチの一般情報 このセクションでは、バッチを実行、保存、および開く方法に関する一般情報を 提供します。 バッチを実行する バッチ内のジョブおよびそのターゲットを設定すると、バッチを実行して処理で きる状態になります。 バッチを実行するには 1 実行するバッチが「バッチ」ウインドウで選択されていることを確かめます。 第 8 章 ジョブを完成する／バッチを実行する 1352 以下のいずれかの操作を行います： • 「ファイル」＞「実行」と選択します。 • 「バッチ」ウインドウの「実行」ボタンをクリックします。 実行ダイアログが表示されます。 3 「名前」フィールドをチェックして、バッチ名を確認します。 このバッチを表すもっと分かりやすい名前に変更することができます。この名前 が、「Share Monitor」と「履歴」ウインドウの両方でこの実行に使用されます。 4 「クラスタ」ポップアップメニューで以下のいずれかの操作を行います：「クラ スタ」ポップアップメニューを使って、バッチを処理するコンピュータまたはク ラスタを選択します。 • 「このコンピュータ」を選択します： 「このコンピュータプラス」を選択し て、「このコンピュータ」と利用可能なすべてのサービスノードを含む一時的 なクラスタを作成しない限り、バッチの処理にほかのコンピュータが関係する ことはありません。 詳細については、「「このコンピュータプラス」および非管理サービスについ て」を参照してください。 • クラスタの選択： バッチの処理がクラスタで実行されます（「このコンピュー タプラス」は使用できません）。 選択したクラスタによっては、認証が必要になります。詳細については、 「Apple Qmaster と分散処理」を参照してください。 5 「優先度」ポップアップメニューを使って、バッチの優先順位レベルを選択しま す。 6 「実行」をクリックするか、または Enter キーを押して、バッチを実行します。 「履歴」ウインドウにバッチの進捗状況が示されます。詳細については、「履 歴」ウインドウについてを参照してください。 メモ: 「履歴」ウインドウが開いていない場合は自動的に開きます。 136 第 8 章 ジョブを完成する／バッチを実行する「バッチ」ウインドウで「Share Monitor」のアイコンをクリックして、トランス コードの進行状況をモニタすることもできます。「Share Monitor」の詳細につい ては、「Share Monitor」の「ヘルプ」メニューにある「Share Monitor ユーザーズ マニュアル」を参照してください。 「Compressor」の環境設定で、「Share Monitor」を自動的に開くように設定でき ます。詳細については、Compressor の環境設定を行うを参照してください。 メモ: 大きなバッチ（たとえば、それぞれに設定が 3 つ割り当てられた 9 つのソー スメディアファイルのバッチ処理）を実行する場合、実行開始までに 10 秒程度 の待ち時間が生じます。このような場合は、そのままお待ちください。 「Compressor」は、大きなバッチを正しく実行できるよう、準備をしています。 大きなバッチをトランスコードする場合、コンピュータのスクリーンセーバをオ フにしてください。スクリーンセーバにリソースが奪われない分、トランスコー ドの速度が改善します。 バッチが実行されると、黄色の三角形の中に感嘆符が含まれるアイコンがバッチ 内に表示されます。 Click the warning symbol to see an explanation about why it is there. このような警告マークは、バッチに何らかの問題がある場合に「Compressor」で 使用されます。このマークにポインタを合わせると、なぜこのマークが表示され ているのか説明するツールヒントが表示されます。また、このマークをクリック すると、ダイアログが表示されます。 上記のケースでは、バッチが実行されたことで、この名前のファイルが書き出し 先に作成され、もう一度実行した場合には、このファイルが上書きされることを 知らせるための警告です。 バッチの実行時に実行ダイアログをバイパスすることもできます。この場合、実 行するバッチでは、前回実行したバッチの設定が自動的に使用されます。 前の設定を使ってバッチを実行するには 以下のいずれかの操作を行います: µ 「ファイル」＞「前の設定を使って実行」と選択します。 第 8 章 ジョブを完成する／バッチを実行する 137µ 「バッチ」ウインドウのツールバーで「前の設定を使って実行」項目（存在する 場合）をクリックします。 「バッチ」ウインドウの使用に関する詳細については、バッチウインドウについ てを参照してください。 テストトランスコードのヒント トランスコードセッションが長い場合は、セッションを開始する前に、ソースメ ディアファイルの一部分を使って簡易テストを行います。こうすることで、設定 が間違っているとか、参照ファイルで参照先のファイルが見当たらないといった 問題があった場合、長い時間をかけずに修正を行うことができます。また、こう したテストを行うことで、「プレビュー」ウインドウに表示されない「エンコー ダ」パネルおよび「フレームコントロール」パネルの結果もプレビューすること ができます。ソースメディアファイルの一部分を簡単に選択するための方法につ いては、プレビューウインドウでクリップの一部をトランスコードするを参照し てください。 テスト部分は、適用した設定のタイプに適したものを選択してください。たとえ ば、フレームコントロールを使ってフレームレートやフィールドオーダーの変換 を行うのであれば、動きの速い部分を選択します。 「履歴」ウインドウについて 「履歴」ウインドウでは、過去に実行したすべてのバッチにすばやくアクセスす ることができます。過去のバッチは、「バッチ」ウインドウにドラッグするだけ で再実行できます。また、「履歴」ウインドウから、特定のバッチが実行された 時期について詳細を確認することもできます。 Click the disclosure triangle to see the details of that day’s submissions. 「履歴」ウインドウでは、実行日別に内容がまとめられています。このソート順 序は、「履歴」ウインドウ下部にある「逆順に並べ替える」ボタンをクリックす ることで変更できます。また、「消去」ボタンをクリックして「履歴」ウインド ウの内容を消去したり、項目を選択し Delete キーを押してその項目を削除した りすることもできます。 138 第 8 章 ジョブを完成する／バッチを実行するさらに、現在トランスコード中のバッチの進捗状況も「履歴」ウインドウに表示 させることができます。 Click the disclosure triangle to see the details of each target of this submission. Click the Pause button to temporarily pause the transcode process. Click it again to resume transcoding. The name of this submission Click the Cancel button to end the transcode process. メモ: 「履歴」ウインドウは、バッチの実行時に閉じていれば自動的に開きま す。 トランスコードが終了すると、「履歴」ウインドウにボタンが追加されるので、 エンコードされたファイルを簡単に見つけることができます。 A target from the submitted batch Click the “Reveal in Finder” button to show the encoded file in a Finder window. Clicking this disclosure triangle shows the submission details. バッチを再実行する バッチを実行した結果の情報はすべて「履歴」ウインドウに保存されています。 これには、バッチのすべてのジョブおよびターゲットについての詳細や、バッチ に割り当てられたソースメディアファイルについての情報が含まれています。こ の情報を元に、「履歴」ウインドウのエントリーを「バッチ」ウインドウへド ラッグして戻すだけで、簡単にバッチを再実行することができます。 「履歴」ウインドウからバッチを再実行するには 1 開閉用三角ボタンを使って、再実行するバッチを見つけます。 第 8 章 ジョブを完成する／バッチを実行する 139メモ: この場合、実行名を簡単に見分けがつく名前にしておくと便利です。 2 「履歴」ウインドウから「バッチ」ウインドウに実行をドラッグします。 「履歴」ウインドウから「バッチ」ウインドウへバッチをドラッグすると、 「Compressor」はこのバッチについて名称が未設定の新しいタブを「バッチ」ウ インドウに作成します。ドラッグしたバッチが、元のすべての設定（ソースメ ディアファイル、ターゲット、割り当てた設定、書き出し先、出力フォーマッ ト、バッチ名）と共に新しいタブに表示されます。必要な変更をバッチに加えた ら、このバッチを再実行することができます。 バッチファイルを保存する／開く バッチを設定しても、すぐ実行できないことがあります。その場合、後で参照で きるようにバッチ設定を保存しておくと便利です。 バッチファイルを保存するには 1 「ファイル」＞「別名で保存」と選択します（または、Command ＋ Shift ＋ S キーを押します）。 ファイルに名前を付け、書き出し先を選択するよう求めるダイアログが開きま す。 2 デフォルトの名前以外を使用する場合は名前を入力します。 3 ファイルの書き出し先を選択します。 4 「保存」をクリックします。 バッチファイル名には、拡張子「.compressor」が付きます。 メモ: Finder の環境設定ですべての拡張子を表示するようにしている場合は、拡 張子「.compressor」が「バッチ」ウインドウのタブに表示されます。 「Compressor」でバッチファイルを開くには 1 「ファイル」＞「開く」と選択します（または、Command ＋ O キーを押しま す）。 開くバッチファイルを選択するよう求めるダイアログが開きます。 2 開くバッチファイルの位置を確認し、選択します。 3 「開く」をクリックします。 バッチファイルは、Finderでダブルクリックして開くことも、「Compressor」の アプリケーションアイコンにドラッグして開くこともできます。 メモ: バッチファイルに記載されたソースファイルの中に見つけられないものが あった場合、「Compressor」はエラーメッセージを表示し、見つかったソースだ けを表示します。 140 第 8 章 ジョブを完成する／バッチを実行する1 つのソースメディアファイルからの別々のクリップをトランス コードする 大きなソースメディアファイルの中の、別々の部分をいくつかだけトランスコー ドしたい場合、バッチの実行を 1 回で済ませることができます。 1つのソースメディアファイルからの別々のクリップをトランスコードするには 1 「バッチ」ウインドウを開きます。 2 用意したいクリップの数と同じ回数だけ、ソースメディアファイルをバッチに読 み込みます。 ソースメディアファイルを読み込むたびに、新しいジョブが作成されます。 3 それぞれのジョブに設定を追加します。 トランスコードの後でもクリップを簡単に見分けることができるように、出力 ファイル名に識別子が付けられます。 Unique file identifiers are automatically applied to each job. 4 「プレビュー」ウインドウを開くには、以下のいずれかの操作を行います： • 「ウインドウ」＞「プレビュー」と選択します（または、Command ＋ 2 キー を押します）。 • 「バッチ」ウインドウの「プレビュー」ボタンをクリックします。 「プレビュー」ウインドウが開きます。 5 バッチ項目選択ボタン／ポップアップメニューを使って、トランスコードする各 メディアファイルを切り替えます。 6 イン点／アウト点をドラッグして、使いたい部分を指定します。次のメディア ファイルに切り替え、同様にしてイン点／アウト点をドラッグし、次に使いたい 部分を指定します。 第 8 章 ジョブを完成する／バッチを実行する 141I（イン）／O（アウト）キーを使って、再生ヘッドの現在位置へマーカーを移動 することもできます。 The In point The Out point 7 「バッチ」ウインドウに戻り、「実行」をクリックする。 詳細については、「プレビュー」ウインドウについてを参照してください。 Final Cut Pro や Motion で Compressor を使う 「Final Cut Pro」と「Motion」の「共有」メニューには、よく使用される設定済み の多数のトランスコードオプションがあります。必要なトランスコードオプショ ンが設定済みの共有項目にない場合、またはいずれかのオプションをカスタマイ ズする必要がある場合は、「Compressor へ送信」オプションを使用して 「Compressor」でプロジェクトを開き、そこで必要に応じて設定できます。 重要： これらのオプションを利用するには、「Compressor 4」を「Final Cut Pro X」、「Motion 5」と同じコンピュータにインストールする必要があります。 プロジェクトをトランスコード用に実行する 「Final Cut Pro」または「Motion」のプロジェクトを、あらかじめ指定した設定 で、または適用する設定なしで「Compressor」に送信することができます。いず れの場合も、プロジェクトはバッチに組み込まれ、そこで他のバッチと同じよう に設定を行えます。 「Final Cut Pro」または「Motion」のプロジェクトをトランスコードするには 1 「Final Cut Pro」または「Motion」で、トランスコードするプロジェクトを開いて 選択します。 2 「Final Cut Pro」または「Motion」の「共有」メニューで、出力オプションを選択 し、設定します。 142 第 8 章 ジョブを完成する／バッチを実行する使用できるオプションとその設定については、「Final Cut Pro」のヘルプまたは 「Motion」のヘルプを参照してください。 3 以下のいずれかの操作を行います： • 「共有」メニューで「Compressor へ送信」オプションを選択した場合は、 「Compressor」が開き、設定未適用の新規バッチ内のジョブとしてプロジェク トが表示されます。 • その他のオプションを選択した場合は、「詳細」をクリックし、「Compressor へ送信」を選択します。「Compressor」が開き、選択した「共有」メニューオ プションの設定が適用された新規バッチ内のジョブとしてプロジェクトが表示 されます。 The Final Cut Pro project name is used as the new job’s name. 4 必要に応じて、ジョブに設定や書き出し先を割り当てます。 詳細については、以下のセクションを参照してください。 • ソースメディアファイルに設定を割り当てる • ソースメディアファイルに書き出し先を割り当てる 5 「バッチ」ウインドウの「実行」ボタンをクリックします。 「Compressor」で Final Cut Pro プロジェクトのトランスコードが開始されます。 メモ: 「Compressor」で「Final Cut Pro」または「Motion」のプロジェクトが開か れたら、「Final Cut Pro」または「Motion」でそのプロジェクトまたはほかのプロ ジェクトの作業を続けることができます。 プロジェクトを再実行する ほかの種類のバッチと同様に、「履歴」ウインドウを使って「Final Cut Pro」ま たは「Motion」のプロジェクトを再実行することができます。「Compressor」は 最初に実行したときの状態でプロジェクトを再実行します。最初の実行時以降の プロジェクトの変更内容は無視されます。 この方法の詳細については、バッチを再実行するを参照してください。 第 8 章 ジョブを完成する／バッチを実行する 143Final Cut Pro や Motion の分散処理を最適化する 「Final Cut Pro」や「Motion」のメディアが分散処理される方法に影響する一般的 な状況は以下の 2 つです： • メディアが「Final Cut Pro」または「Motion」のブートディスク上にある： こ れは、メディアを処理するデフォルトの方法です。この場合、使用できる分散 処理オプションは「このコンピュータプラス」だけです。最初に 「Apple Qmaster」でソースメディアを分散処理サービスコンピュータにコピー する必要があるため、分散処理プロセスの速度が低下します。 • メディアがマウント可能な非ブートディスク上にある： 「Final Cut Pro」や 「Motion」のメディアをコンピュータのブートディスク以外のディスクに格納 すると、どの分散処理サービスコンピュータもソースメディアに直接アクセス できます。「Apple Qmaster」でメディアをサービスコンピュータにコピーする 必要がなく、使用できる任意クラスタでプロジェクトが実行されるように設定 できます。このディスクとして、コンピュータの 2つ目の内蔵ディスク、外付 けディスク、ローカル・ネットワーク・コンピュータ上のディスクを使用でき ます。 「Final Cut Pro」や「Motion」の分散処理を最適化するには 1 Final Cut Pro プロジェクトで使用するすべてのイベントが、ファイル共有を設定 したマウント可能なディスクに格納されていることを確認します。「Final Cut Pro」 や「Motion」のメディアの非デフォルトディスクへの格納について詳しくは、「 Final Cut Pro ヘルプ 」と「 Motion ヘルプ」を参照してください。 2 Apple Qmaster クラスタの各コンピュータに、Final Cut Pro イベント、その他のメ ディアファイルが格納されたハードディスクをマウントします。 3 「Compressor」の環境設定で、「クラスタオプション」ポップアップメニューか ら「ソースをクラスタにコピーしない」を選択します。 Apple Qmaster クラスタを直接使用するか、「Compressor へ送信」で使用可能な クラスタを選択する「Final Cut Pro」や「Motion」のプロジェクトでは、ソース ファイルをクラスタのコンピュータにコピーする時間が必要なくなるので、トラ ンスコード処理の効率が高まります。 Compressor で分散処理を使う 複数のコンピュータに処理を分散することによって、スピードと生産性を向上さ せることができます。「Compressor」の Apple Qmaster 機能では、スピードを向 上させるために作業を分割して、最も計算能力のあるコンピュータに配信し、指 定したコンピュータに処理を実行させます。 Apple Qmaster 分散処理ネットワークのセットアップと管理に関する詳細な手順 については、「Apple Qmaster と分散処理」を参照してください。 144 第 8 章 ジョブを完成する／バッチを実行するこのセクションでは、「Compressor」で Apple Qmaster 分散処理システムを使う ときに注意する必要のある 2 つの特定のトピックについて説明します。 ジョブのセグメント化と 2 パスまたはマルチパスエンコーディング 2 パスモードまたはマルチパスモードを選択し、分散処理を有効にしている場 合、処理速度の向上か、可能な限り最高の品質かのいずれを選択するのかを決め る必要があります。 Apple Qmaster 分散処理システムは、作業を複数の処理ノード（コンピュータ） に分散することによって処理の速度を速めます。これを行う方法の 1 つとして、 1つのジョブのフレーム総数を小さいセグメントに分割する方法があります。処 理を行うコンピュータはそれぞれ、異なるセグメントに対して作業を行います。 ノードは並行して作業を行うため、ジョブは、1台のコンピュータの場合よりも 早く終了します。ただし、2 パス VBR（可変ビットレート）エンコーディングお よびマルチパスエンコーディングでは各セグメントが個別に処理されるので、ど のセグメントも最初のパスで割り当てられるビットレートには、ほかのコンピュー タで処理されたセグメントの情報は含まれません。 まず最初に、ソースメディアのエンコーディングの難易度（複雑さ）を評価しま す。次に、「エンコーダ」パネルの上部にある「ジョブのセグメント化を許可」 チェックボックスで、ジョブのセグメント化を許可するかどうかを選択します。 ソースメディアファイル全体を考えたときに、メディアの単純な領域と複雑な領 域の配分が同じである場合、セグメント化が選択されているかどうかに関係な く、同じ品質が得られます。その場合は、セグメント化を許可して、処理時間を 短縮してください。 ただし、複雑なシーンが不均等に配分されたソースメディアファイルもありま す。たとえば、2 時間のスポーツ番組があり、前半 1 時間は試合前の解説コー ナーなどで出演者が対談する比較的動きの少ないシーン、後半 1 時間は選手たち の動きが多いシーンだとします。このソースメディアが 2 つのセグメントに等分 された場合、セグメントは別個のコンピュータで処理されるため、1番目のセグ メントに対するビットレート割り当てのビットの一部を、2番目のセグメントに 「渡す」ことができなくなります。その結果、2つ目のセグメント内の複雑なア クション場面の品質に悪影響が出ます。このソースメディアのエンコードで、2 時間の番組全体にわたって最大限の品質を確保する必要がある場合は、「エン コーダ」パネルの上部にあるチェックボックスの選択を解除して、ジョブのセグ メント化を許可しない方が得策です。こうすると、ジョブ（さらにビットレート の割り当て）は、強制的に 1 台のコンピュータ上で処理されます。 メモ: 「ジョブのセグメント化を許可」チェックボックスは、個々のジョブ（ソー スファイル）のセグメント化にのみ影響します。複数のジョブでバッチを実行す る場合、分散処理システムは、ジョブのセグメント化がオフであっても、引き続 きジョブを分散して（セグメント化せずに）処理時間を短縮します。 第 8 章 ジョブを完成する／バッチを実行する 145可変ビットレートエンコーディング（VBR）の詳細については、「品質」タブを 参照してください。Apple Qmaster 分散処理システムの詳細については、 「Apple Qmaster と分散処理」を参照してください。 「このコンピュータプラス」および非管理サービスについて 「Compressor」には「このコンピュータプラス」機能があります。この機能を使 用すると、クラスタの構成方法やセットアップファイルの共有などに関する知識 がそれほどなくても、「Apple Qmaster」が提供する分散処理機能を簡単に利用で きます。 「このコンピュータプラス」を使用するには、以下の 2 つの手順を実行します： • 「このコンピュータプラス」クラスタに含まれる各コンピュータ上に 「Compressor」をインストールし、分散処理サービスを提供するように設定し ます。 • Compressor バッチの処理を実行するときに「このコンピュータプラス」チェッ クボックスを選択します。 メモ: 認証が必要な場合があります。詳細については、「Apple Qmasterと分散 処理」を参照してください。 これら 2 つのステップによって、新たな労力や知識を必要とせずにネットワーク 上の複数のコンピュータの処理能力を活用できるようになります。 詳しくは、「「このコンピュータプラス」を使ったクイックスタート」を参照し てください。 146 第 8 章 ジョブを完成する／バッチを実行する「Compressor」を使って、AIFF フォーマットでオーディオを出力できます。 この章では以下の内容について説明します： • AIFF 出力ファイルを作成する (ページ 147) • AIFF エンコーダパネルについて (ページ 148) • 「サウンド設定」ダイアログについて (ページ 148) • QuickTime オーディオのサンプルサイズおよびサンプルレート (ページ 150) • 配信用のオーディオコーデックを選択する (ページ 150) • AIFF 設定を構成する (ページ 150) AIFF 出力ファイルを作成する AIFF（Audio Interchange File Format）ファイルフォーマットは、高品質のオーディ オを格納することを目的に、Appleによって開発されました。このフォーマット は DVD または CD のオーサリングに適しており、現在は Mac OS でごく普通に使 われるオーディオ・ファイル・フォーマットの 1 つになっています。 メモ: 特殊な AIFFファイルを作成する必要がある場合にのみ、「ファイルフォー マット」ポップアップメニューから「AIFF」オプションを選択してください。標 準 AIFF ファイルを作成する場合は、「一般的なオーディオフォーマット」オプ ションを選択します。 147 AIFF ファイルを作成する 9AIFF エンコーダパネルについて 「インスペクタ」ウインドウの「エンコーダ」パネルで、「ファイルフォーマッ ト」ポップアップメニューから「AIFF」出力フォーマットを選択すると、以下の オプションが表示されます。 File Extension field QuickTime AIFF Summary table Click to open the Sound Settings dialog. Choose AIFF. • ファイル拡張子： 「ファイルフォーマット」ポップアップメニューから、ま たは「設定」タブにある（+）ポップアップメニューから AIFF出力フォーマッ トを選択すると、このフィールドに AIFF ファイルの拡張子（.aiff）が自動的に 表示されます。このフィールドは変更しないでください。 • ジョブのセグメント化を許可： このチェックボックスを使って、ジョブのセ グメント化をオフにすることができます。ジョブのセグメント化は、オーディ オのみのエンコードでは使われないため、このチェックボックスは AIFF ファ イルフォーマットでは無効になります。詳細については、ジョブのセグメント 化と 2 パスまたはマルチパスエンコーディングを参照してください。 • 設定： このボタンをクリックすると、QuickTime の「サウンド設定」ダイアロ グが開きます。このダイアログで、適切なオーディオコーデックを選択し、ほ かのオーディオ圧縮設定を変更します。詳細については、「サウンド設定」ダ イアログについてを参照してください。 • QuickTime AIFF の設定一覧： このテーブルに設定の詳細な情報が表示されます。 「サウンド設定」ダイアログについて 「サウンド設定」ダイアログでは、QuickTime出力フォーマットおよび AIFF 出力 フォーマットのオーディオ圧縮設定を変更します。このダイアログを開くには、 AIFF または QuickTime ムービーの「エンコーダ」パネルで、「オーディオ」の 「設定」ボタンをクリックします。 148 第 9 章 AIFF ファイルを作成する変更できないオーディオ設定は淡色表示されます。一部のオーディオコーデック では、追加設定ができます。これらは、「サウンド設定」ダイアログの下半分に 表示されます。「オプション」ボタンが使用可能になる場合もあります。ボタン をクリックして追加設定を行います。 Choose the number of channels (the selection varies based on the codec). Choose a rate that provides the quality and file size required. Choose an audio codec. Format-specific settings based on the codec 「サウンド設定」ダイアログには以下の項目があり、「フォーマット」ポップ アップメニューで選択されているオーディオコーデックに応じて、さまざまな指 定ができます。 • フォーマット： 設定に追加するオーディオコーデックを選択します。 • チャンネル： チャンネル出力のタイプを選択します。たとえばモノラルやス テレオを選択できますが、コーデックによってはマルチチャンネル出力も選べ ます。 • レート： メディアファイルに使用するサンプルレートを選択します。サンプ ルレートが大きいとオーディオ品質が高くなりますが、ファイルサイズも大き くなります。大きなファイルのダウンロードには、長い時間とより大きな帯域 幅が必要となります。 • 詳細設定を表示： 「フォーマット」ポップアップメニューで選択したコーデッ クにオプション設定がなければ、このボタンは淡色表示されます。コーデック に用意されている追加オプションの詳細については、各コーデックの開発元に お問い合せください。 第 9 章 AIFF ファイルを作成する 149QuickTime オーディオのサンプルサイズおよびサンプル レート ディスク容量と帯域幅に余裕がある場合は、オーディオを圧縮せずに使うのが最 善でしょう。非圧縮オーディオには、通常 8 ビットサンプル（電話レベルの音 質）または 16 ビットサンプル（CD レベルの音質）が使用されます。 「Compressor」ではサンプルあたり 64 ビット浮動小数点と、最高サンプルレー ト 192 kHz がサポートされています。 配信用のオーディオコーデックを選択する MPEG-4 オーディオ（AAC）は汎用性の高いオーディオ配信コーデックで、さま ざまな再生デバイスとの互換性が確保されています。低速なコンピュータの場合 は、IMA などの圧縮率の低いフォーマット、または AIFF などのまったく圧縮され ていないフォーマットを選択することをお勧めします。そのようなフォーマット はプロセッサに対する負荷が少ないため、コンピュータの能力を大きな負荷のか かるビデオストリームに向けることができます。 AIFF 設定を構成する 出力フォーマットとして AIFF 出力ファイルフォーマットを選択する場合、作成 できるのはオーディオ設定のみです（オーディオ専用フォーマットのため）。 オーディオコーデックを AIFF プリセットに追加する場合は、「サウンド設定」 ダイアログを開き、そこでオーディオコーデック設定を選択する必要がありま す。 AIFF オーディオコーデックの設定を作成するには 1 「設定」タブで以下のいずれかを実行します： • 適切な設定が選択されていることを確認します。 • 新規設定の作成（+）ポップアップメニューで「AIFF」を選択して、新しい設 定を作成する。 2 AIFF「エンコーダ」パネルで「設定」ボタンをクリックします。 150 第 9 章 AIFF ファイルを作成する「サウンド設定」ダイアログが開きます。 Choose an audio codec from the Format pop-up menu. 3 「フォーマット」ポップアップメニューからオーディオコーデックを選択し、デ フォルトのままで利用するか、ほかのオーディオコーデック設定をカスタマイズ します（「フォーマット」、「チャンネル」、「レート」、および各種のオプ ションなど）。詳細については、「サウンド設定」ダイアログについてを参照し てください。 メモ: 現在の詳しいプリセット内容については、「エンコーダ」パネルの QuickTime AIFF の設定一覧テーブルで確認できます。 4 「OK」をクリックして設定を保存し、ダイアログを閉じます。 第 9 章 AIFF ファイルを作成する 151この設定を使えば、いくつかの一般的なオーディオフォーマットでオーディオを 簡単に出力できます。 この章では以下の内容について説明します： • 一般的なオーディオ・フォーマット・ファイルを作成する (ページ 153) • 「一般的なオーディオフォーマット」パネルについて (ページ 154) • 一般的なオーディオフォーマットの設定を構成する (ページ 155) 一般的なオーディオ・フォーマット・ファイルを作成す る 「一般的なオーディオフォーマット」設定により、以下のフォーマットのオー ディオファイルを簡単に作成できます： • AIFF： AIFF（Audio Interchange File Format）ファイルフォーマットは、高品質 のオーディオを格納することを目的に、Apple によって開発されました。この フォーマットは DVD または CD のオーサリングに適しており、現在は Mac OS でごく普通に使われるオーディオ・ファイル・フォーマットの 1つになってい ます。 メモ: これは、標準 AIFF フォーマットファイルの作成に使用します。特殊な AIFF フォーマットのファイルを作成する必要がある場合は、「ファイルフォー マット」ポップアップメニューから「AIFF」オプションを選択してください。 • Apple CAF ファイル： Apple が開発した Apple CAF（Core Audio Format）は高パ フォーマンスで柔軟性に富み、将来の超高解像度オーディオの録音、編集、再 生にも対応できます。ファイルサイズに制限はなく、多種多様なメタデータに 対応します。 • WAVE： WAVE（WAVE 形式オーディオ・ファイル・フォーマット）は主に Windows コンピュータで使用されています。 153 一般的なオーディオ・フォー マット・ファイルを作成する 10「一般的なオーディオフォーマット」パネルについて 「インスペクタ」ウインドウの「エンコーダ」パネルで、「ファイルフォーマッ ト」ポップアップメニューから「一般的なオーディオフォーマット」出力フォー マットを選択すると、以下のオプションが表示されます。 The Automatic button • 拡張子： 「ファイルタイプ」ポップアップメニューからオーディオフォーマッ トを選択すると、このフィールドにファイル拡張子が表示されます。 • ジョブのセグメント化を許可： このチェックボックスを使って、ジョブのセ グメント化をオフにすることができます。ジョブのセグメント化はオーディオ 専用のエンコードには使用されないので、「一般的なオーディオフォーマッ ト」のファイルフォーマットではこのチェックボックスはアクティブになりま せん。詳細については、ジョブのセグメント化と 2パスまたはマルチパスエン コーディングを参照してください。 • ファイルタイプ： 作成するオーディオファイルのタイプを選択します。 • 自動： 「自動」をオンにすると、チャンネルの数、サンプルレート、サンプ ルサイズを「Compressor」がソースファイルに基づいて自動的に決定するた め、「チャンネルレイアウト」、「サンプルレート」、「サンプルサイズ」の 各ポップアップメニューは無効になります。「自動」ボタンがオフの場合は、 これらの設定を手動で構成します。 • チャンネルレイアウト： チャンネルの数（モノラル、ステレオ、5.1）を選択 します。 • サンプルレート： 使用可能なサンプルレート（32000、44100、48000、96000） から選択します。 • サンプルサイズ： 使用可能なサンプルサイズ（16、24、32）から選択します。 154 第 10 章 一般的なオーディオ・フォーマット・ファイルを作成する一般的なオーディオフォーマットの設定を構成する 出力フォーマットとして「一般的なオーディオフォーマット」出力ファイルフォー マットを選択する場合、作成できるのはオーディオ設定のみです（オーディオ専 用フォーマットのため）。 一般的なオーディオフォーマットの設定を作成するには 1 「設定」タブで以下のいずれかを実行します： • 適切な設定が選択されていることを確認します。 • 新規設定の作成（+）ポップアップメニューで「一般的なオーディオフォーマッ ト」を選択して、新しい設定を作成します。 2 「一般的なオーディオフォーマット」の「エンコーダ」パネルで「ファイルタイ プ」ポップアップメニューからオーディオフォーマットを選択します。 3 以下のいずれかの操作を行います： • 「チャンネルレイアウト」、「サンプルレート」、「サンプルサイズ」の各 ポップアップメニューの設定構成を「Compressor」が自動的に行うようにする 場合は、「自動」ボタンをクリックしてオンにします。 • 「チャンネルレイアウト」、「サンプルレート」、「サンプルサイズ」の各 ポップアップメニューの設定構成を手動で行うようにする場合は、「自動」ボ タンをクリックしてオフにします。 第 10 章 一般的なオーディオ・フォーマット・ファイルを作成する 155「Compressor」には、DV ファイルの作成に必要なツールが用意されています。 DV ビデオフォーマットは、コストが安く広く利用されていることから標準精細 度（SD）ビデオのキャプチャおよび配信でよく使われています。 この章では以下の内容について説明します： • DV ストリームの「エンコーダ」パネルについて (ページ 157) • DV トランスコーディングのワークフロー (ページ 158) DV ストリームの「エンコーダ」パネルについて ここでは、「インスペクタ」ウインドウの DV ストリームの「エンコーダ」パネ ルの各種設定について詳しく説明します。DV を設定するには、「設定」タブで 既存の設定に変更を加えるか、新しい設定を作成します。 The Automatic buttons for the Format, Aspect Ratio, and Field Order values 157 DVストリームの出力ファイルを 作成する 11DV ストリームの「エンコーダ」パネルには、以下の設定が含まれます。 • 拡張子： 「ファイルフォーマット」ポップアップメニュー、または「設定」 タブの「＋」ポップアップメニューから「DV ストリーム」出力フォーマット が選択されると、このフィールドには DV ファイルの拡張子（.dv）が自動的に 表示されます。 • ジョブのセグメント化を許可： このチェックボックスを使って、ジョブのセ グメント化をオフにすることができます。詳細については、ジョブのセグメン ト化と 2 パスまたはマルチパスエンコーディングを参照してください。 • フォーマット： 出力ビデオフォーマットとして NTSC または PAL を選択しま す。 • アスペクト比： 出力ビデオのアスペクト比として 16:9 または 4:3 を選択しま す。 メモ: 16:9 のアスペクト比では、アナモフィックビデオが使用されます。 • フィールドの順番： インターレースソースには「下のフィールドを最初に」 （インターレース DV ビデオで必須）、プログレッシブソースには「プログレッ シブ」を選択します。 DV トランスコーディングのワークフロー 「Compressor」を使ってビデオを DV ストリームのフォーマットファイルにどの ようにトランスコードするかは、それらのフォーマットファイルをどのように使 用するかによって決まります。基本的な手順を以下に示します。 ステージ 1: バッチを作成する トランスコードの場合と同様、まずバッチを作成する必要があります。詳細につ いては、カスタム設定を使ってトランスコードのために Compressor を準備する を参照してください。 ステージ 2: ソース・ビデオ・ファイルのあるジョブを作成する Finder からバッチにドラッグするか、または「ジョブ」＞「ファイルを使って新 規ジョブを作成」と選択して、ソース・ビデオ・ファイルを読み込みます。 ステージ 3: DV が設定されたターゲットをそれぞれのジョブに追加する ジョブごとに少なくとも 1 つのターゲットが必要です。この場合、ジョブで必要 になるのは、DV ストリームが設定されたターゲットです。ジョブが複数ある場 合は、「編集」＞「すべてを選択」と選択してすべてのジョブを選択した後、 「ターゲット」＞「設定を使って新規ターゲットを作成」と選択して、すべての ジョブに同じ設定を適用するのが最も簡単です。 ステージ 4: バッチを実行してトランスコードする 「実行」ボタンをクリックして、トランスコード処理を開始します。詳細につい ては、バッチを実行するを参照してください。 158 第 11 章 DV ストリームの出力ファイルを作成する「Compressor」では、Dolby Digital Professional（AC-3）オーディオファイルのエ ンコードおよびバッチエンコードに必要なツールを用意しています。 Dolby Digital Professional フォーマット（AC-3 とも呼ばれます）は、DVD ビデオ ディスクの一般的な圧縮オーディオフォーマットです。「Compressor」は、さま ざまなフォーマットのマルチチャンネル・サウンドファイルに対応しており、 AC-3エンコード処理を完全に制御できるようにします。Dolby Digital プログラム は、5つの独立したフルレンジチャンネル（左、センター、右、左サラウンド、 右サラウンド）のほか、「サブウーファー」とも呼ばれる重低音エフェクト （LFE）用の 6つ目のチャンネルをもつ 5.1チャンネルサラウンドサウンドを実現 できます。サラウンドのオプションには、4 つのチャンネル（左、センター、 右、サラウンド）を持つ「Dolby サラウンド」もあります。ただし、すべての AC-3 オーディオが 5.1 サラウンドサウンドというわけではありません。Dolby Digital Professional は、通常、ステレオファイルのサイズを大幅に減少させるよう にステレオファイルをエンコードするのに使用します。 その他の出力フォーマットを使用したサラウンドサウンド・オーディオファイル の作成の詳細については、「バッチにサラウンドサウンドのソースメディアファ イルを追加する」を参照してください。 メモ: 「Compressor」では、ステレオ・オーディオファイルから 5.1 サラウンド サウンドを作成できないのでご注意ください。5.1 サラウンドサウンドの AC-3 オーディオファイルを作成する場合は、まず 5.1 サラウンドサウンドで必要な 6 つのオーディオチャンネルを作成する必要があります。チャンネルの作成には、 「Compressor」ではなく、ほかのアプリケーションを使用する必要があります。 この章では以下の内容について説明します： • Dolby Digital Professional の「エンコーダ」パネルについて (ページ 160) • Dolby Digital Professional ファイルの作成についての一般情報 (ページ 166) • ステレオオーディオファイルを Dolby Digital Professional フォーマットに変換す る (ページ 168) • ファイルをサラウンドサウンド・チャンネルに割り当てる（手動） (ページ 169) • ファイルをサラウンドサウンド・チャンネルに割り当てる（自動） (ページ 172) 159 Dolby Digital Professional の出力 ファイルを作成する 12• ドロップレットを使ってファイルをサラウンドサウンド・チャンネルに割り当 てる (ページ 174) • 空間的なミキシングのためのオプション (ページ 174) Dolby Digital Professional の「エンコーダ」パネルについて ここでは、「インスペクタ」ウインドウの Dolby Digital Professional（AC-3）の 「エンコーダ」パネルにある各種タブについて詳しく説明します。 既存の設定を変更するか、または「設定」タブで新規設定を作成することによっ て、以下で説明するタブを使用して Dolby Digital Professional の設定を行います。 「Dolby Digital Professional」パネルでは、デフォルトで「オーディオ」タブがア クティブになっています。「Dolby Digital Professional」パネルには、基本設定、 「オーディオ」タブの設定、「ビットストリーム」タブの設定、および「前処 理」タブの設定の項目があります。 基本設定 以下の基本設定を使って、Dolby Digital Professional（AC-3）のジョブまたはバッ チを設定します。 • ファイル拡張子： 「ファイルフォーマット」ポップアップメニューや「設定」 タブの「+」（新規設定を作成します）ポップアップメニューから Dolby Digital Professional 出力フォーマットが選択されると、このフィールドに Dolby Digital Professional のファイル拡張子（.ac3）が自動的に表示されます。 160 第 12 章 Dolby Digital Professional の出力ファイルを作成する• ジョブのセグメント化を許可： このチェックボックスを使って、ジョブのセ グメント化をオフにすることができます。ジョブのセグメント化はオーディオ 専用のエンコードには使用されないので、Dolby Digital Professional ファイル フォーマットではこのチェックボックスは選択されません。詳細については、 ジョブのセグメント化と 2パスまたはマルチパスエンコーディングを参照して ください。 • 「オーディオ」、「ビットストリーム」、および「前処理」： これらのボタ ンを押すと、これから説明する「オーディオ」、「ビットストリーム」、およ び「前処理」の各タブが開きます。 「オーディオ」タブの設定 Dolby Digital Professional の重要な設定にはすべて、「オーディオ」タブからアク セスできます。 • ターゲットシステム： 「Compressor」は、使用できる設定をターゲットシス テムに該当するものに限定します。「DVD Studio Pro」用にエンコードする場 合は、「DVD ビデオ」を選択します。DVD オーディオオーサリングアプリケー ション用にエンコードする場合にのみ「DVDオーディオ」を選択します。「標 準 AC-3」を選択すると、設定の制限が削除されます。 • オーディオコーディングモード： エンコードストリームのオーディオチャン ネルを指定します。この設定にも「自動」ボタンがあります。 The Audio Coding Mode Automatic button 第 12 章 Dolby Digital Professional の出力ファイルを作成する 161たとえば、「3/2（L、C、R、Ls、Rs）」は、3 つのフロントチャンネル（左、 センター、右）と 2 つのリアチャンネル（サラウンド）を意味します。「2/0 （L、R）」は、実質的に標準のステレオファイルです。「オーディオコーディ ングモード」は、使用可能な帯域幅およびサラウンドチャンネル前処理などの 設定に影響します。「自動」ボタン（「オーディオコーディングモード」ポッ プアップメニューの隣）をクリックすると、「Compressor」は使用可能なソー ス・オーディオ・ファイルに基づいて、どのオーディオコーディングモードが 最適かを判定します。 3/1 channels 3/0 channels 2/2 channels 2/1 channels 2/0 channels 1/0 channels (LFE option not available) (LFE option not available) 3/2 channels L C LFE LFE LFE LFE LFE LFE LFE R Ls Rs L R Ls Rs L R L R S L C R S L C C R メモ: 「オーディオコーディングモード」ポップアップメニューで、「S」は単 一のリア「サラウンド」チャンネルを表します。この図では、「LFE」は重低 音エフェクト（サブウーファーとも呼ばれます）を表します。詳細について は、ファイルをサラウンドサウンド・チャンネルに割り当てる（手動）および ファイルをサラウンドサウンド・チャンネルに割り当てる（自動）を参照して ください。 • 重低音エフェクト（LFE）を使用： このチェックボックスを選択すると、エン コードされたストリームに LFE チャンネルが含まれます（1/0 モノラルまたは 2/0 ステレオには使用できません）。 • サンプルレート： サンプルレートを指定します。ビデオおよびオーディオ DVD オーサリング用のファイルすべて、DVD仕様に基づき、48 kHz サンプルレート が指定されている必要があります。32 kHz および 44.1 kHz のサンプルレート は、標準 AC-3 がターゲットシステムである場合に限り使用できます。 162 第 12 章 Dolby Digital Professional の出力ファイルを作成する• データレート： 選択項目は、コーディングモードおよびターゲットシステム によって異なります。レートが高くなるほど、品質が向上します。AC-3 スト リームには、一定のデータレートがあります。448 kbps は 5.1 エンコードのデ フォルトで、この場合、1 分間の AC-3 オーディオには約 3.3 MB の記憶が必要 です。ステレオエンコードの場合、192 kbps および 224 kbps のレートが一般的 であり、標準品質の結果が得られます。 • ビットストリームモード： エンコードオーディオ素材をどのような目的で使 用するかを定義します。この情報は、完成したストリームに含められ、一部の デコードシステムで読み取ることができます。 • ダイアログ正規化： 最大変調のレベルを基準に、フルスケールデシベル（dBFS） を使って、サウンドファイル内のダイアログの平均音声レベルを指定します。 再生デバイスは、この情報を使って、さまざまな AC-3 ストリーム間で同一の 音量を保持します。この目的は、ソースファイルに関係なく、AC-3フォーマッ トでエンコードしたオーディオファイルの視聴レベルを同じにすることです。 異なるオーディオファイル（音量レベルがそれぞれ異なるファイル）を DVD にする場合は、「ダイアログ正規化」機能を正しく使用することが特に重要で す。各ファイルの平均レベルが分かっていれば、それぞれのファイルの「ダイ アログ正規化」フィールドに数値を入力します。たとえば、「Final Cut Pro」 シーケンスのダイアログがオーディオメーターで平均およそ –12 dBであれば、 「ダイアログ正規化」フィールドに –12 と入力します。 メモ: この正規化は DVDのオーディオストリーム間であって、個々のオーディ オストリーム内ではありません。このタイプの正規化では、オーディオ編集 ツールを使用します。–1 dBFS 〜 –31 dBFS の値を入力できます。入力した値と 31 dBFS（標準的なダイアログの視聴レベル）の違いが、ソースオーディオが 減衰される量になります。 • –31 dBFS と入力した場合： 減衰量は 0 dB（31 dBFS–31 dBFS）になり、ソース オーディオレベルは影響を受けません。 • –27 dBFS と入力した場合： 減衰量は 4 dB（31 dBFS–27 dBFS）になります。 • –12 dBFS と入力した場合： 減衰量は 19 dB（31 dBFS–12 dBFS）になります。 ソースファイルの音量が大きいほど、入力する値は小さくなり、エンコードさ れたファイルの中で再生時に減衰されるオーディオの量も多くなります。 ソースファイルのサウンドレベルが分からない場合、または何らかの理由で Dolby Digital Professional エンコーダの影響をサウンドレベルに与えたくないと いう場合は、「ダイアログ正規化」に –31 と入力し、「圧縮プリセット」ポッ プアップメニュー（「前処理」タブ内）で「なし」を選択します。 第 12 章 Dolby Digital Professional の出力ファイルを作成する 163重要： 「圧縮プリセット」設定のいずれかを使用する場合は、「ダイアログ 正規化」を正しく設定することが不可欠です。「圧縮プリセット」設定では、 ダイアログの正規化後、オーディオが標準の視聴レベルである 31 dBFS になる ものとします。これよりも一貫してレベルが大きいと、音に歪みが生じ、不安 定なレベルになります。 「ビットストリーム」タブの設定 以下の設定は完成したストリームに保存され、再生デバイスで使用できるように なります。特定の技術的な理由から変更する場合を除き、このタブの値はデフォ ルトのままにしておいてください。 • センターダウンミックス、サラウンドダウンミックス： エンコードされたオー ディオにこれらのチャンネルがあるものの、プレーヤーにはない場合、チャン ネルは指定のレベルでステレオ出力にミックスされます。 • Dolby サラウンドモード： 2/0（ステレオ）モードをエンコードする場合に、 信号が Dolby サラウンド（Pro Logic）を使用するかどうかを指定します。 • コピーライトが存在： このチェックボックスを選択すると、このオーディオ にコピーライトが存在することを指定します。 • コンテンツはオリジナル： このチェックボックスを選択すると、このオーディ オがオリジナルのソースからのものであり、コピーではないことを指定しま す。 • オーディオ製品情報： このチェックボックスを選択して、以下のフィールド に入力し、エンコードされたオーディオコンテンツをミックスした方法を指定 します。再生デバイスは、この情報を使って出力設定を調整できます。 • ピークミキシングレベル： このミックスがマスタリングされたプロダクショ ン環境でのピーク音圧レベル（SPL）を指定します（80 dB 〜 111 dB）。 • 部屋のタイプ： ミキシングスタジオに関する情報を指定します。 164 第 12 章 Dolby Digital Professional の出力ファイルを作成する「前処理」タブの設定 「前処理」のオプションは、エンコード前にオーディオデータに適用されます。 特定の技術的な理由から変更する場合を除き、「圧縮プリセット」以外の設定値 はデフォルトのままにしておいてください。 圧縮プリセット • 圧縮プリセット： AC-3 フォーマットに組み込まれるダイナミックレンジ処理 モードのいずれか 1つを指定します。デフォルトの「フィルム標準圧縮」は、 オリジナルのミックスを映画用にエンコードするときにのみ指定します。ほと んどの場合は、「なし」を選択してください。 重要： 「圧縮プリセット」設定のいずれかを使用する場合は、「オーディオ」 タブの「ダイアログ正規化」を正しく設定することが不可欠です。「圧縮プリ セット」設定では、ダイアログの正規化後、オーディオが標準の視聴レベルで ある 31 dBFS になるものとします。これよりも一貫してレベルが大きいと、音 に歪みが生じ、不安定なレベルになります。 メモ: Dolby Digital Professional 5.1 チャンネルのサラウンドサウンド DVD を作成 する場合は、「フィルム標準圧縮」を使用します。 一般情報 • デジタルエンファシス解除： 入力オーディオデータがプリエンファサイズさ れているかどうか、また、エンコード前にエンファシスを解除する必要がある かどうかを指定します。 第 12 章 Dolby Digital Professional の出力ファイルを作成する 165LFE チャンネル • ローパスフィルタ： このチェックボックスを選択すると、120 Hz ローパスフィ ルタが重低音エフェクト（LFE）チャンネルに適用されます。LFE の入力に送ら れたデジタル信号に 120 Hz を超える情報が含まれていない場合は、このフィ ルタをオフにしてください。 フル帯域幅チャンネル • ローパスフィルタ： このチェックボックスを選択すると、ローパスフィルタ がオンになり、主要入力チャンネルに適用される使用可能なオーディオ帯域幅 の近くにカットオフが規定されます。主要入力チャンネルに送られたデジタル 信号に、使用可能なオーディオ帯域幅を超える情報が含まれていない場合は、 このフィルタをオフにできます。「Compressor」は、使用可能な帯域幅を自動 的に決定します。 • DCフィルタ： このチェックボックスを選択すると、すべての入力チャンネル について DCハイパスフィルタがオンになり、DCオフセットを簡単に除去する ことができます。ほとんどのミックスオーディオ素材では、すでに DC オフセッ トが除去されています。 サラウンドチャンネル • 90ºフェーズシフト： このチェックボックスを選択すると、マルチチャンネル AC-3 ストリームが生成されます。このストリームを外部 2 チャンネルデコーダ でダウンミックスすると、純正 Dolby サラウンド互換の出力を作成できます。 • 3 dB 減衰： このチェックボックスを選択すると、マルチチャンネルの映画サ ウンドトラックを家庭用ホームシアター方式に転用する際に、サラウンドチャ ンネルに 3 dB カットオフが適用されます。映画館のサラウンドチャンネルは、 映画館独特のアンプゲインとして、フロントチャンネルに比べて 3 dB「ホット に」（高く）ミックスされています。 Dolby Digital Professional ファイルの作成についての一般情 報 Dolby Digital Professional AC-3 ファイルを設定およびエンコードする際に留意すべ きいくつかの点を以下に示します。 ソースメディアファイルについて ソースメディアファイルから Dolby Digital Professional 出力ファイルをエンコード する際に注意すべきガイドラインがいくつかあります。 フォーマットに応じて、ファイルにシングルチャンネル（モノラル）、デュアル チャンネル（ステレオ）、または複数チャンネルを含めることができます。 「Compressor」は、これらの構成すべてで Dolby Digital Professional をサポートし ます。 166 第 12 章 Dolby Digital Professional の出力ファイルを作成するDolby Digital Professional エンコードに使用するためのサウンドファイルは、以下 の規則に適合している必要があります： • すべてのソースファイルが同じ長さである必要があります。（長さが同じでな い場合、「Compressor」は、最長のファイルの長さに一致するように AC-3 ス トリームの長さを設定します。） • すべてのファイルのサンプルレートが（DVDで必須の）48 kHz になっている必 要があります。 • AC-3 ストリームのサンプリング数は、1536 の倍数になっている必要がありま す。選択した入力ファイルにそれだけのサンプリング数がない場合、 「Compressor」はファイルの終わりにデジタルの無音部分を追加します。 メモ: 「Compressor」は、サンプルあたり最大 64 ビット浮動小数点までのサラウ ンドサウンドと高解像度オーディオのほか、さらに最大 192 kHz のサンプルレー トが含まれている、あらゆる種類のソースファイルをサポートできます。 エンコーダ設定のプレビューについて Dolby Digital Professional の「エンコーダ」パネルで行った設定はプレビューする ことができません。USB や FireWire、その他コンピュータからの出力に外部のサ ラウンドサウンド・デバイスを接続している場合、異なるチャンネルに割り当て られたオーディオを聞くことができますが、「ダイアログ正規化」や「圧縮プリ セット」といった設定は取り込まれません。 重要： オーディオ出力は Dolby Digital フォーマットではないため、光出力を使っ て各チャンネルに割り当てられているオーディオを確認することはできません。 設定を確認するには、バッチを実行して、その結果を聞いてみるしかありませ ん。設定が不確かな場合は、「プレビュー」ウインドウを使い、テストとして ソースの一部分をエンコードしてください。 AC-3 ファイルをソースメディアファイルとして Compressor バッチに読み込むこ とができます。「Compressor」には Dolby Digital デコーダが内蔵され、AC-3ファ イルをデコードするのに使用されます。このデコーダによって、Dolby Digital Professional の「エンコーダ」パネルで行った変更が正しく適用されるので、外 部の Dolby Digitalデコーダを用意しなくても、エフェクトを確認することができ ます。また、AC-3 ファイルを別のフォーマットにトランスコードすることもで きます。 メモ: コンピュータに外部のサラウンドサウンド・システムを接続していない場 合、サラウンドサウンド AC-3 ファイルはステレオにダウンミックスされます。 第 12 章 Dolby Digital Professional の出力ファイルを作成する 167ステレオオーディオファイルを Dolby Digital Professional フォーマットに変換する ステレオソースメディアファイルからステレオ（2/0 L、R）Dolby Digital Professional （AC-3）ストリームをエンコードするには、以下の手順に従います。 AC-3 ストリームをエンコードするには 1 「バッチ」ウインドウにソースオーディオファイルを追加します（詳細について は、ソースメディアファイルを読み込むを参照）。 2 「ファイル」＞「別名で保存」と選択し（または、Command ＋ Shift ＋ S キーを 押し）、バッチの名前を入力して、保存先を選択した後、「保存」をクリックし て、バッチを保存します。 3 以下のいずれかの操作を行って、Dolby Digital Professional カテゴリから適切な Apple の設定をソース・オーディオ・ファイルに適用します： • 「ターゲット」＞「設定を使って新規ターゲットを作成」と選択し、設定を選 択して「追加」をクリックします。 • 「バッチ」ウインドウで、Control キーを押したままジョブの空の部分をクリッ クし、ショートカットメニューから「設定を使って新規ターゲットを作成」を 選択し、設定を選択して「追加」をクリックします。 • 「設定」タブから「バッチ」ウインドウのソース・オーディオ・ファイルの ジョブに設定をドラッグします。 4 必要に応じて、「インスペクタ」ウインドウの「エンコーダ」パネルの設定を調 整します（詳細については、「Dolby Digital Professional の「エンコーダ」パネル について」を参照）。 メモ: 「Compressor」は、自動的にチャンネルをマッピングします。以下に例を 示します： • ステレオ・ソースファイルを読み込み、このファイルにモノラル 1/0（C）オー ディオコーディング・モードを適用した場合： ファイルはダウンミックスさ れます。 • サラウンドオーディオコーディング・モードをステレオファイルに適用した場 合： 左右のチャンネルがそれぞれ左フロント（L）チャンネルと右フロント （R）チャンネルにマッピングされ、コーディングモードのその他のチャンネ ルは無音のままになります。 • ステレオファイルを左フロントまたは左（リア）サラウンドチャンネルに割り 当てた場合： 「Compressor」は左チャンネルを選び、右チャンネルを無視し ます。 5 「実行」をクリックします。 168 第 12 章 Dolby Digital Professional の出力ファイルを作成するサラウンドサウンド・ファイルのエンコードの詳細については、ファイルをサラ ウンドサウンド・チャンネルに割り当てる（手動）およびファイルをサラウンド サウンド・チャンネルに割り当てる（自動）を参照してください。また、 「Compressor」を使用した AC-3 オーディオファイルの再生の詳細については、 エンコーダ設定のプレビューについても参照してください。 ファイルをサラウンドサウンド・チャンネルに割り当て る（手動） サラウンドサウンド・チャンネルに個々に手動でオーディオファイルを割り当て るには、以下の手順に従います。 ソース・オーディオ・ファイルをサラウンドサウンド・ストリームのチャンネル に手動で割り当てるには 1 ソース・オーディオ・ファイルを読み込むには、以下のいずれかの操作を行いま す： • 「ジョブ」＞「サラウンドサウンド・グループを使って新規ジョブを作成」と 選択します（または、Command ＋ Control ＋ I キーを押します）。 • 「バッチ」ウインドウの「サラウンドサウンドを追加」ボタンをクリックしま す。 • Control キーを押したままバッチをクリックし、ショートカットメニューから 「サラウンドサウンド・グループを使って新規ジョブを作成」を選択します。 チャンネルを割り当てるインターフェイスが開きます。 2 ソース・オーディオ・ファイルを特定のチャンネルに割り当てるには、以下のい ずれかの操作を行います。 • 目的のソース・オーディオ・ファイルを、Finderから特定のチャンネル（たと えば「L」）のアイコンにドラッグします。 • 特定のチャンネル（たとえば「L」）のアイコンをクリックし、「開く」ダイ アログで、そのチャンネルに使用するソース・オーディオ・ファイルの場所を 探します。 第 12 章 Dolby Digital Professional の出力ファイルを作成する 169これで、ファイルが「L」（左フロント）チャンネルに割り当てられます。 3 サラウンドストリームに含めるソース・オーディオ・ファイルごとに、ステップ 2 を繰り返します。 メモ: Dolby Digital Professional（AC-3）サラウンドストリームを作成する場合、 テーブルに示されているすべてのチャンネルを一度に使用することはありませ ん。Dolbyオーディオコーディングモードの図については、「オーディオ」タブ の設定を参照してください。 4 チャンネルを割り当てるインターフェイスへのソース・オーディオ・ファイルの 追加を終えたら、「OK」をクリックします。 170 第 12 章 Dolby Digital Professional の出力ファイルを作成するサラウンドファイルのグループが「バッチ」ウインドウに単一のサラウンドソー スメディアファイルとして表示されると共に、「インスペクタ」ウインドウにア イコンも示されます。 Click a channel’s icon to change the file assigned to that channel. メモ: 「インスペクタ」ウインドウでチャンネルのアイコンをクリックして、そ のチャンネルに割り当てられているファイルを変更できます。 5 以下のいずれかの操作を行って、Dolby Digital Professional カテゴリから適切な Apple の設定をソース・オーディオ・ファイルに適用します： • 「ターゲット」＞「設定を使って新規ターゲットを作成」と選択し、設定を選 択して「追加」をクリックします。 • 「バッチ」ウインドウで、Control キーを押したままジョブの空の部分をクリッ クし、ポップアップメニューから「設定を使って新規ターゲットを作成」を選 択し、設定を選択して「追加」をクリックします。 • 「設定」タブから「バッチ」ウインドウのソース・オーディオ・ファイルの ジョブに設定をドラッグします。 6 「インスペクタ」ウインドウで必要な調整を行ってから、「実行」をクリックし ます。 「Compressor」が AC-3 サラウンド・オーディオストリームを作成します。 「Compressor」を使用した AC-3 オーディオファイルの再生の詳細については、 エンコーダ設定のプレビューについてを参照してください。 第 12 章 Dolby Digital Professional の出力ファイルを作成する 171サラウンド・オーディオ・ソース・ファイルをビデオファイルと組み合わせて、 単一の Compressor ジョブを作成することもできます。これは、サラウンド・オー ディオ・ステム（サブミックス）が最終ピクチャ編集とは別個に作成されるオー ディオ・ポストプロダクション・ワークフローで役立ちます。「Compressor」 は、このビデオおよび最大 6 個のオーディオファイルをバーチャルな単一素材と して処理します。これによりたとえば、「DVD を作成」ジョブ操作を適用して、 5.1 チャンネルのサラウンドサウンド付き DVD を作成することができます。 ビデオファイルをサラウンド・オーディオ・ファイルと組み合わせて単一のソー ス・メディア・ファイルを作成するには 1 上の手順 1〜 5に従って、ソース・オーディオ・ファイルをサラウンド・サウン ド・ストリームのチャンネルに手動で割り当てます。 2 「ビデオを追加」ボタンをクリックし、表示された「開く」ウインドウでビデオ ファイルを選択します。 メモ: この機能が対応しているのは QuickTime ソース・メディア・ファイルのみ です。イメージシーケンスには対応していません。 3 「インスペクタ」ウインドウで必要な調整を行ってから、「実行」をクリックし ます。 ファイルをサラウンドサウンド・チャンネルに割り当て る（自動） 「Compressor」では、効率良くチャンネルを割り当てる方法があるので、時間を 節約できます。 チャンネル識別子コードを使ってサラウンドチャンネルにファイルを割り当てる には 1 ターゲット・サラウンドチャンネルのチャンネル識別子コードを、各ソース・ オーディオ・ファイルのファイル名に付加します。（該当するチャンネル識別子 コードの一覧については、以下の一覧を参照してください。） • -L： 左フロントチャンネル • -R： 右フロントチャンネル • -C： センター・フロントチャンネル • -Ls： 左サラウンドチャンネル • -Rs： 右サラウンドチャンネル • -S： センター・サラウンドチャンネル • -LFE： 低周波チャンネル（サブウーファー、LFE） たとえば、AIFF ファイルを左サラウンドチャンネルに割り当てるには、ファイル 名を filename-Ls.aiff と変更します（ここで、filename はファイルの名前です）。 172 第 12 章 Dolby Digital Professional の出力ファイルを作成するメモ: Mac OS X では、.aiff のようなファイル拡張子を追加できます。拡張子を追 加しても、このチャンネルを割り当て方法が無効になることはありません。 この手順は、「バッチ」ウインドウにファイルをドラッグ＆ドロップする場合に 限り有効です。「Compressor」アプリケーションアイコンにファイルをドラッグ した場合、ジョブごとに個別のソースファイルとして表示されます。 メモ: Dolby Digital Professional（AC-3）サラウンドストリームを作成する場合、 テーブルに示されているすべてのチャンネルを一度に使用することはありませ ん。Dolbyオーディオコーディングモードの図については、「オーディオ」タブ の設定を参照してください。 2 「バッチ」ウインドウに、名前を変更したソース・オーディオ・ファイルをド ラッグします。 以下の条件が満たされると、「Compressor」は、単一のサラウンドソースメディ アファイルとして「バッチ」ウインドウに表示されているファイルのグループ全 体を自動的に閉じます： • グループのファイル名が正しく付けられている。（上の一覧のチャンネル識別 子コードを参照してください。） • グループのファイル数が 6 つ以下になっている。 「インスペクタ」ウインドウに、各チャンネルに割り当てられたオーディオファ イルが示されます。 Click a channel’s icon to change the file assigned to that channel. 第 12 章 Dolby Digital Professional の出力ファイルを作成する 173メモ: 「インスペクタ」ウインドウでチャンネルのアイコンをクリックして、そ のチャンネルに割り当てられているファイルを変更できます。 3 以下のいずれかの操作を行って、Dolby Digital Professional カテゴリから適切な Apple の設定をソース・オーディオ・ファイルのジョブに適用します： • 「ターゲット」＞「設定を使って新規ターゲットを作成」と選択し、設定を選 択して「追加」をクリックします。 • 「バッチ」ウインドウで、Control キーを押したままジョブの空の部分をクリッ クし、ショートカットメニューから「設定を使って新規ターゲットを作成」を 選択し、設定を選択して「追加」をクリックします。 • 「設定」タブから「バッチ」ウインドウのソース・オーディオ・ファイルの ジョブに設定をドラッグします。 4 「インスペクタ」ウインドウで必要な調整を行ってから、「実行」をクリックし ます。 「Compressor」が AC-3 サラウンド・オーディオストリームを作成します。 「Compressor」を使用した AC-3 オーディオファイルの再生の詳細については、 エンコーダ設定のプレビューについてを参照してください。 ドロップレットを使ってファイルをサラウンドサウンド・ チャンネルに割り当てる 前述の「自動」割り当て方法を「ドロップレット」にまとめると、さらに効率よ くチャンネルを割り当てることができます。 ドロップレットの詳細については、ドロップレットを使うを参照してください。 空間的なミキシングのためのオプション このセクションでは、Dolby Digital Professional プログラムでチャンネルを扱う方 法について、さらに詳細な説明および提案を行います。 センターチャンネルを使う マルチチャンネルシステムでは、センターに配置されたサウンドイメージを実現 する方法が 3 通りあります。 • 「ファントムセンター」を生成する（ステレオの場合と同様、左右に等しくサ ウンドをミックスする）方法： 一般的に使用される方法ですが、聴き手がス ピーカーの真中に座っているものと想定しています（つまり、自動車内ではあ り得ないことであり、家庭でも、必ずしも実現できません）。クロスキャンセ ル効果のため、サウンドの響きはダイレクトスピーカーからのものと同じでは ありません。 174 第 12 章 Dolby Digital Professional の出力ファイルを作成する• 単独のセンターチャンネルを使用する方法： この方法では、聴き手の位置に 関係なく、安定したセンターイメージを生成できます。（音が強調されすぎた り、狭く聞こえたりしないように、リバーブを左右のチャンネルに広げること ができます）。 • 3 つのフロントチャンネルすべてを等しく使用したり、異なる割合で使用した りする方法： この方法では、空間的な奥行きと幅をさらに細かく制御するこ とができます。センターフロントチャンネルに信号を追加することでファント ム（虚像）センターを補強し、右フロントチャンネルと左フロントチャンネル に信号を広げることで響きを豊かにすることができます。この方法の弱点とし ては、3 つのスピーカーからのサウンドが、聴き手の位置で同時にブレンドさ れなかったり、届かなかったりするために、コムフィルタ現象、音色のずれ、 または音響の不鮮明などの副作用が生じる場合があります。これらの副作用を 抑えるために、あらかじめ追加信号を処理し、メインのセンター信号を基準に 空間的な特性、響き、または音像の突出部分を変更しておくことができます。 サラウンドチャンネルを使う サラウンドエフェクトを巧みに使うことで、従来のステレオにはない音の奥行き 感を手に入れることができます。ポピュラー音楽の多くは、独創的な方法でサラ ウンドを活用することで大きな効果を上げています。ただし、使いすぎると逆効 果になります。映画業界は、聴き手の気持ちをストーリーから引き離さすような サラウンドエフェクトを戒めていますが、これは音楽にも当てはまることです。 LFE チャンネルの制約 重低音エフェクト（LFE）チャンネルは、限られた周波数帯域を持つ、独立した 信号で、ミキシングエンジニアによって作成され、ミックスのメインチャンネル と一緒に配信されます。Dolby Digital Professional エンコーダで 120 Hz の「ブリッ クウォール」フィルタを使用すると、LFE チャンネルの使用が下位の可聴 2 オク ターブに制限されます。Dolby では、サウンドをミックスするときには信号を 80 Hz に制限するよう推奨しています。 ほとんどの音楽制作では（チャイコフスキーの「序曲 1812 年」の有名なキャノ ン砲は例外として）、LFE チャンネルは必要ありません。LFE 信号は、Dolby Digital Professional ダウンミックス処理でも切り捨てられるため、強烈なベース信号が 小さなステレオシステムを圧迫することはありません。モノラル、ステレオ、ま たは Pro Logic 再生で失われる重要な情報を LFE チャンネルに含めないでくださ い。 LFE はほかのチャンネルとは独立しているため、LFE 信号の生成に使用されるフィ ルタによって、高い周波数とブレンドする機能が影響を受ける可能性がありま す。結合力のあるオーディオ信号を確保するには、1つまたは複数のメインチャ ンネルに信号全体をまとめます。 第 12 章 Dolby Digital Professional の出力ファイルを作成する 175元来 LFEチャンネルを使わずに作成された素材のために LFEチャンネルを作成し ないでください。Dolby Digital Professional の 5 つのメインチャンネルはすべてフ ルレンジであり、LFE チャンネルにより周波数応答が増大することはありませ ん。Dolby Digital Professional デコーダでは、低周波数をサブウーファーまたはほ かの適当なスピーカーに送信するベース管理が可能です。LFEトラックがベース 管理を妨害することがあります。 ステレオ再生に対応する 5.1 システムは普及していますが、必ずステレオリプロダクションを処理する必 要があります。これを行うための基本的な方法が、以下のように 3 通りありま す： • オリジナルのマルチトラック要素から新しいステレオミックスを準備する方法 （従来のステレオミキシングセッションを使用）。 • マルチチャンネルミックスからスタジオ調整ダウンミックスを準備する方法。 この方法では、5.1 バージョンのミックスを完了した作業が利用されます。完 成したステレオミックスに示される各チャンネルの割合が正確に保持されると いう柔軟性があります。 • デコーダであらかじめ設定されている方法に基づいて、ステレオダウンミック スを生成する方法。ダウンミックスのオプションおよびダイナミックレンジ・ コントロールエフェクトは、制作スタジオでプレビューし、一定の範囲内で調 整することができます。 高価ではないサラウンドシステムでミックスを確認し、一般的な再生システムで 鳴らされる音を基に評価してください。 メモ: Dolby Digital Professional の詳細については、Dolby Laboratories Inc. の Web サイト（http://www.dolby.com）にある「Dolby Digital Professional に関する FAQ」 を参照してください。 176 第 12 章 Dolby Digital Professional の出力ファイルを作成する「Compressor」を使えば、iTunes 準拠の H.264 ファイルを作成できます。これら のファイルは、「iTunes」を通して iPhone、iPad、iPod、または Apple TV で再生 できます。 H.264 エンコーダは圧縮効率が高いため、「iTunes」や Apple デバイスで再生す るメディアの作成に適しています。「Compressor」には、設定のプリセットが用 意されています。これらは、「H.264（Apple デバイス用）」の「エンコーダ」パ ネルを使って簡単に調整できるため、自分の必要性に合わせて最適なメディア ファイルを作成できます。 その他の用途（Webビデオなど）に使用するための H.264 ファイルの作成につい ては、「QuickTime ムービー出力ファイルを作成する」を参照してください。 この章では以下の内容について説明します： • 「H.264（Apple デバイス用）」の「エンコーダ」パネルについて (ページ 178) • Apple デバイス用のチャプタマーカーと Podcast マーカー (ページ 182) • アスペクト比（Apple デバイス用） (ページ 182) • H.264 のワークフロー（Apple デバイス用） (ページ 183) • H.264（Apple デバイス用）出力ファイルの設定を構成する (ページ 183) 177 H.264（Apple デバイス用）出力 ファイルを作成する 13「H.264（Apple デバイス用）」の「エンコーダ」パネル について ここでは、「インスペクタ」ウインドウの「H.264（Apple デバイス用）」の「エ ンコーダ」パネルにある要素について詳しく説明します。このパネルで既存の設 定を変更するか、「設定」タブで新規設定を作成することによって、H.264 の設 定を行います。 以下の説明にあるコントロールを使って、「H.264（Apple デバイス用）」の設定 を作成します。既存の設定を複製してから変更するか、「設定」ウインドウの 「設定」タブで新しい設定を作成します。「H.264（Apple デバイス用）」の「エ ンコーダ」パネルには、以下の項目があります。 • 拡張子： 「ファイルフォーマット」ポップアップメニューから、または「設 定」ウインドウの「設定」タブにある（+）ポップアップメニューから H.264 （Apple デバイス用）出力フォーマットを選択すると、このフィールドに H.264 （Apple デバイス用）ファイルの拡張子（.m4v）が自動的に表示されます。 • ジョブのセグメント化を許可： このチェックボックスを使って、ジョブのセ グメント化をオフにすることができます。これは、「Compressor」を分散処理 で使っていて、さらにマルチパスのエンコーディングを実行する場合にのみ有 効です。詳細については、ジョブのセグメント化と 2パスまたはマルチパスエ ンコーディングを参照してください。 • デバイス： ポップアップメニューに表示される次のデバイスオプションのい ずれかを選択します： • iPod / iPhone（VGA）： このオプションでは、フレームの幅が 640 ピクセルの ビデオ出力ファイルが作成されます。 • iPod / iPhone（アナモフィック）： このオプションでは、フレームの幅が 640 （アナモフィック）ピクセルのビデオ出力ファイルが作成されます。 178 第 13 章 H.264（Apple デバイス用）出力ファイルを作成する• iPod / iPhone（QVGA）： このオプションでは、フレームの幅が 320 ピクセル のビデオ出力ファイルが作成されます。 • Apple TV SD： このオプションでは、フレームの幅が 640 ピクセル、ビット レート範囲が iPod / iPhone 640（VGA）オプションよりも高いビデオ出力ファ イルが作成されます。 • Apple TV SD（アナモフィック）： このオプションでは、フレームの幅が 720 （アナモフィック）ピクセルのビデオ出力ファイルが作成されます。 • Apple TV HD： このオプションでは、アスペクト比が 4:3 に設定されている場 合を除いて、フレームの幅が 1280 ピクセルのビデオ出力ファイルが作成さ れます。アスペクト比が 4:3 に設定されている場合は、24 fps より高いフレー ムレートではビデオ出力ファイルのフレームサイズは 960×720（アナモフィッ ク）ピクセルになり、それより低いフレームレートでは 1280×720（スクエ ア）ピクセルになります。 • Apple TV（第 3 世代）： このオプションは、Apple TV（第 3 世代）および iPad （第 3 世代）向けです。フレームの幅が 1080 ピクセルのビデオ出力ファイ ルが作成されます。 • iPhone（ローカル / WiFi）： このオプションでは、フレームの幅が 480 ピク セルのビデオ出力ファイルが作成されます。 • iPhone（携帯電話）： このオプションでは、フレームの幅が 176 ピクセルの ビデオ出力ファイルが作成されます。 • iPad / Retina ディスプレイ搭載 iPhone： このオプションでは、フレームの幅 が1280ピクセルのビデオ出力ファイルが作成されます。 • アスペクト比： 「アスペクト比」ポップアップメニューから出力メディアファ イルの正確なピクセル値を選択できます。選択可能なオプションは、選択した デバイスオプションによって決まります。詳細については、アスペクト比 （Apple デバイス用）を参照してください。 「アスペクト比」設定には、自動ボタンもあります。自動ボタンをクリックす ると、エンコーダでソースのビデオファイルと一致するアスペクト比が選択さ れます。 重要： 「アスペクト比」設定の自動モードでは、さまざまな値からソースビ デオ（およびこの出力フォーマットがソースメディアファイルに適用されると きに決定して表示される値）に合わせて最適なものを選択できます。最適な結 果が得られるように、「アスペクト比」設定では自動モードを使うようにして ください。 The Aspect Ratio Automatic button 第 13 章 H.264（Apple デバイス用）出力ファイルを作成する 179メモ: デフォルトでフレームコントロール機能は自動に設定されています。「フ レームコントロール」の「タイミング変更のコントロール」は、ソースファイ ルがインターレースされている場合にのみ動作します。 • フレームレート： このポップアップメニューで、下の一覧にあるオプション から選択できます。 「フレームレート」設定には、自動ボタンもあります。自動ボタンをクリック すると、エンコーダでソースのビデオファイルと一致するフレームレートが選 択されます。 The Frame Rate Automatic button • 29.97： NTSC ベースのビデオに使用 • 25： PAL ベースのビデオに使用 • 24： PAL ベースのビデオに使用 • 23.98： NTSC ベースのビデオに使用 • 15： Web ベースのビデオに使用 • ビットレート： このスライダを使って、出力ビデオに使用するビットレート を選択するか、テキストフィールドに数値を入力します。選択範囲は、「デバ イス」設定によって異なります。選択すべき設定は、出力の用途によって決ま ります。ビットレートが高いと画質は向上しますが、出力ファイルのサイズは 大きくなります。 • オーディオ： このポップアップメニューで、下の一覧にあるオーディオビッ トレートの 4 つのオプションから選択できます。 • なし： このオプションを使って、出力メディアファイルからオーディオを 除外できます。 • 24 Kbps： iPhone（携帯電話）デバイスオプション用の 24 Kbpsのオーディオ ビットストリームを作成します。 180 第 13 章 H.264（Apple デバイス用）出力ファイルを作成する• 128 Kbps： 128 Kbps のオーディオビットストリームを作成します。 • 256 Kbps： 256 Kbps のオーディオビットストリームを作成します。 • フレーム同期： 「フレーム同期」値はキーフレーム間隔とも呼ばれ、キーフ レームが H.264 ストリームに挿入される頻度を示します。値を低くするほど、 再生時にビデオをよりスムーズに操作（スクラブ）できます（キーフレームの 間隔が短くなる）。値を高くするほど、圧縮効率が高くなります（キーフレー ムの間隔が長くなる）。指定可能な範囲は、2 〜 10 秒です。デフォルトは 5 秒です。 「フレーム同期」設定には、「自動」チェックボックスもあります。「自動」 チェックボックスを選択すると、エンコーダでソースのビデオファイルと一致 するフレーム同期レートが選択されます。 • マルチパス： 2 パスの MPEG-2 エンコーディングと同様に、マルチパスでは最 高品質が得られます。エンコーディングを短時間（1 パス）で行うためには、 チェックボックスの選択を解除して、この機能をオフにします。 メモ: 分散処理も使用している場合は、ジョブのセグメント化をオフにした方 がよい場合があります。詳細については、ジョブのセグメント化と 2パスまた はマルチパスエンコーディングを参照してください。 • Dolby 5.1 を含める： このチェックボックスで、Dolby Digital Professional 5.1 サ ラウンド・サウンド・オーディオ・トラックを、標準 AAC オーディオトラッ クだけでなく出力ムービーにも追加できます。この機能は、サラウンド・サウ ンド・オーディオを含むソースファイルから出力ファイルを作成する場合に使 用できます。Dolby Digital Professional オーディオトラックは、適合する Dolby Digitalデコーダをインストールしたシステムに接続している Apple TV でのみ再 生されます。その他のすべての場合は、AAC オーディオトラックが再生されま す。 メモ: 「Dolby 5.1 を含める」チェックボックスを選択すると、ソースオーディ オに 5.1 サラウンド・サウンド・オーディオが含まれている場合にのみ、純正 Dolby Digital Professional 5.1 サラウンド・サウンド・オーディオ・トラックが作 成されます。ソースオーディオにステレオ・オーディオしか含まれていない場 合は、Dolby Digital Professional 5.1 サラウンド・サウンド・オーディオ・トラッ クの実際のオーディオチャンネルは 2 つだけです。 第 13 章 H.264（Apple デバイス用）出力ファイルを作成する 181Apple デバイス用のチャプタマーカーと Podcast マーカー 「Final Cut Pro」で作成されたチャプタマーカーは、QuickTime Player、iTunes（.m4v ファイル）、Final Cut Pro で認識できるほかの出力ファイルに渡されます（つま り転送されます）。 また、出力ファイルに Podcast マーカーを追加することもできます。Podcast マー カーは、チャプタマーカーと同様です（URL やアートワークを割り当てられま す）。ただし、視聴者がそれらで直接移動することはできません。これらのマー カーは、オーディオ Podcast でスライドショー機能を実行できるようにするため に用意されているものです。チャプタマーカーおよび Podcast マーカーの追加の 詳細については、「マーカーとポスターフレームを使って作業する」を参照して ください。 アスペクト比（Apple デバイス用） 「デバイス」ポップアップメニューでの選択内容によって、エンコードファイル の幅が決まります。「アスペクト比」ポップアップメニューでの選択内容によっ て、エンコードファイルの縦が決まります。「Compressor」は、その縦の長さに 合うようにソースビデオを縦方向に拡大／縮小します。つまり、意図するアスペ クト比に合わせて拡大／縮小されることを見込んで、ソースビデオはアナモフィッ クである必要があります（縦長に見えます）。ネイティブのアスペクト比以外の アスペクト比に設定されている非アナモフィックビデオは、エンコードファイル では歪んで表示されます。 重要： ソースビデオがレターボックスの場合は、黒帯を含むビデオフレーム全 体に適合するアスペクト比を使用します。使用しない場合、最終的な出力ファイ ルには歪みが見られます。自動クロップ機能を使えば、レターボックスの黒帯を 切り取ることができます。詳細については、画角設定を追加するを参照してくだ さい。 各「デバイス」オプションの「アスペクト比」ポップアップメニューには以下の オプションが表示されます： • 4:3 • 16:9 • 1.85:1 • 2.35:1 各オプションの出力メディアファイルの高さはそれぞれ異なります。たとえば、 「iPod / iPhone（VGA）」設定の場合、「4:3」オプションでは 640×480 のファイ ルになり、「16:9」オプションでは 640×360 のファイルになります。 182 第 13 章 H.264（Apple デバイス用）出力ファイルを作成するソースのメディアファイルが DV NTSC または HDV のいずれかで、ソースのメディ アファイルのアスペクト比が分からない場合は自動ボタンをクリックします。こ のオプションは、ソースのメディアファイルのアスペクト比を解析し、適切なピ クセル値を判断します。 H.264 のワークフロー（Apple デバイス用） H.264は効率性と品質に優れているため、iPhone、iPad、iPod、Apple TV のビデオ 制作ではさまざまな選択肢を活用できます。「デバイス」オプションを選択する 際に、再生できるデバイスの種類が多いファイルを作成するのか、iPhone 4など 特定のデバイス専用のファイルを作成するのかを選択できます。 • あらゆるデバイスと互換性のあるオプションを選択した場合、Apple TV のよう な高解像度デバイスでは高い再生品質が得られません。一方、それらのオプ ションの利点は、ファイルのサイズが小さくなることです。 • 高解像度デバイスにターゲットを絞ったオプションでは、それらのデバイスで 高品質の再生結果が得られますが、ファイルのサイズが大きくなってしまいま す。 ビデオを再生したいデバイス、ビデオの内容、ファイルの配布方法を考慮に入れ てオプションを選択する必要があります。 さらに、「プレビュー」ウインドウを使って、クリップのポスターフレームを割 り当てることができます。詳細については、「ポスターフレームを設定する」を 参照してください。ポスターフレームは、必要であれば「iTunes」で変更できま す。詳細については、「iTunes」のヘルプを参照してください。 H.264（Apple デバイス用）出力ファイルの設定を構成す る 出力メディアファイルを iPhone、iPad、iPod、Apple TV 対応にするには、「設定」 タブの「Appleデバイス」グループに用意されている標準設定を使用することを お勧めします。設定の適用の詳細については、ソースメディアファイルに設定を 割り当てるを参照してください。 バッチテンプレートを使って、iPhone、iPad、iPod、Apple TV 対応のメディアファ イルを作成することもできます。詳細については、簡単な Compressor ワークフ ロー：バッチテンプレートを使う方法を参照してください。 メモ: iPhoneおよび iPodの設定を使って作成したファイルは、Apple TVでも再生 できます。 第 13 章 H.264（Apple デバイス用）出力ファイルを作成する 183「Compressor」には、特に Blu-ray および AVCHD ディスクに合わせて構成された H.264 の設定を簡単に作成できる機能が含まれています。 Blu-ray（Blu-ray ディスク（BD）とも呼ばれます）は、高精細度（HD）のビデオ の記録、再書き込み、および再生を行うために開発されたフォーマットです。こ のフォーマットの記憶容量は従来の DVD の 5 倍以上あり、1 層ディスクで最大 25 GB、2 層ディスクで 50 GB 記録できます。 AVCHDディスクは、赤色レーザーメディアに作成する簡易型の HD ディスクと考 えることができます。作成されるディスクは、AVCHD フォーマットと互換性の ある Blu-ray ディスクプレーヤーで再生します。 この章では以下の内容について説明します： • 「H.264（Blu-ray 用）」の「エンコーダ」パネルについて (ページ 186) • H.264 のワークフロー（光学式ディスク用） (ページ 188) 185 H.264（Blu-ray ディスク用）を作 成する 14「H.264（Blu-ray用）」の「エンコーダ」パネルについて ここでは、「インスペクタ」ウインドウの「H.264（Blu-ray 用）」の「エンコー ダ」パネルにある要素について詳しく説明します。このパネルで既存の設定を変 更するか、「設定」タブで新規設定を作成することによって、「H.264（Blu-ray 用）」の設定を行います。 「H.264（Blu-ray 用）」パネルには、以下の項目があります。 • 「ファイル拡張子」フィールド： 「ファイルフォーマット」ポップアップメ ニューから、または「設定」タブにある（+）ポップアップメニューから「H.264 （Blu-ray 用）」出力フォーマットを選択すると、H.264（Blu-ray 用）ファイル の拡張子（.264）が自動的に表示されます。 • ジョブのセグメント化を許可： このチェックボックスを使って、ジョブのセ グメント化をオフにすることができます。これは、「Compressor」を分散処理 で使っていて、さらにマルチパスのエンコーディングを実行する場合にのみ有 効です。詳細については、ジョブのセグメント化と 2パスまたはマルチパスエ ンコーディングを参照してください。 • ストリームの用途： 「ストリームの用途」ポップアップメニューを使って、 H.264 ストリームの用途を選択できます。「Compressor」は、このポップアッ プメニューで選択する用途に基づいてビットレート範囲の設定を変更します。 • Blu-ray： ストリームを使って標準の Blu-ray ディスクを作成する場合は、こ れを選択します。 • AVCHD： ストリームと「Blu-ray ディスクを作成」ジョブ操作を使って、標 準の DVD 作成装置で AVCHD ディスクを作成する場合は、これを選択します。 このディスクは、AVCHD フォーマットと互換性のある Blu-ray ディスクプレー ヤーで再生できます。AVCHD ディスクには、最大 50 チャプタマーカーまで 設定できます。 186 第 14 章 H.264（Blu-ray ディスク用）を作成する• ビデオフォーマット： 「ビデオフォーマット」ポップアップメニューで、下 の一覧にある 4 つのオプションから選択できます。4 つの項目はすべて、HD プログレッシブフォーマットです。 「ビデオフォーマット」設定には、自動ボタンもあります。自動ボタンをク リックすると、エンコーダでソースのビデオファイルに一致するビデオフォー マットが選択されます。 The Video Format Automatic button • NTSC： このフォーマットは 480p と呼ばれます。59.94 fps で 720×480 のフ レームサイズ、16×9 のアナモフィックフォーマットを使います。 • PAL： このフォーマットは 576p と呼ばれます。50 fps で 720×576 のフレーム サイズ、16×9 のアナモフィックフォーマットを使います。 • 720p： このフォーマットは、NTSC の場合は 59.94 fps、PAL の場合は 50 fps で、1280×720 のフレームサイズ、16×9 のフォーマットを使います。 • 1920x1080： このフォーマットは 1080p と呼ばれます。NTSC の場合は 59.94 fps、PAL の場合は 50 fps で、1920×1080 のフレームサイズ、16×9 の フォーマットを使います。 • フレームレート： このポップアップメニューから、出力メディアファイルの フレームレートを選択できます。 「フレームレート」設定には、自動ボタンもあります。自動ボタンをクリック すると、エンコーダでソースのビデオファイルと一致するフレームレートが選 択されます。 The Frame Rate Automatic button メモ: 「ビデオフォーマット」メニューでフォーマットを選択すると、「フレー ムレート」メニューは自動的に入力されます。 「フレームレート」ポップアップメニューの以下のオプションから選択しま す： • 23.98： NTSC ベースのビデオに使用 • 25： PAL ベースのビデオに使用 第 14 章 H.264（Blu-ray ディスク用）を作成する 187• 29.97： NTSC ベースのビデオに使用 • 50： PAL ベースのビデオに使用 • 59.94： NTSC ベースのビデオに使用 • 「標準ビットレート」スライダとフィールド： スライダを動かして出力ビデ オに使用する標準ビットレートを選択するか、数値を直接入力します。Blu-ray で使用可能な範囲は 5 Mbps 〜 30 Mbps までですが、H.264 での一般的なビデオ のビットレートは 7 Mbps 〜 15 Mbps です。これは DVD ビットバジェットと ソース・メディア・ファイルの性質に応じて変わります。AVCHD ディスクで 使用可能な範囲は 5 Mbps 〜 15 Mbps です。 • 「最大ビットレート」スライダおよびフィールド： Blu-ray ディスクの場合は 6 Mbps 〜 35 Mbps の範囲から、AVCHD ディスクの場合は 6 Mbps 〜 17 Mbps の 範囲から最大ビットレートを選択します。隣のフィールドにこの範囲内の数字 を入力することもできます。「最大ビットレート」設定を「標準ビットレー ト」設定より低い値にすることはできません。一般的には、最大ビットレート は標準ビットレートより最低でも 1 Mbps 高く設定し、ビットレートの変動へ の対応を可能にし、品質を一定に保ちます。 • マルチパス： このチェックボックスを使って、マルチパスエンコーディング をオンにできます。2 パスの MPEG-2 エンコーディングと同様に、マルチパス では最高品質が得られます。エンコーディングを短時間（1 パス）で行うため には、チェックボックスの選択を解除して、この機能をオフにします。詳細に ついては、ジョブのセグメント化と 2パスまたはマルチパスエンコーディング を参照してください。 H.264 のワークフロー（光学式ディスク用） H.264 は効率性と品質に優れているため、光学式ディスクの制作では目的に応じ てさまざまな選択肢を活用できます： • SD DVD でサポートされるビデオ解像度は、Blu-ray ディスクでもサポートされ ます。つまり、Blu-ray ディスクは、映画本編などのメインコンテンツに HD ビ デオ解像度ファイルを使用し、トレーラーや「メーキング」ドキュメンタリー などの付録部分に SD ビデオ解像度ファイルを使用することができます。 188 第 14 章 H.264（Blu-ray ディスク用）を作成する• 「Blu-ray ディスクを作成」ジョブ操作には、赤色レーザーメディアを使って AVCHD ディスクを作成する機能が含まれています。AVCHD ディスクには、 AVCHD フォーマットと互換性のある Blu-ray ディスクプレーヤーで H.264 ビデ オを再生する方法が用意されています。詳細については、Blu-ray ディスクを作 成を参照してください。 • H.264は標準精細度（SD）ビットレートで高精細度（HD）ビデオを配信できる ため、AVCHDディスクの場合に予想される分より多くの HDコンテンツを通常 の DVD-5 ディスクに記録できます。 第 14 章 H.264（Blu-ray ディスク用）を作成する 189「Compressor」を使って、合成アプリケーションで使用するイメージシーケンス を出力できます。この章では、ソースメディアファイルから「Compressor」で出 力できるイメージシーケンスについて説明します。 この章では以下の内容について説明します： • イメージシーケンス出力ファイルを作成する (ページ 191) • イメージシーケンスの「エンコーダ」パネルについて (ページ 192) • イメージシーケンスの設定を構成する (ページ 194) イメージシーケンス出力ファイルを作成する イメージシーケンス出力フォーマットは、ソースビデオフレームを表す一連の静 止画像ファイルを作成します。QuickTime 非対応の画像合成アプリケーションで 使用するには、このエンコーダを使用してビデオクリップをイメージシーケンス に変換します。 メモ: 「Compressor」を使って、イメージシーケンスを読み込むこともできます。 詳細については、バッチにイメージシーケンスを追加するを参照してください。 イメージシーケンス出力フォーマットは、以下の静止画像フォーマットをサポー トしています。 • TIFF（Tagged Image File Format）： TIFFは最もよく使用される応用範囲の広い静 止画フォーマットの 1 つです。DTPで使用するデジタル画像の格納および交換 用の標準ファイルフォーマットを作成するために開発されました。TIFF はさま ざまな画像合成および画像処理アプリケーションに対応しています。 • TARGA（Truevision Advanced Raster Graphics Adapter）： TARGA は、一般的に TGA とも呼ばれますが、アニメーションやビデオアプリケーションでよく使われる ラスターグラフィックスのフォーマットです。 • DPX： DPXは、デジタルによる中間の視覚エフェクトに関連した作業向けの一 般的なファイルフォーマットであり、ANSI/SMPTE標準（268M-2003）になって います。 191 イメージシーケンスファイルを 作成する 15• IFF（Interchange File Format）： IFFは、元は、別々の会社が作成したソフトウェ ア製品間でのデータ転送を容易にするために Electronic Arts 社が 1985 年に （Commodore/Amiga 社と協力して）導入した標準ファイルフォーマットです。 • JPEG（Joint Photographic Experts Group）： JPEGは、一般的な静止画像フォーマッ トです。 • OpenEXR： OpenEXRは、コンピュータによるイメージ処理のアプリケーション で使用するために Industrial Light & Magic 社が開発した高ダイナミックレンジ （HDR）のイメージファイルフォーマットです。 イメージシーケンスの「エンコーダ」パネルについて ここでは、「インスペクタ」ウインドウにあるイメージシーケンスの「エンコー ダ」パネルの要素について詳しく説明します。このパネルで既存の設定を変更す るか、「設定」タブで新規設定を作成することによって、イメージシーケンスの 設定を行います。 Choose Image Sequence. Choose an image type. Choose a frame rate from the Frame Rate pop-up menu or click the Automatic button. イメージシーケンスの「エンコーダ」パネルには、イメージシーケンスの出力 ファイルを作成する上で便利な次のような項目があります： • ファイル拡張子： 「ファイルフォーマット」ポップアップメニューから、ま たは「設定」タブにある（+）ポップアップメニューから「イメージシーケン ス」出力フォーマットを選択すると、このフィールドに TIFF ファイルの拡張子 （.tiff）が自動的に表示されます。このフィールドは変更しないでください。 出力フォーマットは「イメージの種類」ポップアップメニューで変更できま す。このフィールドは、選択した出力フォーマットを使って自動的にアップ デートされます。 192 第 15 章 イメージシーケンスファイルを作成する• ジョブのセグメント化を許可： このチェックボックスを使って、ジョブのセ グメント化をオフにすることができます。これは、「Compressor」を分散処理 で使っていて、さらにマルチパスのエンコーディングを実行する場合にのみ有 効です。詳細については、ジョブのセグメント化と 2パスまたはマルチパスエ ンコーディングを参照してください。 • イメージの種類： このポップアップメニューを使って、出力メディア用とし て 6つのイメージシーケンスの種類のいずれかを選択できます。これらの出力 の種類の詳細については、イメージシーケンス出力ファイルを作成するを参照 してください。 • フレームレート（fps）： このフィールドとポップアップメニューで、静止画 像を作成するときのフレームレートを入力します。フレームレートを高くする と作成される静止画像の数が増え、出力ファイルも大きくなります。たとえ ば、30 fps を選択すると、「Compressor」は、トランスコード中のビデオクリッ プの 1 秒の間に静止画像を 30 個作成します。8 fps を選択すると、 「Compressor」により 1 秒間に作成される静止画像は 8 個のみです。 • 固有の出力ディレクトリを作成： このチェックボックスを選択すると、生成 される出力ファイルを格納するためのフォルダが作成されます。フォルダに は、メディアファイルと同じ名前が付けられ、ファイルは frame-nnn という名 前でフォルダ内に格納されます。たとえば、出力ファイル名が test ならば、 ディレクトリパスは destination/test/frame-nnn になります。 このボックスを選択しない場合、出力ファイルは書き出し先フォルダの最上位 に格納され、名前は frame-nnn ではなく、filename-nnn になります。この出力 フォーマットにトランスコードすると、8 fps という低いレートで、大量のファ イルが作成されます。したがって、出力ディレクトリを作成して、そこにファ イルを格納することをお勧めします。 • フレーム番号の前に 0 を追加： このチェックボックスを選択すると、フレー ム番号の前に 0が追加されます。この方法の場合、すべての出力ファイルに複 数桁のファイル名が付けられます。たとえば、frame-000001 などです（ファイ ルが一意の出力ディレクトリに保存されない場合は、filename-000001 です）。 このチェックボックスを選択しない場合、各ファイルには通常のファイル名が 付けられます。たとえば、frame-1 などです（ファイルが一意の出力ディレク トリに保存されない場合は、filename-1 です）。 • アスペクト比を保持してイメージを調整： NTSC や PAL フォーマットなどの非 スクエアピクセルを使用しているビデオメディアで、意図的にビデオのフレー ムサイズを変更しない場合にのみ適用されます。このチェックボックスを選択 すると、元のアスペクト比を維持したまま、スクエアピクセルを使用して出力 ファイルが調整されます（横および縦のピクセル数が増加または減少します）。 このチェックボックスを選択しない場合（デフォルト設定）、出力ファイルで は、元のビデオと同じピクセルアスペクト比が使用され、横および縦のピクセ ル数が維持されます。 第 15 章 イメージシーケンスファイルを作成する 193イメージシーケンスの設定を構成する ビデオクリップを一連の静止画像にトランスコードする場合は、イメージシーケ ンス出力フォーマットを使用します。 イメージシーケンスの設定を作成するには 1 「設定」タブで以下のいずれかを実行します： • 適切な設定が選択されていることを確認します。 • 新規設定の作成（+）ポップアップメニューで「イメージシーケンス」を選択 して、新しい設定を作成します。 2 「バッチ」ウインドウでジョブに設定を適用します。 3 作成するイメージ・シーケンス・ターゲットが選択されていることを確認しま す。 4 「インスペクタ」で「エンコーダ」タブをクリックし、「ファイルフォーマッ ト」ポップアップメニューから「イメージシーケンス」を選択します。 イメージシーケンスの「エンコーダ」パネルが表示されます。 5 「イメージの種類」ポップアップメニューを使って、出力メディア用として以下 のイメージシーケンスの種類のいずれかを選択できます。これらの出力の種類の 詳細については、イメージシーケンス出力ファイルを作成するを参照してくださ い。 • TIFF • TARGA • DPX • IFF • JPEG • openEXR 6 「フレームレート（fps）」フィールドに数値を入力し、ポップアップメニュー からフレームレートを選択するか、自動ボタンをクリックします。 7 イメージシーケンスファイルを書き出し先フォルダ内の別フォルダに格納する場 合は、「固有の出力ディレクトリを作成」チェックボックスを選択します。 8 出力イメージシーケンスファイルの番号を 0000nn というフォーマットにする場 合は、「フレーム番号の前に 0 を追加」チェックボックスを選択します。 重要： FTP ソフトウェアを使ってイメージシーケンスをリモートサーバにアッ プロードします。 194 第 15 章 イメージシーケンスファイルを作成する静止画像はすべてスクエアピクセル（ピクセルのアスペクトが 1.0）を使用して いるため、「Compressor」でイメージ・シーケンス・ジョブのピクセル値を変更 する必要が生じる可能性があります。これらのパラメータを表示する／調整する には、「バッチ」ウインドウでターゲットを選択し、「インスペクタ」の「ジオ メトリ」タブをクリックします。特定のサイズおよびピクセルのアスペクト比に 設定できるアプリケーション（「Motion」など）でイメージシーケンスを使う場 合、エンコードの前に「ジオメトリ」パネルで適切な変更を行ってください。 トランスコードの前にイメージ・シーケンス・ジョブのピクセルのアスペクト比 を調整するには 1 「バッチ」ウインドウで、イメージ・シーケンス・ターゲットを選択します。 2 「インスペクタ」ウインドウの「ジオメトリ」パネルで、「フレームサイズ」 ポップアップメニューでそのイメージシーケンスに適切な出力サイズ（720×480、 1920×1080 など）を選択します。 「ピクセルのアスペクト」ポップアップメニューがアクティブになります。 3 「ジオメトリ」パネルの「ピクセルのアスペクト」ポップアップメニューで、イ メージシーケンスに適切なピクセルのアスペクト比を選択します。 イメージシーケンスの「エンコーダ」パネルの詳細については、イメージシーケ ンスの「エンコーダ」パネルについてを参照してください。「ジオメトリ」パネ ルの詳細については、「「画角設定」パネルについて」を参照してください。 メモ: 設定の現在の内容は、「インスペクタ」ウインドウの設定一覧パネルで確 認できます。 第 15 章 イメージシーケンスファイルを作成する 195「Compressor」には、ひときわ優れた MP3 ファイルの作成に必要なツールが用 意されています。 MP3 は MPEG エンコーディングの 1 タイプで、正式名称は MPEG Audio Layer 3 と いいます。MP3 は知覚オーディオコーディング技術と音響心理学に基づく圧縮技 術を使って、不必要な情報（人間に耳では聞き取れない音声信号の冗長な部分や 無関係な部分）をすべて取り除きます。この結果、MP3 エンコーディングでは音 質をほとんど犠牲にすることなく、CD（ステレオ音楽で 1 秒当たりのデータレー トが 1411.2 キロビット）の元の音声データを約 1/12 まで（112 〜 128 kbps）圧縮 することができます。MP3 の提唱者は、事実上音質はまったく変わらないと主張 していますが、オーディオの専門家が高性能の機器を使えばその違いを聞き分け ることができるでしょう。 この章では以下の内容について説明します： • MP3 の一般的な用途 (ページ 197) • MP3 の「エンコーダ」パネルについて (ページ 198) • MP3 のトランスコーディングのワークフロー (ページ 200) MP3 の一般的な用途 MP3 は圧縮オーディオファイルの標準として広く採用されており、音楽や Podcast などのさまざまな用途で使うことができます。 音楽 MP3 オーディオフォーマットは、ほとんどすべての携帯型デジタル音楽プレー ヤーでサポートされています。256 kbps など、ビットレートを高くすると、圧縮 なしのオーディオよりもかなり小さなファイルサイズでありながら高品質のオー ディオファイルを作成できます。 また、ファイルのメタデータを追加できるため、出力メディアファイルを開くプ レーヤーの多くで（「iTunes」など）、アーティスト、アルバムなどの一般情報 を表示できます。 197 MP3 出力ファイルを作成する 16Podcast MP3 フォーマットは、広い範囲のビットレートをサポートしているため、さまざ まな品質レベルで配信される Podcast に理想的です。ユーザは自分の環境に合わ せてファイルサイズや品質レベルを選択できます。 メモ: 高品質のオーディオ Podcast を作成する際には、ほとんどの場合 MPEG-4 出 力フォーマットを選択してください。URL やアートワークを割り当てたチャプタ マーカーや Podcast マーカーを出力ファイルに追加できます。詳細については、 MPEG-4 出力ファイルを作成するを参照してください。 MP3 の「エンコーダ」パネルについて ここでは、「インスペクタ」ウインドウの MP3 の「エンコーダ」パネルのさま ざまな設定について詳しく説明します。このパネルで既存の設定を変更するか、 「設定」タブで新規設定を作成することによって、MP3 の設定を行います。 MP3 の「エンコーダ」パネルには、以下の設定があります。 • 拡張子： 「ファイルフォーマット」ポップアップメニューから、または「設 定」タブにある（+）ポップアップメニューから MP3出力フォーマットを選択 すると、このフィールドに MP3 ファイルの拡張子（.mp3）が自動的に表示さ れます。 • ジョブのセグメント化を許可： このチェックボックスを使って、ジョブのセ グメント化をオフにすることができます。これは、「Compressor」を分散処理 で使っていて、さらにマルチパスのエンコーディングを実行する場合にのみ有 効です。詳細については、ジョブのセグメント化と 2パスまたはマルチパスエ ンコーディングを参照してください。 198 第 16 章 MP3 出力ファイルを作成する• 「ステレオビットレート」ポップアップメニュー： 1秒当たりのモノラルまた はステレオのキロビット（Kbps）を高くするほど、オーディオの品質が高くな り、ファイルサイズが大きくなります。ステレオの MP3 ファイルに一般的な ビットレートは、128 Kbps 〜 192 Kbps です。ビットレートが低いほど、音声 録音を含むサウンドファイルに適しています（ミュージックとは逆）。 以下に、設定例と使いかたについて示します： • 32 kbps： AM ラジオの品質。標準品質のスピーチに最適です。 • 96 kbps： FMラジオの品質。高品質のスピーチや標準品質のミュージックに 最適です。 • 128 kbps： 標準品質のミュージックに最適です。 • 256 kbps および 320 kbps： CD とほぼ同レベル品質のミュージックに最適で す。 • 可変ビットレート（VBR）のエンコードを使う： この設定によって、ミュー ジックの複雑度に合わせてミュージックの保存に使われるビット数が変わりま す。これにより、ファイルを最小サイズに抑えることができます。 • 「サンプルレート」ポップアップメニュー： ミュージックの波形をデジタル 化してキャプチャする回数を 1秒当たりで指定します。サンプルレートが大き いと品質が高くなりますが、ファイルサイズも大きくなります。元のミュー ジックを保存する際に使用したビットレートよりも大きな値のサンプルレート を選択しないでください。スペースが無駄になります。たとえば、CD の品質 は 44.100 kHz であるため、CD からのエンコーディングでそれより高いレート を選択する必要はありません。 • 「チャンネル」ポップアップメニュー： ステレオスピーカーがない場合やオー ディオファイルがモノラルの場合は、「モノラル」を選択します（モノラル ファイルのサイズはステレオファイルの約半分です）。作成した MP3 ファイ ルをステレオシステムで聞く場合は、「ステレオ」を選択します。 • ジョイントステレオ： このチェックボックスの選択を解除すると、MP3 ファ イルには左右のステレオチャンネルのトラックがそれぞれ 1 つずつ含まれま す。多くの場合、2 つのチャンネルには関連情報が含まれています。「ジョイ ントステレオ」チェックボックスを選択すると、1 つのチャンネルには両チャ ンネルでまったく同じ情報が含まれ、もう一方のチャンネルには固有の情報が 含まれるようになります。160 Kbps以下のビットレートの場合、このようにす ることで変換したオーディオの音質を改善できます。 • スマートエンコード調整： 「Compressor」でエンコーディング設定とミュー ジックソースを解析し、品質を最大限に高めるために設定を調整するにはこの オプションを選択します。 • 10 Hz 以下をフィルタ： 聞き取れない周波数をフィルタリングすると、品質の 低下を感じさせることなくファイルを効率的に小さくできます。 第 16 章 MP3 出力ファイルを作成する 199MP3 のトランスコーディングのワークフロー 「Compressor」を使ってオーディオファイルを MP3 フォーマットファイルにト ランスコードする方法は、ファイルの用途に基づいて決まります。基本的な手順 について以下で説明します。 ステージ 1: バッチを作成する トランスコードの場合と同様、まずバッチを作成する必要があります。詳細につ いては、カスタム設定を使ってトランスコードのために Compressor を準備する を参照してください。 ステージ 2: ソースオーディオファイルのあるジョブを作成する Finder からバッチにドラッグするか、または「ジョブ」＞「ファイルを使って新 規ジョブを作成」と選択して、ソース・オーディオ・ファイルを読み込みます。 ステージ 3: 注釈を追加する（必要に応じて） MP3 ファイルを「iTunes」などのデバイスやアプリケーションで再生する場合 は、アーティスト、アルバム、タイトルなどのさまざまな注釈を追加してユーザ が読み取れるように表示できます。詳細については、「「追加情報」タブ」を参 照してください。 ステージ 4: MP3 設定のターゲットを各ジョブに追加する ジョブごとに少なくとも 1 つのターゲットが必要です。この場合、ジョブには MP3 設定のターゲットが必要です。ジョブが複数ある場合は、「編集」＞「すべ てを選択」と選択してすべてのジョブを選択した後、「ターゲット」＞「設定を 使って新規ターゲットを作成」と選択して、すべてのジョブに同じ設定を適用す るのが最も簡単です。 ステージ 5: バッチを実行してトランスコードする 「実行」ボタンをクリックして、トランスコード処理を開始します。詳細につい ては、バッチを実行するを参照してください。 200 第 16 章 MP3 出力ファイルを作成する「Compressor」には、高品質の MPEG-1 にトランスコードされたファイルを作成 するのに必要なツールが用意されています。 MPEG-1とは、Motion Picture Experts Group（MPEG）が定めた、放送業界で国際的 に受け入れられている圧縮規格です。MPEG-1 は VHS 品質のビデオファイルを作 成できるフォーマットで、比較的低いビットレートを使用する SIF（Standard Interface Format）解像度のノンインターレース（プログレッシブ）ビデオをサ ポートします（「Compressor」では 0.5 Mbps 〜 2 Mbps がサポートされていま す）。このフォーマットでは、圧縮された 1 チャンネルまたは 2 チャンネルの オーディオを作成できます。 この章では以下の内容について説明します： • MPEG-1 の一般的な用途 (ページ 201) • MPEG-1 の仕様 (ページ 202) • MPEG-1 エンコーダパネルについて (ページ 203) • MPEG-1 の「ビデオ」タブについて (ページ 204) • MPEG-1 の「オーディオ」タブについて (ページ 206) • システムストリームとエレメンタリーストリームについて (ページ 207) • MPEG-1 トランスコードのワークフロー (ページ 207) • MPEG-1 ファイルフォーマットを Web 用に設定する (ページ 208) • MPEG-1 ファイルフォーマットを DVD 用に設定する (ページ 210) • DVD 用 MPEG-1 ビデオ設定を作成する (ページ 211) • DVD 用 MPEG-1 オーディオ設定を作成する (ページ 213) • （オプション）「DVD用 MPEG-1」のグループと書き出し先を作成する (ページ 215) MPEG-1 の一般的な用途 MPEG-1 は標準として広く採用されているので、光学式ディスク、Web、オーディ オのみのファイルなどを含む数多くの配布方法で使用できます。 201 MPEG-1 出力ファイルを作成する 17DVD、VCD、CD-ROM MPEG-1 はビデオ CD（VCD）のタイトルで使用するビデオ圧縮フォーマットで、 DVD タイトルでも使用できます。DVD プレーヤーにはすべて、MPEG-1 の再生に 必要なハードウェアが搭載されています。MPEG-1 は、通常、CD-ROM で配布さ れるビデオで使用されます。ビットレートが低くファイルサイズも小さいので、 MPEG-2 エンコーディングのようなブロードキャストに適した品質は必要ないが、 長時間のビデオを DVD に収める必要があるという場合に有用です。DVD には、 MPEG-2 と MPEG-1 のビデオを混在させられます。 Web 上 MPEG-1 は広く採用された最初の圧縮規格の 1 つなので、大部分のメディアプレー ヤーとの互換性があるという利点があります。このため、Web 上でなるべく高 い品質を保ったまま最大の互換性を実現しようとする場合、MPEG-1 は検討する 価値のある選択肢の 1 つとなっています。 オーディオ専用 MPEG-1 Layer 2 オーディオ圧縮は、Dolby Digital Professional や DTS 圧縮の代わり に使うことができます。このリリースの「Compressor」には、MPEG-1 オーディ オ専用ファイル用の Appleの設定はありませんが、設定を自分で簡単に作成でき ます。詳細については、MPEG-1ファイルフォーマットを DVD 用に設定するを参 照してください。 MPEG-1 の仕様 「Compressor」は、フレームサイズ、フレームレート、ビデオエンコーディン グ、およびオーディオエンコーディング用の MPEG-1仕様をすべてサポートしま す。 MPEG-1 のフレームサイズとフレームレート 「Compressor」ではフルフレームレート（DVD の場合は 25 fps および 29.97 fps。 Web の場合は 23.976 fps、25 fps、および 29.97 fps）のビデオを作成できます。そ の場合の SIF 解像度は、用途により変わります。 • Web： 320×240 • NTSC： 352×240 • PAL： 352×288 NTSC と PAL の解像度は MPEG-2 ビデオのフル画面解像度の約半分ですが、DVD プレーヤーで再生すると、自動的に画面全体に拡大して表示されます。 202 第 17 章 MPEG-1 出力ファイルを作成するMPEG-1 ファイルフォーマットの仕様 MPEG-1 のビデオエンコーディングは、MPEG2 エンコーディングで使われている のとほぼ同じ処理を使います。用語や設定の多くは同じです。「Compressor」で は、エンコード設定は以下の通りです。 • エンコーディングモード： 1 パス • GOP 構造： オープン • GOP パターン： BBIBBP • GOP 長： 15 フレーム（NTSC）、12 フレーム（PAL） 以上の設定値は固定で、「Compressor」でのすべての MPEG-1 ビデオ出力ファイ ルに適用されます。GOP（グループオブピクチャ）設定の詳細については、 「GOP」タブを参照してください。エンコーディングモードの詳細については、 「品質」タブを参照してください。 MPEG-1 出力ファイルでは、特定のフレームに圧縮マーカーを入れることにより、 強制的に I フレームを配置することができます。圧縮マーカーは、「Final Cut Pro」 を使用してソースメディアファイルに追加するか、「プレビュー」ウインドウで 手動で追加します。詳細については、「マーカーとポスターフレームを使って作 業する」を参照してください。 MPEG-1 フォーマットでは、名前付きチャプタマーカーはサポートされません。 MPEG-1 エンコーダパネルについて ここでは、「インスペクタ」ウインドウの MPEG-1の「エンコーダ」パネルの各 種タブについて詳しく説明します。これらのタブから既存の設定を変更するか、 「設定」タブで新しい設定を作成することによって、MPEG-1 の設定を行います。 第 17 章 MPEG-1 出力ファイルを作成する 203MPEG-1 の「エンコーダ」パネルを開くと、以下の項目を含むデフォルトの「ビ デオ」タブが前面に表示されます。 • 拡張子： 「ファイルフォーマット」ポップアップメニューから、または「設 定」タブにある（+）ポップアップメニューから「MPEG-1」出力フォーマット を選択すると、このフィールドに MPEG-1ファイルの拡張子（.mpg）が自動的 に表示されます。拡張子は、「オーディオ」タブが無効の場合はビデオのみの 拡張子（.m1v）に、「ビデオ」タブが無効の場合はオーディオのみの拡張子 （.m1a）に変わります。 • ジョブのセグメント化を許可： このチェックボックスを使って、ジョブのセ グメント化をオフにすることができます。これは、「Compressor」を分散処理 で使っていて、さらにマルチパスのエンコーディングを実行する場合にのみ有 効です。詳細については、ジョブのセグメント化と 2パスまたはマルチパスエ ンコーディングを参照してください。 • 「ビデオ」タブと「オーディオ」タブ： これらのボタンを押すと、これから 説明する「ビデオ」タブと「オーディオ」タブが表示されます。 MPEG-1 の「ビデオ」タブについて 「ビデオ」タブでは、ビデオフォーマットに関する設定を行います。 The Automatic button • 「有効」チェックボックス： MPEG-1出力フォーマットに「ビデオ」タブの設 定が含まれるようにするには、このチェックボックスを選択します。 • 「フレームレート」ポップアップメニュー： エンコードするビデオのフレー ムレートを選択します。 • 「用途」を「Web」と設定した場合： 選択できるのは、23.976、25（PAL フ レームレート）、29.97（NTSC フレームレート）、および「自動」です。 204 第 17 章 MPEG-1 出力ファイルを作成する• 「用途」を「DVD」と設定した場合： 選択できるのは、25（PAL フレーム レート）、29.97（NTSC フレームレート）、および「自動」です。 • 自動ボタン： 自動ボタンをクリックすると、ソースのフレームレートに最も 近い、正しいフレームレートがエンコーダにより選択されます。 メモ: ソースのフレームレートが標準的な値でない場合、「自動」を選択する と、出力フレームレートが想定したビデオフレームレートと一致しなくなるこ とがあります。たとえば、ソースフレームレートが 15 fps で「用途」が「DVD」 に設定されている場合、25（PAL）が自動選択されます。NTSC DVD用に出力す る場合は、フレームレートに 29.97 を選択する必要があります。 • 「用途」ボタン： 出力ファイルの想定用途を選択します。 • Web： 「フレームレート」の選択内容に関係なく、解像度を強制的に 320×240 にします。 • DVD： 「フレームレート」の選択内容により解像度が設定されます。フレー ムレートが 29.97 の場合は、解像度は 352×240 です。フレームレートが 25 の 場合は、解像度は 352×288 です。 • ビットレート： このスライダを使って、出力ビデオに使用するビットレート を選択するか、テキストフィールドに数値を直接入力します。使用できる範囲 は 0.5 Mbps 〜 2.0 Mbps ですが、実際に使用すべき設定値は、出力の用途によ り決まります。ビットレートが高いと画質は向上しますが、出力ファイルのサ イズは大きくなります。 • Web プロジェクトの場合： ファイルサイズや予想ダウンロード所要時間と のバランスを考慮して最適なビットレートを選んでください。 • VCD プロジェクトの場合： ビデオのビットレートを 1.15 Mbps とし、システ ムストリーム（ビデオとオーディオが同一のファイルに多重化処理されたも の）のビットレートを 1.3944 Mbps より低くすることをお勧めします。 • DVD プロジェクトの場合： ビデオのビットレートは通常 1.15 Mbps、上限 1.856 Mbps です。 第 17 章 MPEG-1 出力ファイルを作成する 205MPEG-1 の「オーディオ」タブについて 「オーディオ」タブでは、オーディオフォーマットに関する設定を行います。 • 「有効」チェックボックス： MPEG-1出力フォーマットに「オーディオ」タブ の設定が含まれるようにするには、このチェックボックスを選択します。 • 「サンプルレート」ポップアップメニュー： 出力オーディオのサンプルレー トを選択します。 • 48 kHz： DVD で使用する場合に必要です。 • 44.1kHz： オーディオ CDに使用されます。最も広くサポートされているサン プルレートです。 • 「チャンネル」ボタン： 出力メディアファイルのチャンネルバランス（ステ レオまたはモノラル）を選択します。 • ステレオ： このボタンを選択すると、ステレオの出力オーディオファイル が作成されます。 • モノラル： このボタンを選択すると、モノラルの出力オーディオファイル が作成されます。 • 「ビットレート」ポップアップメニュー： 出力オーディオで使用するビット レートを選択します。選択できるオプションは、64 Kbps、128 Kbps、192 Kbps、 224 Kbps、および 384 Kbps です。ビットレートが高いとオーディオの音質は高 くなりますが、出力ファイルのサイズは大きくなります。 メモ: 「チャンネル」が「モノラル」に設定されている場合は、224 Kbps およ び 384 Kbps の設定は選択できません。 206 第 17 章 MPEG-1 出力ファイルを作成するシステムストリームとエレメンタリーストリームについ て 「Compressor」を使用して MPEG-1 フォーマットのシステムストリームやエレメ ンタリーストリームを作成することができます。 システムストリーム システムストリームは多重化ストリームとも呼ばれ、ビデオコンポーネントと オーディオコンポーネントを同一のファイルに結合したものです。Web アプリ ケーションではこのタイプのストリームが最も多く使われます。 「Compressor」では、同一の設定で「ビデオ」タブと「オーディオ」タブの両方 を有効にしている場合、自動的にシステムストリームが作成されます。 エレメンタリーストリーム エレメンタリーストリームの場合、ビデオコンポーネントとオーディオコンポー ネントに別々のファイルがあります。一部のアプリケーション用には、エレメン タリーストリームにする必要があります。 「Compressor」では、「ビデオ」タブと「オーディオ」タブのどちらか一方だけ が有効の場合、自動的にエレメンタリーストリームが作成されます。ビデオと オーディオ両方のエレメンタリーストリームを作成するには、「ビデオ」タブが 有効で拡張子に「.m1v」を使用する設定と、「オーディオ」タブが有効で拡張子 に「.m1a」を使用する設定の 2 つを使用する必要があります。 MPEG-1 トランスコードのワークフロー ここでは、「Compressor」を使って MPEG-1 出力ファイルを作成するための準備 として MPEG-1 属性の設定方法を段階的に説明します。MPEG-1 を設定するには、 MPEG1 の「エンコーダ」パネルで既存の設定を変更するか、プリセットテーブ ルで新しい設定を作成します。MPEG-1 出力ファイルフォーマットの共通設定に ついて、以下に説明します。 Web 用にエンコードする MPEG-1システムストリームを Web 用にエンコードする場合は以下の設定を使用 します。 「ビデオ」タブ： • フレームレート： 自動 • 用途： Web • ビットレート： 満足な画質が得られる値を設定します。 「オーディオ」タブ： • サンプルレート： 44.1kHz 第 17 章 MPEG-1 出力ファイルを作成する 207• チャンネル： ソースが 2 チャンネルの場合はステレオ、1チャンネルの場合は モノラル。 • ビットレート： 許容可能なオーディオ品質の範囲内で、できるだけ低い値に ビットレートを設定します。ステレオ・オーディオをエンコードするときは、 もっと高いビットレートを使用してください。 DVD 用にエンコードする MPEG-1エレメンタリーストリームを DVD オーサリング用にエンコードする場合 は、以下の設定を使用して 2 つの設定を設定します。 ビデオエレメンタリーストリーム設定（「ビデオ」タブ）： • フレームレート： 29.97（NTSC）、25（PAL） • 用途： DVD • ビットレート： 1.15 Mbps ビデオエレメンタリーストリーム設定（「オーディオ」タブ）： • 「有効」チェックボックス： 未選択 オーディオエレメンタリーストリーム設定（「ビデオ」タブ）： • 「有効」チェックボックス： 未選択 オーディオエレメンタリーストリーム設定（「オーディオ」タブ）： • サンプルレート： 48 kHz • チャンネル： ソースが 2 チャンネルの場合はステレオ、1チャンネルの場合は モノラル。 • ビットレート： 192 kbps または 224 kbps MPEG-1 ファイルフォーマットを Web 用に設定する MPEG-1出力ファイルフォーマットを Web 用に設定する手順を以下に示します。 この手順では、単一の MPEG-1 システムストリームを作成します。 • ステージ 1: ビデオ設定を選択する • ステージ 2: オーディオ設定を選択する ステージ 1: ビデオ設定を選択する このセクションでは、Web用の MPEG-1 ビデオ設定の作成について説明します。 MPEG-1 の「エンコーダ」パネルを開いてビデオ設定を選択するには 1 「設定」タブを開いて、新規設定の作成（+）ポップアップメニューから 「MPEG-1」を選択します。 208 第 17 章 MPEG-1 出力ファイルを作成する「インスペクタ」で、MPEG-1 の「エンコーダ」パネルが開き、デフォルトの「ビ デオ」タブが表示されます。 2 新しい設定「Web 用 MPEG-1」に名前を付けます。 Click the Automatic button or choose a frame rate. Select Web to set the resolution to 320 x 240. Choose the bit rate. Select to enable the Video tab. 3 「有効」チェックボックスを選択します。 4 「フレームレート」ポップアップメニューの隣にある自動ボタンをクリックしま す。 ソースビデオのフレームレートが分かっている場合は、「フレームレート」ポッ プアップメニューから 23.976、29.97、または 25 を選択することもできます。 5 「Web」ボタンを選択します。 出力の解像度が 320×240 に設定されます。 6 「ビットレート」スライダを使ってビットレートを選択するか、値を直接入力し ます。 ステージ 2: オーディオ設定を選択する このセクションでは、Web用の MPEG-1 オーディオ設定の作成について説明しま す。 第 17 章 MPEG-1 出力ファイルを作成する 209「オーディオ」タブを開いてオーディオ設定を選択するには 1 MPEG-1 の「エンコーダ」パネルで「オーディオ」ボタンをクリックし、「オー ディオ」タブを表示します。 Select to enable the Audio tab. Choose the sample rate. Select the number of audio channels. Choose the bit rate. 2 「有効」チェックボックスを選択します。 3 「サンプルレート」ポップアップメニューから 44.1 kHz を選択します。 4 2 チャンネルオーディオソースを使用する場合は「ステレオ」、1 チャンネルオー ディオソースを使用する場合は「モノラル」を選択します。 5 「ビットレート」ポップアップメニューから使用するビットレートを選択しま す。 6 「保存」ボタン（「インスペクタ」の右下隅にある）をクリックして設定を保存 します。 MPEG-1 ファイルフォーマットを DVD 用に設定する MPEG-1出力ファイルフォーマットを DVD 用に設定する手順を以下に示します。 この手順では、ビデオ用とオーディオ用の 2 つの設定を作成し、エレメンタリー ストリームを作成します。 ステージ 1: DVD 用 MPEG-1 ビデオ設定を作成する DVD に適した MPEG-1 エレメンタリービデオ出力ファイル用の設定を作成しま す。詳細については、DVD 用 MPEG-1 ビデオ設定を作成するを参照してくださ い。 ステージ 2: DVD 用 MPEG-1 オーディオ設定を作成する DVDに適した MPEG-1 エレメンタリーオーディオ出力ファイル用の設定を作成し ます。詳細については、DVD用 MPEG-1 オーディオ設定を作成するを参照してく ださい。 210 第 17 章 MPEG-1 出力ファイルを作成するステージ 3:（オプション）「DVD用 MPEG-1」のグループと書き出し先を作成す る また、新しく作成した設定をカスタムの「DVD 用 MPEG-1」のグループと書き出 し先に「パッケージ化」することもできます。詳細については、（オプション） 「DVD 用 MPEG-1」のグループと書き出し先を作成するを参照してください。 DVD 用 MPEG-1 ビデオ設定を作成する 以下のセクションでは、DVDに適した MPEG-1 エレメンタリービデオ出力ファイ ル用の設定を作成します。 • ステージ 1: DVD 用 MPEG-1 ビデオ設定を作成する • ステージ 2: ビデオ設定を構成する • ステージ 3: エレメンタリービデオストリームを作成する ステージ 1: DVD 用 MPEG-1 ビデオ設定を作成する このセクションでは、DVD用の MPEG-1 ビデオ設定の作成について説明します。 「設定」タブを開いて新しい設定を作成するには 1 「設定」タブを開いて、新規設定の作成（+）ポップアップメニューから 「MPEG-1」を選択します。 既存のリストに新しい設定が追加されます。 2 新規設定「DVD 用 MPEG-1 ビデオ」に名前を付けます。 詳細については、最初から設定を作成するを参照してください。 ステージ 2: ビデオ設定を構成する このセクションでは、DVD用の MPEG-1 ビデオ設定の構成について説明します。 MPEG-1の「エンコーダ」パネルを開いて DVD用の「ビデオ」設定を構成するに は 1 「エンコーダ」タブをクリックし、「ファイルフォーマット」ポップアップメ ニューから「MPEG-1」を選択します。 第 17 章 MPEG-1 出力ファイルを作成する 2112 MPEG-1 の「エンコーダ」パネルで「ビデオ」ボタンをクリックし、「ビデオ」 タブを開きます。 Select to enable the Video tab. Choose the frame rate. The file extension changes to .m1v once the Audio tab is disabled. Choose the bit rate. Select DVD to set the resolution to match the frame rate. 3 「有効」チェックボックスを選択します。 4 ソースビデオに適合するフレームレート（29.97 または 25）を「フレームレー ト」ポップアップメニューから選択します。 5 「DVD」ボタンを選択します。 出力の解像度が、選択したフレームレートに適合する値に設定されます。 6 「ビットレート」スライダを動かして使用するビットレートを選択するか、値を 直接入力します。 DVD プロジェクトで通常使われる値は 1.15 Mbps で、上限が 1.856 Mbps です。 ステージ 3: エレメンタリービデオストリームを作成する 出力メディアファイルをエレメンタリービデオストリームにするには、オーディ オ設定をオフにする必要があります。 ビデオ設定のオーディオをオフにするには 1 MPEG-1 の「エンコーダ」パネルで「オーディオ」ボタンをクリックし、「オー ディオ」タブを表示します。 2 「有効」チェックボックスの選択を解除します。 212 第 17 章 MPEG-1 出力ファイルを作成するこうすることにより、この設定（プリセット）ではエレメンタリービデオスト リームしか作成されなくなり、ファイル拡張子は「.m1v」に設定されます。 Deselect to disable the Audio tab. 3 「保存」ボタン（「インスペクタ」の右下隅にある）をクリックして設定を保存 します。 「DVD 用 MPEG-1 ビデオ」設定が保存されます。 DVD 用 MPEG-1 オーディオ設定を作成する 以下のセクションでは、DVD に適した MPEG-1 エレメンタリーオーディオ出力 ファイル用の設定を作成します。 • ステージ 1: DVD 用 MPEG-1 オーディオ設定を作成する • ステージ 2: エレメンタリーオーディオストリームを作成する • ステージ 3: オーディオ設定を構成する ステージ 1: DVD 用 MPEG-1 オーディオ設定を作成する このセクションでは、DVD用の MPEG-1 オーディオ設定の作成について説明しま す。 「設定」タブを開いて新しい設定を作成するには 1 「設定」タブを開いて、追加（+ ）ボタンをクリックします。 既存のリストに新しい設定が追加されます。 2 新規設定「DVD 用 MPEG-1 オーディオ」に名前を付けます。 詳細については、最初から設定を作成するを参照してください。 ステージ 2: エレメンタリーオーディオストリームを作成する 出力メディアファイルをエレメンタリーオーディオストリームにするには、ビデ オ設定をオフにする必要があります。 第 17 章 MPEG-1 出力ファイルを作成する 213ビデオ設定をオフにするには 1 「エンコーダ」タブをクリックし、「ファイルフォーマット」ポップアップメ ニューから「MPEG-1」を選択します。 2 MPEG-1 の「エンコーダ」パネルで「ビデオ」ボタンをクリックし、「ビデオ」 タブを開きます。 Deselect to disable the Video tab. The file extension changes to .m1a once the Video tab is disabled. 3 「有効」チェックボックスの選択を解除します。 こうすることにより、このプリセットではエレメンタリーオーディオストリーム しか作成されなくなり、またファイル拡張子が「.m1a」に設定されます。 ステージ 3: オーディオ設定を構成する DVD 用の MPEG-1 オーディオファイルを作成する場合は以下の設定を使用しま す。 「オーディオ」タブを開いて DVD 用の「オーディオ」設定を構成するには 1 MPEG-1 の「エンコーダ」パネルで「オーディオ」ボタンをクリックし、「オー ディオ」タブを表示します。 214 第 17 章 MPEG-1 出力ファイルを作成する2 「有効」チェックボックスを選択します。 Choose the 48 kHz sample rate. Choose the bit rate. Select to enable the Audio tab. Select either Stereo or Mono. 3 「サンプルレート」ポップアップメニューから 48 kHz を選択します。 4 2 チャンネルオーディオソースを使用する場合は「ステレオ」、1 チャンネルオー ディオソースを使用する場合は「モノラル」を選択します。 5 「ビットレート」ポップアップメニューから使用するビットレートを選択しま す。 DVD プロジェクトで使用する通常の値は 192 kbps と 224 kbps です。 6 「保存」ボタン（「インスペクタ」の右下隅にある）をクリックして設定を保存 します。 「DVD 用 MPEG-1 オーディオ」プリセットが保存されます。 （オプション）「DVD用 MPEG-1」のグループと書き出し 先を作成する 上の 2 つの MPEG-1 プリセットをソースに対して簡単に使用するために、「DVD 用 MPEG-1」プリセットグループを作成しておくことができます。詳細について は、設定のグループを作成するを参照してください。 第 17 章 MPEG-1 出力ファイルを作成する 215「Compressor」には、高品質の MPEG-2 にトランスコードされたファイルを作成 するのに必要なツールが用意されています。 MPEG-2とは、Motion Picture Experts Group（MPEG）が定めた、放送業界で国際的 に受け入れられている、標準ファイルフォーマットおよびその圧縮方法を指しま す。MPEG-2 を使えばブロードキャストに適した品質のビデオが作成できます。 また MPEG-2は高解像度、高ビットレートのビデオをサポートするよう設計され ています。MPEG-2は、DVD、HDブロードキャスト、衛星放送システムで配信さ れる高画質映像に用いられるビデオ圧縮フォーマットです。すべての DVD プレー ヤーは、MPEG-2 の再生に必要なハードウェアを搭載しています。 この章では以下の内容について説明します： • 標準精細度 MPEG-2 について (ページ 217) • 高精細度ソースと MPEG-2 について (ページ 218) • エレメンタリーストリーム、転送ストリーム、プログラムストリームについて (ページ 219) • MPEG-2 エンコーダパネルについて (ページ 220) • MPEG-2 に関する参考情報 (ページ 232) • MPEG-2 トランスコードのワークフロー (ページ 237) • MPEG-2 設定の例 (ページ 244) 標準精細度 MPEG-2 について 標準の MPEG-2では、フルフレームレート（23.98〜 29.97 fps）とフル画面解像度 （NTSC の場合は 720×480、PAL の場合は 720 ×576）が使用されます。MPEG-2 に は、次のような特徴があります。 • インターレースビデオのサポート： MPEG-2はインターレースビデオとプログ レッシブビデオの両方をサポートしています。MPEG-2 ストリームは一般的に、 可変帯域幅を使用したネットワークを介さず、ローカルの DVD ドライブから 再生されます。そのため、通常、ビデオフレームレートは一定に保たれ、ビデ オはスムーズに再生されます。 217 MPEG-2 出力ファイルを作成する 18• ストリーミングサポートなし： MPEG-2は、イメージの品質を一定以上に維持 するために高いビットレート（2〜 9 Mbps）を必要とするので、Web上でビデ オファイルをストリーム配信するのには適していません。 「Compressor」の MPEG-2 エンコーダは、DVD ビデオフォーマット用の MPEG-2 ビデオストリームを作成できます。DVD ビデオディスクを作成する場合は、 「Compressor」と DVD オーサリングアプリケーションを組み合わせて使うか、 「DVD を作成」テンプレートに含まれる「DVD を作成」ジョブ操作を使用する ことができます。詳細については、「ジョブ操作について」および「バッチ・テ ンプレート・セレクタについて」を参照してください。 高精細度ソースと MPEG-2 について 「Compressor」には、高精細度（HD）ビデオソースファイルを MPEG-2ファイル にトランスコードするためのオプションとワークフローがいくつか用意されてい ます。 HD Blu-ray 「Compressor」は、HD ソースメディアまたは標準解像度（SD）ソースメディア から HD 解像度 Blu-ray ディスクを作成するために MPEG-2 ファイルを出力できま す。「Compressor」は、MPEG-2 をトランスコードするときに高精細度ビデオの 各種フレームサイズおよびフレームレートを保持できます。「Compressor」は、 Blu-ray フォーマットで必要なより高いビットレートもサポートします。Blu-ray ディスク用の出力の作成について詳しくは、「ストリームの用途」を参照してく ださい。Blu-ray ジョブ操作のジョブへの追加については、「ジョブ操作につい て」も参照してください。 メモ: Blu-ray ディスクのもう 1 つの出力ファイルフォーマットオプションは H.264 です。これは、MPEG-4 Part 10 とも呼ばれます。 HD から SD へのダウンコンバート 高精細度（HD）のソースを「Final Cut Pro」で編集して標準精細度（SD）の DVD を作成する場合のために、「Compressor」には画質のダウンコンバート機能が用 意されています。「Compressor」は、DVD 用の MPEG-2 にエンコードする際に、 縮尺変更による細部の損失を最低限に抑え、プログレッシブまたはインターレー スのフォーマットを正確に維持します。 ソースメディアの解像度とフレームレートを見るには 1 ソースメディアファイルを「バッチ」ウインドウに読み込みます。 2 「バッチ」ウインドウで、目的のソース名をクリックします。 ソースメディアファイルの解像度、フレームレート、および継続時間が「プレ ビュー」ウインドウの左下の隅に表示されます。 218 第 18 章 MPEG-2 出力ファイルを作成するエレメンタリーストリーム、転送ストリーム、プログラ ムストリームについて MPEG-2 エンコードビデオの配信に使われる一般的な MPEG-2 ストリームタイプ は 3 種類あります。 • エレメンタリーストリーム： これらのストリームには、1 つの MPEG-2 コンテ ンツチャンネルのみが含まれ、オーディオは含まれていません。 • 転送ストリーム： これらのストリームには、複数の MPEG-2 コンテンツチャン ネルと関連するオーディオを含むことができます。すべてのチャンネルは多重 化されるため、レシーバは再生するチャンネルを選択できます。「Compressor」 は、関連するオーディオをオプションで含めることができるシングルチャンネ ルの転送ストリームの作成をサポートしています。 また、転送ストリームは再生時の中断から回復できるため、ノイズやネット ワークの混雑によって中断が生じやすいブロードキャストやストリーミングア プリケーションに理想的です。 • プログラムストリーム： これらのストリームには、1 つの MPEG-2 コンテンツ チャンネルとその関連オーディオのみが含まれています。プログラムストリー ムはエラーのない配信方法が必要であり、主にストレージやコンピュータ内の 処理で使用されます。 デフォルトで、「Compressor」の MPEG-2 エンコーダは MPEG-2 エレメンタリー ストリームを作成します。「エクストラ」タブから、転送ストリームやプログラ ムストリームを作成するように MPEG-2エンコーダを設定できるほか、オーディ オを含めるかどうか選択できます。詳細については、「エクストラ」タブを参照 してください。 メモ: 「ストリームの用途」ポップアップメニューの「SD DVD」および「Blu-ray」 オプションは、エレメンタリーストリームのみを出力します。これらのいずれか を選択し、転送ストリームまたはプログラムストリームのいずれかを出力するよ うに設定すると、「ストリームの用途」は「一般」に変わります。詳細について は、ストリームの用途を参照してください。 第 18 章 MPEG-2 出力ファイルを作成する 219MPEG-2 エンコーダパネルについて ここでは、「インスペクタ」ウインドウの MPEG-2の「エンコーダ」パネルの各 種タブについて詳しく説明します。これらのタブから既存の設定を変更するか、 「設定」タブで新しい設定を作成することによって、MPEG-2 の設定を行います。 MPEG-2 の「エンコーダ」パネルの基本設定 「MPEG-2」パネルを開くと、以下の項目を含むデフォルトの「ビデオフォーマッ ト」タブが前面に表示されます。 • 「拡張子」フィールド： 「ファイルフォーマット」ポップアップメニューか ら「MPEG-2」出力フォーマットを選択すると、自動的に MPEG-2ファイルの拡 張子（.m2v）が表示されます。 • ジョブのセグメント化を許可： このチェックボックスを使って、ジョブのセ グメント化をオフにすることができます。これは、「Compressor」を分散処理 で使っていて、さらにマルチパスのエンコーディングを実行する場合にのみ有 効です。詳細については、ジョブのセグメント化と 2パスまたはマルチパスエ ンコーディングを参照してください。 • ストリームの用途： このポップアップメニューから、MPEG-2ストリームの用 途を選択できます。「Compressor」は、このポップアップメニューで選択する 用途に基づいて使用可能なオプションとビットレート範囲を変更します。詳細 については、ストリームの用途を参照してください。 • 「ビデオフォーマット」、「品質」、「GOP」、および「エクストラ」： これ らのボタンを押すと、「ビデオフォーマット」、「品質」、「GOP」、および 「エクストラ」タブが表示されます。それぞれの設定については、次のセク ションで説明します。 220 第 18 章 MPEG-2 出力ファイルを作成するストリームの用途 「ストリームの用途」ポップアップメニューから設定を選択すると、必ずその用 途に最適なエンコード MPEG-2 ストリームが作成されます。 「ストリームの用途」ポップアップメニューのオプションは、以下の通りです： • 標準： 「標準」オプションにすると、すべての MPEG-2 設定にアクセスできま す。これは、SD および HD ビデオフォーマットに加えて、MPEG-2 640×480 ビ デオフォーマットをサポートする唯一のオプションです。また、転送ストリー ムやプログラムストリームの作成をサポートしている唯一のオプションでもあ ります。2.0 Mbps 〜 40.0 Mbps のビットレート範囲をすべてサポートしていま す。 • SD DVD： 「SD DVD」オプションによって、SD DVD 仕様で許容されるエンコー ディングオプションに限定されます。許容されるオプションは、NTSC および PAL ビデオフォーマット、2.0 Mbps 〜 9.0 Mbps のビットレート範囲です。 • Blu-ray： 「Blu-ray」オプションによって、Blu-ray ビデオディスクで許容される エンコーディングオプションに限定されます。許容されるオプションは、SD および HD ビデオフォーマット、10.0 Mbps 〜 40.0 Mbps のビットレート範囲で す。 第 18 章 MPEG-2 出力ファイルを作成する 221「ビデオフォーマット」タブ 「ビデオフォーマット」タブでは、ビデオフォーマット、フレームレート、アス ペクト比、優先フィールド、およびタイムコードに関連する設定を行います。こ れらのうち、タイムコード設定を除く設定は、エンコードするビデオに基づいて 自動的に構成するよう設定できます。「ビデオフォーマット」タブには以下の項 目があります。 • 「ビデオフォーマット」ポップアップメニュー： 出力ビデオファイルのフォー マットを、NTSC、PAL、720p、HD 1440x1080、HD 1920x1080、または 640 幅 フォーマットのさまざまなバージョンのいずれかから選択します。これらのう ち実際に使用できるフォーマットは、「ストリームの用途」設定によって決ま ります。「ビデオフォーマット」設定を選択すると、このタブのほかの設定に はデフォルト値が入力されます。また、選択肢がない設定は淡色表示になりま す。「NTSC」項目と「PAL」項目は、NTSC および PAL TV 規格の標準精細度設 定を参照します。DVD 業界の主な市場のうち、北米および日本では NTSC が、 欧州全域では PAL が使用されています。 出力ファイルのビデオフォーマットは、通常ソースファイルと同じである必要 があります。従来の NTSC または PAL 規格のビデオカメラで録画されたインター レースビデオについては、このポップアップメニューから「NTSC」か「PAL」 を選択します。ソース・メディア・ファイルのビデオフォーマットが何か分か らない場合は、「自動」を選択します。この設定にするとソースメディアク リップのフレームレートが解析され、正しいビデオフォーマットが決定されま す。 222 第 18 章 MPEG-2 出力ファイルを作成するビデオフォーマットの自動ボタンをクリックすると、GOP のサイズが 12 また は 15（ビデオが PAL と NTSC のどちらかによって決まる）に制限され、クロー ズド IBBP パターンになります。「自動」を選択すると、このタブのフレーム レート設定や「GOP」タブの GOP 設定は変更できません。GOP の詳細について は、GOP とフレームタイプについて理解するを参照してください。 Video Format Automatic button メモ: MPEG-2 では、固定サイズのビデオフレーム（MPEG-2 のビデオフレーム サイズとフォーマットを参照してください）が使われるため、「Compressor」 の「画角設定」パネルのフィールドには、選択したビデオフォーマットに対応 した出力フレームサイズが入力されます。 選択したビデオフォーマットに応じて、フレームサイズとフレームレート、ア スペクト比、優先フィールドなどの関連特性のオプションが決まります。 メモ: 標準精細度（SD）による通常のフレームサイズは、NTSC デジタルビデオ では 720×486 です。ソースファイルのトランスコードに NTSC 設定を使用した い場合、「Compressor」は必要な MPEG-2 フレームサイズが 720×480 になるよ うにファイルをクロップします。ただし、設定でクロップの属性を指定してい る場合は、その設定に基づいてクロップが行われます。それ以外の場合、 「Compressor」は、ピクセル単位で上 2 列、下4 列をクロップします。このク ロップ属性は一時的なもので、設定には保存されません。ジョブの設定をダブ ルクリックすると、「プレビュー」ウインドウが開き、クロップのエフェクト を確認できます。 第 18 章 MPEG-2 出力ファイルを作成する 223• 「フレームレート」ポップアップメニュー： MPEG-2 出力ファイルの想定フ レームレートを選択します。フィルム、およびビデオカメラの一部の機種で は、24 fps（または NTSC の変形である 23.98 fps）のプログレッシブ素材が作成 されます。「24p」という用語は、24 fps のフレームレートを持つビデオを意 味しますが、通常、フレームレートは 23.976 fps（繰り上げて 23.98 fps）です。 NTSC 対応のテレビで DVD 再生できるようにこれらのソースをトランスコード するには、23.98 設定を選択します。詳細については、24p（23.98p）について を参照してください。 メモ: ここでは多くの場合、NTSCフレームレートを 29.97 fps として記載してい ます。同じように、NTSC バージョンの 24 fps は 23.98 fps です。これらの数値 はどちらも、真の値 30/1.001、24/1.001 の近似値で、小数点以下まで正確に示 すと 29.97003、23.97602 になります。これらの数値を見ると、29.97 は 30/1.001 にかなり近い近似値です（100,000 秒間に 3 フレーム違うだけです）が、23.98 よりは 23.976 の方が正確です。実際は、「Compressor」のヘルプと 「Compressor」のユーザインターフェイスでは省略形として 23.98 を使います が、「Compressor」内部や、QuickTime でもほとんどの場合には、23.976 以上 の精度が使われています。このトピックの詳細については、24p（23.98p）に ついてを参照してください。 • 「アスペクト比」ポップアップメニュー： ビデオファイルのアスペクト比を 選択します。デフォルトは 4:3 です。アナモフィックの DVD にはもう一方の 16:9が使用されます。アスペクト比は、テレビ画面上でピクチャが表示される 方法を決定します。16:9（ワイドスクリーン）DVD を一般的な 4:3 テレビで表 示すると、レターボックス形式（画面の上下に黒いバーが現れる）で表示され ます。ただし、ワイドスクリーン DVD を 16:9（ワイドスクリーン）テレビで 表示すると、画面全体が使用されます。 224 第 18 章 MPEG-2 出力ファイルを作成する• 「優先フィールド」ポップアップメニュー： インターレースソースメディア ファイルの上側のフィールドまたは下側フィールドを、出力 MPEG-2 ビデオファ イルでの優先（第 1）フィールドとして選択します。「自動」（デフォルト） を選択した場合、「Compressor」はソースビデオを解析し、優先フィールドが 自動的に決定します。DV ソースビデオでは下側のフィールドが優先されます。 この設定は、720p ビデオフォーマットには関係ありません。このフォーマッ トはプログレッシブにする必要があるためです。 メモ: インターレースビデオでは上側のフィールドは上フィールドまたは奇数 フィールドとも呼ばれ、下側のフィールドは下フィールドまたは偶数フィール ドとも呼ばれます。 • 「開始タイムコードを選択」チェックボックスおよびフィールド： このチェッ クボックスの選択を解除すると（デフォルト）、「Compressor」がソース・メ ディア・ファイルの既存のタイムコードを出力メディアファイルに埋め込みま す。このチェックボックスを選択すると、ソースメディアファイルの既存のタ イムコードの上書きが可能になり、タイムコードフィールドに新しいタイム コードを入力できるようになります。チェックボックスを選択していない場 合、このフィールドは淡色で表示されます。フィールドが空白のままだと、出 力メディアファイルはデフォルトのタイムコード 00:00:00:00 を使用します。 • 「ドロップフレーム」チェックボックス： すでに「開始タイムコードを選択」 チェックボックスが選択され、タイムコードを（ノンドロップフレーム形式で はなく）ドロップフレーム形式にしたい場合は、このチェックボックスも選択 する必要があります。 タイムコードは、ビデオシーケンス内のフレームにラベル付けするためのナン バリングシステムです。30 fps ビデオに使用するタイプのタイムコードは、フ レームカウンタを持ちます。このカウンタは 0 〜 29 までカウントすると、秒 カウンタを 1増やしてから 0に戻ります。このタイプのタイプコードはノンド ロップフレームタイムコードとも呼ばれ、高品質 30 fps ビデオの経過時間を正 確に計測します。ただし、NTSC のフレームレートは 29.97 fps なので、NTSC で の経過時間を正確に計測するために、ドロップフレームタイムコードが定義さ れています。ドロップフレームタイムコードは、1 分に 1 度、秒から分の位に 繰り上がるときにフレーム番号 0 と 1 をスキップします。ただし 10 分目には スキップしません。たとえば、ドロップフレームタイムコードでは、01:08:59;29 の次に、タイムコード 01:09:00;00 と 01:09:00;01 をスキップして 01:09:00;02 が来 ます。 第 18 章 MPEG-2 出力ファイルを作成する 225メモ: ドロップフレームタイムコードは、NTSC ビデオを使用している場合にの み適用されます。 「品質」タブ 「品質」タブでは、ビデオのビットレートを設定し、ビデオを適切なデータサイ ズと品質にトランスコードできるようにします。 各種のコントロールに加え、右下には、現在の設定で 4.7 GB DVD に収められる ビデオの分数の予測値が表示されます。この値は、シングルの AIFF オーディオ ストリームを MPEG-2 ストリームと共に使用する場合を想定しています。 「品質」タブには、以下の項目があります： Mode pop-up menu Time estimate for a 4.7 GB disc with a stereo AIFF audio stream Motion Estimation pop-up menu • 「モード」ポップアップメニュー： 以下の MPEG-2 エンコーディングモードか ら 1 つ選択します。高精細度（HD）品質モードは、「1 パス VBR（最適）」と 「2 パス VBR（最適）」です。 • 1 パス CBR： このモードを使用すると、出力 MPEG-2 ビデオストリームのビッ トレートが GOP 間でほぼ一定に保たれます。「Compressor」で最速の MPEG-2 エンコーディングモードで、高い、または非常に高い品質のビデオが得られ ます。5 〜 9 Mbps のビットレートでは特に高い品質の映像が得られます。 226 第 18 章 MPEG-2 出力ファイルを作成する• 1 パス VBR： この VBR（可変ビットレート）は、ビットレートが変化する代 わりに、トランスコードされたビデオファイルの品質は一定に保つことを目 的としています。つまり、「Compressor」は、細密なシーンや速い動きを含 むシーンでは高いビットレートを使用し、対象物が大きなシーンや動きの無 いシーンでは低いビットレートを使用します。ビットレートは変化します が、指定した標準ビットレートは「Compressor」によって確実に守られ、最 大ビットレートを超えることはありません。2 パスモードと異なり、「1 パ ス VBR」にはエンコード前のソースメディアの調査機能がないため、ビット 割り当ては「2 パス VBR」ほど最適化されません。しかし、3.5Mbps 以上の ビットレートを持つほとんどの標準精細度（SD）メディアファイルでは、こ のモードの使用により品質が向上し、トランスコードが短時間で終了しま す。 • 1 パス VBR（最適）： このモードは「1 パス VBR」に似ていますが、 「Compressor」は内部でより多くの意思決定を行います。「1 パス VBR（最 適）」によるトランスコードは、「1 パス VBR」より時間がかかりますが、 3 〜 3.5 Mbps 以上のビットレートで優れた SD ビデオ品質を実現します。HD MPEG-2 のビットレートの範囲は、標準で 10 〜 29 Mbps からで、最大 12 〜 29 Mbps です。「1 パス VBR」と比較して、「1 パス VBR（最適）」は品質が 高く、特にビットレートの低い難しい素材で威力を発揮します。1 〜 2 分に 満たない短いストリームで「1パス VBR」や「1パス VBR（最適）」を使用す ると、標準ビットレートの精度が 10 〜 30 パーセントも落ちる可能性があり ます。 • 2 パス VBR： このモードでは、「Compressor」はソース・ビデオ・ファイル 全体を 2 回読み取ります。1 回目のパスでは、「Compressor」はソースビデ オストリームを解析し、トランスコードを実行する前に各シーンのエンコー ディングの難易度を判断します。次に、エンコーダはビットレート割り当て を作成します。複雑なシーンには高いビットレートを、簡潔なシーンには低 いビットレートを割り当て、指定された標準ビットレートを保ちながら最大 ビットレートを超えないようにします。2 回目のパスでは、「Compressor」 は実際の圧縮を行って、ビットレート割り当てに応じた MPEG-2 出力ビデオ ファイルを作成します。「1 パス VBR」と同様に、「2 パス VBR」はビット レートを変化させてでも品質を一定に保つことを目的としています。「1 パ ス VBR」と異なるのは、「2 パス VBR」では実際のエンコーディングを始め る前に、ソース・メディア・ファイル全体のビットレートの割り当てを計画 できるという点です。この処理が実行されるため、トランスコードには「1 パス VBR」の 2 倍の時間がかかります。品質が 2 倍になるわけではありませ んが、「2パス VBR」を使用すると、「1パス VBR」より品質が全体的に安定 します。特に、最も複雑なシーンと最も簡潔なシーンの差が大きいソース・ メディア・ファイルで効力を発揮します。 第 18 章 MPEG-2 出力ファイルを作成する 227• 2 パス VBR（最適）： このモードでは、内部的な意思決定を「2 パス VBR」 より大幅に行います。「2パス VBR（最適）」のエンコーディングには、「2 パス VBR」よりも長い時間がかかりますが、「Compressor」の MPEG-2 エン コーダで実現可能な最高の品質を実現できます。このモードは、標準精細度 （SD）ビデオで 3 〜 3.5 Mbps 以上のビットレートの場合、特に高い品質でト ランスコードします。2 パスモードとジョブのセグメント化の使いかたの詳 細については、ジョブのセグメント化と 2 パスまたはマルチパスエンコー ディングを参照してください。 • 「標準ビットレート」スライダとフィールド： スライダをドラッグするか、 該当フィールドに値を直接入力して標準ビットレートを選択します。設定でき る範囲は、「ストリームの用途」設定によって決まります。詳細については、 ストリームの用途を参照してください。「Compressor」で自動的に適切な標準 および最大ビットレートを設定する場合に使える「自動」ボタンもあります。 メモ: 標準ビットレート設定は、直接エンコードファイルのサイズに影響しま す。最大ビットレート設定は、エンコードファイルのサイズに影響しません。 • 「最大ビットレート」スライダおよびフィールド： スライダをドラッグする か、該当フィールドに値を直接入力して最大ビットレートを選択します。詳細 については、ビットレートの選択についてを参照してください。設定できる範 囲は、「ストリームの用途」設定によって決まります。詳細については、スト リームの用途を参照してください。 メモ: このスライダは VBR モードの場合にのみ使用できます。標準ビットレー トよりも下に設定することはできません。「自動」ボタンがアクティブになっ ているときも使用できません。 • 「動き予測」ポップアップメニュー： このメニューは、イメージ品質と処理 時間という、相反する要素のバランスや優先順位も考慮した上で決定してくだ さい。動きの多いソースファイルの場合は、特に留意してください。このメ ニューの 3 つのオプションについて以下で説明します。 • 中： 最速の動き予測設定。このモードでは、フレーム内のフィールド間の 動きが最小である場合に限り、フレーム間に大量の動きがあっても高い品質 を維持します。たとえば、フレームレート変換やほかのエフェクト処理を受 けた映像では、フィールド間の動きは少なくなる傾向にあります。通常、 「中」は 1 パス・エンコーディング・モードで使われます。 228 第 18 章 MPEG-2 出力ファイルを作成する• 高： 汎用性の高い動き予測設定。「高」モードでは、複雑なインターレー スの動きでも優れた結果が得られます。「高」モードはほぼ全種類のイン ターレースビデオソースに対応しており、家庭用ビデオカメラで撮影された 揺れの多い映像にも対応しています。通常、「高」は「1 パス VBR」と「2 パス VBR」で使用されます。プログレッシブ・ビデオ・フォーマットを使用 している場合、「高」モードではフレームベースの動き予測のみが実行され ます。フィールドベースの動きベクトル検索は、プログレッシブソースに関 係ないため実行されません。この場合、「高」モードの処理は少々速く実行 されます。 • 最高： これは最も品質の良い動き予測設定であり、要求が厳しく動きが複 雑なインターレースソースに使います。「高」よりも処理に時間がかかりま す。一般的に、「1パス VBR（最適）」または「2パス VBR（最適）」モード を使用する際は、「最高」モードを使用して品質を最大限に高めます。 「GOP」タブ 「GOP」（ピクチャのグループ）タブでは、GOP のフォーマット、構造、および サイズを選択します。このパネルには以下の項目があります。詳細については、 GOP とフレームタイプについて理解するを参照してください。 メモ: 「ビデオフォーマット」タブでいずれかの HD ビデオフォーマットを選択 すると、「GOP」タブの設定は変更できなくなり、デフォルトでサイズが 12（PAL の場合）または 15（NTSCの場合）のクローズド IBBP GOP 構造に設定されます。 • 「GOP 構造」ポップアップメニュー： このポップアップメニューのオプショ ンを使って、GOP内の参照フレームの間に配置する Bフレームの数を、0、1、 または 2 から選択します。GOP 構造と GOP サイズにより、エンコーディング 中に GOP 内で使用する I フレーム、P フレーム、および B フレームの数が決定 されます。次の設定のいずれかを選択します： 第 18 章 MPEG-2 出力ファイルを作成する 229メモ: 用途が DVD である通常の MPEG-2 エンコーディングでは、GOP 構造の設 定として IBBP を選択します。GOP サイズは、NTSC では 15、PAL では 12 を選 択します。通常は、この設定で最良の結果が得られるはずです。詳細について は、GOP 構造を参照してください。 • IP： この設定では B フレームは使用されません。メディアに、IBBP 構造や IBP 構造ではエンコードで満足できる品質が得られない速い動きが含まれる 場合のみ、「IP」を選択します。 • IBP： IBP では、参照フレーム（I フレームおよび P フレーム）の間で B フレー ムを 1つ使用します。メディアに、IBBP構造ではエンコードで満足できる品 質が得られない速い動きが含まれる場合のみ、この設定を選択します。 • IBBP： IBBP は通常の MPEG-2 エンコーディングに使用します。この場合、 NTSC では 15 という GOP サイズまたは PAL では 12 という GOP サイズです。 この設定では参照フレームの間で B フレームを 2 つ使用します。 • 「オープン」ボタンと「クローズド」ボタン： クローズド GOP は、前後の GOP 内のフレームを参照するフレームは含みません。オープン GOP は、直前 の GOP の最後の P フレームを参照する 1 つまたは複数の B フレームで始まり ます。Compressor MPEG-2 エンコーダによって作成されるクローズド GOP は、 Iフレームから始まります。GOPタイプ（「オープン」または「クローズド」） を選択する際は、DVDオーサリングに対してチャプタマーカーを作成するかど うか、作成する場合はその方法、およびタイトルで複数のビデオアングルを使 用する予定かどうかを考慮します。詳細については、オープン GOP とクロー ズド GOPを参照してください。 • オープン： オープン GOP を作成するには、このボタンを選択します。 • クローズド： クローズド GOP を作成するには、このボタンを選択します。 230 第 18 章 MPEG-2 出力ファイルを作成する• 「GOP サイズ」ポップアップメニュー： 選択した GOP 構造の形式に応じて、 GOP 内に含めるフレームの数を選択します。「Compressor」で選択できる最大 の GOP サイズは、15フレーム（NTSC）または 12 フレーム（PAL および 720p） です。すべてのビデオフォーマットにおける最小の GOP は、フレーム（クロー ズド GOP）または 7 フレーム（オープン GOP）です。GOP 構造と GOP サイズ 間の関連により、GOP パターンが決まります。詳細については、GOP とフレー ムタイプについて理解するおよびGOP サイズを参照してください。 • 「パターン」フィールド： このフィールドは編集できません。選択した GOP 構造とサイズに基づいた、実際の GOP パターンが表示されます。 「エクストラ」タブ 「エクストラ」タブでは、データに特定の MPEG-2 オーサリング情報を含める か、除外するかを指定します。「エクストラ」タブには、以下の項目がありま す。 • DVD Studio Pro メタデータを追加： このチェックボックスを選択すると、 「Compressor」は特定の MPEG-2 オーサリング情報をトランスコード中に解析 し、「DVD Studio Pro」への読み込み処理を迅速化します。ただし、これらの MPEG-2 ファイルはバージョン 1.5 以前の「DVD Studio Pro」には対応していま せん。チェックボックスの選択を解除した場合、情報は後で「DVD Studio Pro」 によって解析されます。 第 18 章 MPEG-2 出力ファイルを作成する 231メモ: DVD Studio Pro メタデータを追加した MPEG-2 ストリームは、 「DVD Studio Pro 2」以降のバージョンのみで使用できます。このチェックボッ クスを選択した状態で処理した MPEG-2 ストリームは、「DVD Studio Pro 2」よ り前のバージョンやその他のオーサリングツールとは互換性がありません。 Apple のすべての設定では、このチェックボックスがデフォルトで選択されて います。MPEG-2 ファイルをその他の DVD オーサリングツールと互換性のある ものにするには、このチェックボックスの選択を解除して、設定を保存してく ださい。 • チャプタマーカーだけを含める： このチェックボックスを選択すると、名前 が設定されていない圧縮マーカーはストリームから除外されますが、チャプタ マーカーはそのまま保持されます。このチェックボックスの選択を解除した場 合、出力メディアファイルではすべてのマーカーが認識されます。チャプタ マーカーの詳細については、「圧縮マーカーや Podcast マーカーをクリップに 追加する」を参照してください。 • YUV 4:2:2 カラーエンコード（DVD 以外の用途）： 4:2:2 カラーエンコードを有 効にするには、このチェックボックスを選択します。このオプションは、MPEG-2 のエレメンタリー、プログラム、および転送の各ストリームの作成でサポート されていますが、使用できるのは「ストリームの用途」ポップアップメニュー が「標準」に設定されている場合だけです。 • 多重 MPEG-1／レイヤー 2 オーディオ： 多重化ストリーム（エレメンタリース トリームではなく）を作成する場合はこのチェックボックスを選択します。転 送ストリームとプログラムストリームのいずれかの出力ファイルを作成できま す。各ストリームタイプの違いの詳細については、エレメンタリーストリー ム、転送ストリーム、プログラムストリームについてを参照してください。 このストリームのオーディオは、サンプルレートが 44.1 kHz または 48 kHz（ソー スによって異なります）で、ビットレートが 384 kbps の MPEG-1 レイヤー 2 に なります。オーディオのみ（MPEG-1／レイヤー 2 オーディオ）のエレメンタ リーストリームを作成するには、DVD 用 MPEG-1 オーディオ設定を作成するを 参照してください。 重要： 「標準」は、転送ストリームとプログラムストリームをサポートして いる唯一の「ストリームの用途」設定です。「多重 MPEG-1/レイヤー 2 オー ディオ」チェックボックスは、ストリームの用途がほかに設定されていれば 「標準」に設定します。 MPEG-2 に関する参考情報 以下のセクションでは、MPEG-2 の出力メディアファイルの作成に役立つ情報に ついて説明します。 232 第 18 章 MPEG-2 出力ファイルを作成するビットレートの選択について 標準 DVD 再生用の標準ビットレートと最大ビットレートを決める際には、オー ディオトラックのビットレートと MPEG-2のビットレートを考慮してください。 オーディオビットレートとビデオビットレートでは、平均値および最大値の合計 が、標準 DVD プレーヤーからの転送で保証される最大値 10.08 Mbps を下回る必 要があります。DVD 対応のオーディオフォーマットは、固定ビットレート（CBR） なので、考慮する最大オーディオビットレートはありません。 たとえば、1.5Mbpsの AIFF オーディオを使用している場合は、ビデオビットレー トの平均値と最大値が両方とも 8.5Mbps を常に下回るようにします。通常、標準 ビットレートはこの値よりも低くなります（たとえば、長さが 2 時間分 DVD ビ デオでは 3.5 Mbps です）。しかし、最大ビットレートもこの値より低く設定す る必要があります。エラー（たとえば、サブタイトルストリームの受け入れ）の 可能性も考慮し、最大ビットレートを 8.0 Mbps に設定することをお勧めします。 Dolby Digital や MPEG-1／レイヤー 2 といった DVD 対応の圧縮オーディオフォー マットを使用している場合は、オーディオビットレートを 0.2 〜 0.4 Mbps 程度に 低く設定します。この場合、最大ビットレートを約 1 Mbps 高く設定できます。 また、一般的には、最大ビットレートは標準ビットレートより少なくとも 1 Mbps は高く設定しておき、ビットレートの変動を許容しながら品質を一定に保てるよ うにします。 MPEG-2 のビデオフレームサイズとフォーマット MPEG-2 では、固定サイズのビデオフレームが使われるため、「Compressor」の 「ジオメトリ」パネルのフィールドには、選択したビデオフォーマットに対応し た出力フレームサイズが入力されます。 「ビデオフォーマット」ポップアップメニューで選択したビデオフォーマットに 応じて、フレームサイズとフレームレート、アスペクト比、優先フィールドなど の関連特性のオプションが決まります。詳細については、「ビデオフォーマッ ト」タブを参照してください。 アスペクト比 スキャン方式 フレームレート （fps） フレームサイズ （ピクセル） ビデオフォー マット インターレー ス、プログレッ シブ 23.98（プログ 4:3 または 16:9 レッシブの み）、29.97 NTSC 720×480 インターレー ス、プログレッ シブ PAL 720 ×576 25 4:3 または 16:9 23.98、25、 16:9 プログレッシブ 29.97、50、59.94 720p 1280×720 第 18 章 MPEG-2 出力ファイルを作成する 233アスペクト比 スキャン方式 フレームレート （fps） フレームサイズ （ピクセル） ビデオフォー マット インターレー ス、プログレッ シブ 23.98（プログ 16:9 レッシブの み）、25、29.97 HD 1440×1080 1440×1080 インターレー ス、プログレッ シブ 23.98（プログ 16:9 レッシブの み）、25、29.97 HD 1920×1080 1920×1080 インターレー ス、プログレッ シブ 640×480（1.33） 640×480 23.98、25、29.97 4:3 または 16:9 インターレー ス、プログレッ シブ 640×360（1.78） 640×360 23.98、25、29.97 4:3 または 16:9 インターレー ス、プログレッ シブ 640×352（1.82） 640×352 23.98、25、29.97 4:3 または 16:9 インターレー ス、プログレッ シブ 640×384（1.67） 640×384 23.98、25、29.97 4:3 または 16:9 インターレー ス、プログレッ シブ 640×320（2.00） 640×320 23.98、25、29.97 4:3 または 16:9 GOP とフレームタイプについて理解する MPEG-2 によるエンコーディングの最も大きな特長は、フレームからだけではな く、フレームのグループからも冗長性を排除できる点です。MPEG-2 では、3 種 類のフレームタイプ（I、Pおよび B）を使って画像を表現します。グループオブ ピクチャ（GOP）設定により、使用する 3種類のフレームタイプのパターンを定 義します。これら 3 種類のフレームタイプは、次のような方法で定義されます。 • Intra（I）： キーフレームとしても知られています。GOP ごとに I フレームを 1 つ含みます。I フレームは、前後のフレームへの参照なしに完全に展開でき る唯一の MPEG-2 フレームタイプです。データは最も重くなるため、必要とな るディスク容量も最大になります。シーンが変わる個所や、ほかの特定のフ レーム位置に I フレームを配置する場合は、「プレビュー」ウインドウを使っ て手動で設定する必要があります。これは、強制 I フレームとして知られてい ます。詳細については、「マーカーとポスターフレームを使って作業する」を 参照してください。 • Predicted（P）： 先行する I フレームまたは P フレームのうち、最も近いフレー ムに基づいて予測されるピクチャからエンコードされます。 P フレームは通 常、GOP 内の先行する I フレームまたは P フレームを参照するため、必要とな るディスク容量は I フレームより小さくなります。 234 第 18 章 MPEG-2 出力ファイルを作成するメモ: Iフレームと Pフレームは参照フレームとしても知られています。なぜな ら、B フレームが I フレームと P フレームのいずれか（あるいはその両方）を 参照するためです。 • Bi-directional（B）： 直前および直後の参照フレームである I フレームまたは P フレームを補完することによってエンコードされます。Bフレームは最も効率 的に格納できる MPEG-2 フレームタイプであり、必要となるディスク容量は最 小となります。 B フレームと P フレームを用いると、MPEG-2 は時間の冗長性を排除できるよう なり、その結果ビデオを効率的に圧縮できます。 GOP 設定を選択する際の注意点 GOP 設定を選択する際は、次の要素に注意してください。 GOP 構造 この設定では、GOP 内の参照フレームの間に配置する B フレームの数を、0、1、 または 2 から選択します。GOP 構造および GOP サイズにより、トランスコーディ ング中に使用される I フレーム、P フレーム、および B フレームの数が決定され ます。 選択するべき GOP 構造は、Pフレームの間隔に依存します。Pフレームは直前の 参照フレーム（I フレームまたは P フレーム）から予測されるため、間に B フレー ムが 1 または 2 つ存在する場合は、2 〜 3 フレームが再生される時間内にオブ ジェクトの移動距離を予測する必要があります。 原理としては、隣り合ったフレーム間の平均の動きが少ないほど P フレームの間 隔を空けることが可能で、圧縮率が上がります。ほとんどのビデオソースには IBBP構造をお勧めします。シーケンス全体で動きがとても速い素材には IBP構造 か IP 構造をお勧めしますが、このような場合には高品質を実現するために比較 的高めのビットレート（SD ビデオの場合は 6 〜 8 Mbps）が必要です。 GOP サイズ この設定では GOP 内のフレーム数を指定します。それぞれ GOP は必ず I フレー ムを 1 つを持ち、B フレームと P フレームは I フレームよりも小さいので、圧縮 率は GOP サイズが大きくなるほど向上します。 ほとんどのメディアでは、I フレームの間隔を 1/2 秒にすると優れた結果が得ら れます。1/2 秒の間隔は、NTSC では 15 フレームの GOP サイズ、PAL では 12 フ レームの GOP サイズに相当します。DVD／ビデオ仕様ではこれより長い GOP を 認められていません。通常、ビデオ全体を通してシーンの変更が 1/2 秒未満の間 隔で頻繁に起こる素材では、小さめの GOP サイズを使った方が良い結果が得ら れます。 第 18 章 MPEG-2 出力ファイルを作成する 235オープン GOP とクローズド GOP オープン GOP は、GOP パターンに特別な B フレームが含まれているため最も効 率的です。オープン GOP は、直前の GOP の最後の P フレームとその GOP 内の最 初の I フレームを参照する B フレームで始まります。 :06 :07 :08 :09 :09 :04 :05 :10 :11 :12 :13 :14 :15 :16 :17 :18 :19 :20 :21 Open GOP (IBBP, 15 frames) P B B I B B P B B P B B P B B P B B I :03 :04 :05 :06 :07 :08 :10 :11 :12 :13 :14 :15 :16 :17 :18 Closed GOP (IBBP, 15 frames) I B B P B B P B B P B B P B P 定義では、前後の GOP 内にあるフレームを参照するフレームをクローズド GOP に含めることはできません。一方、オープン GOP は、直前の GOP の最後の P フ レームを参照する 1 つまたは複数の B フレームから開始します。「Compressor」 によって作成されるクローズド GOP は、I フレームから始まります。 オープン GOP とクローズド GOP で構造およびサイズが同じ場合、オープン GOP で圧縮する方がやや効率的です。上記の図から、クローズド GOP には同じ長さ のオープン GOP よりも P フレームが 1 つ多く含まれることが分かります。P フ レームは通常 B フレームより多くのビットを必要とするため、オープン GOP を 使用すると圧縮率がわずかに向上します。 DVD オーサリングアプリケーションを使って作成した DVD ビデオディスクでは、 オープン GOP の使用にいくつかの制約が生じます。たとえば、ミックスアング ルまたはマルチアングル DVD に使用される MPEG-2 ストリームでは、クローズド GOP の使用しか認められていません。 ほかにも、DVD チャプタマーカーを設定できるのは、クローズド GOP の開始点 に限られるなどの制約があります。チャプタマーカーの定義は、MPEG-2 トラン スコーディングの開始前に行うのが最適です。たとえば、「Final Cut Pro」でチャ プタマーカーを指定する場合は、オープン GOPによる MPEG-2トランスコーディ ングを実行するよう「Compressor」を設定します。すると、「Compressor」は、 1つのクローズド GOPが必ず指定したチャプタマーカーから開始されるよう強制 し、その他の GOP すべてをオープンにします。この操作は、「強制 I フレーム」 を「Compressor」の「プレビュー」ウインドウで指定し、それらに DVD オーサ リングアプリケーションで使用するチャプタ名を与えることでも実行できます。 236 第 18 章 MPEG-2 出力ファイルを作成するただし、ビデオを MPEG-2フォーマットにトランスコードした後でチャプタマー カーを任意の GOP 境界に設定したい場合には、クローズド GOP のみを使用して ください。この場合、ビデオフレームではなく GOP 境界にしかチャプタマーカー を設定できないという制約が生じます。 24p（23.98p）について DVD オーサリングとエンコーディングに関し、24P とは、NTSC における標準精 細度フレームサイズ（MPEG-2 の 720×480）で、1 秒間に 24 個のプログレッシブ フレーム（つまり、ノンインターレースフレーム）を持つビデオシーケンスを意 味します。フィルムで撮影する映画では、24 fps というネイティブフレームレー トを使用します。MPEG-2 フォーマットは内部で 24 fps ビデオを表すことができ るため、市販されているほとんどの DVD はこの方法でエンコードされます。た だし、プロジェクトで NTSC ビデオを使用する場合はいつでも、フィルム転送素 材のフレームレートは 24 fps から 23.976 fps（繰り上げて 23.98）に低下し、2:3:2:3 のプルダウンが追加されます。そのため、実際には「23.98p」というのが正確な 用語です。 「Compressor」では、24p ソース・ビデオ・ファイルについてもこれを行うこと ができます。そのような素材の場合、23.98 フレームレートオプション（「ビデ オフォーマット」タブ）はそれぞれのソースフレームを 1対 1で圧縮します。繰 り返しのフレームやフィールドは圧縮せず、29.97 fps の表示レートは実現されま せん。その結果、24pソースをトランスコーディング前に 29.97 fps に変換した場 合よりも、低い圧縮ビットレートで高い品質を実現できます。また、 「Compressor」では内部の MPEG-2 フレームフラグも正しく設定されるため、DVD プレーヤーは 29.97 fps のインターレース NTSC テレビに 3:2 プルダウン処理を正 しく適用します。 メモ: ソースビデオで使用されるフレームレートが 23.98 fps ではなく 24.00 fps の 場合、「Compressor」は 1000 ソースフレームごとに 1 フレームをスキップしま す。24p ソースビデオが 23.98 fps のフレームレートの場合、「Compressor」はす べてのソースフレームをトランスコードし、スキップ（または繰り返し）は行わ れません。 MPEG-2 トランスコードのワークフロー ここでは、「Compressor」を使って MPEG-2 出力ファイルを作成するための準備 として MPEG-2 属性の設定方法を段階的に説明します。既存の設定を変更する か、「設定」タブで新しい設定を作成して、MPEG-2 の「エンコーダ」パネルで MPEG-2 の設定を行います。 第 18 章 MPEG-2 出力ファイルを作成する 237MPEG-2 出力ファイルフォーマットを使った作業ステップについては、以下を参 照してください。各設定の値の例については、MPEG-2 設定の例を参照してくだ さい。 • ステージ 1: 「ビデオフォーマット」設定を選択する • ステージ 2: 「品質」設定を選択する • ステージ 3: 「GOP」設定を選択する • ステージ 4: 「エクストラ」設定を選択する ステージ 1: 「ビデオフォーマット」設定を選択する ビデオフォーマット、アスペクト比、および優先フィールドの設定は、ソースメ ディアファイルの設定に一致している必要があります。各設定の詳細について は、「ビデオフォーマット」タブを参照してください。 メモ: ソース・メディア・ファイルのビデオフォーマットに合わせるには、自動 ボタンを使う方法が最も簡単です。詳細については、自動設定についてを参照し てください。 MPEG-2 の「エンコーダ」パネルを開いて「ビデオフォーマット」設定を選択す るには 1 「設定」タブを開いて、「ファイルフォーマット」ポップアップメニューから 「MPEG-2」を選択します。 「インスペクタ」ウインドウで、MPEG-2 の「エンコーダ」パネルが開き、デフォ ルトの「ビデオフォーマット」タブが表示されます。 Manually configure these settings if you do not intend to match the source media file. Select the Automatic buttons to have the encoder match the source media file. Choose the type of MPEG-2 stream to create. 238 第 18 章 MPEG-2 出力ファイルを作成する2 エンコードビデオの用途に合った設定を「ストリームの用途」ポップアップメ ニューから選択します。このようにすると、MPEG-2 エンコードオプションは、 用途でサポートされるオプションに限定されます。以下のオプションがありま す： • 標準 • SD DVD • Blu-ray 3 「ビデオフォーマット」ポップアップメニューからフォーマットを選択するか、 自動ボタンをクリックします： • NTSC（デフォルト） • PAL • 720p • HD 1440×1080 • HD 1920×1080 • 640×480 • 640×360 • 640×352 • 640×384 • 640×320 4 「アスペクト比」ポップアップメニューからアスペクト比を選択するか、自動ボ タンをクリックします。 アスペクト比を選択する前に、4:3（標準）または 16:9（ワイドスクリーン）の どちらかからソースビデオの形状を選びます。 5 「優先フィールド」ポップアップメニューから、ソースメディアタイプに基づい て優先フィールドを選択します。たとえば、DV であれば「下を最初に」を選択 します。または、優先フィールドの自動ボタンをクリックすると、「Compressor」 で正しい設定が自動的に判断されます。 6 ソースビデオのタイムコードを使用する場合は、「開始タイムコードを選択」 チェックボックスの選択を解除しておきます。それ以外の場合は、このチェック ボックスを選択して、新しいタイムコードを入力します。 7 「開始タイムコードを選択」チェックボックスがすでに選択され、かつビデオ フォーマットが「NTSC」である場合、ノンドロップフレームタイムコードでは なくドロップフレームタイムコードを使用するには「ドロップフレーム」チェッ クボックスを選択します。 詳細については、「ビデオフォーマット」タブを参照してください。 第 18 章 MPEG-2 出力ファイルを作成する 239ステージ 2: 「品質」設定を選択する 「品質」タブでは、MPEG-2 エンコーディング属性であるエンコーディングモー ド、標準ビットレートと最大ビットレート、および動き予測のタイプを設定しま す。これらの属性は、完成した MPEG-2ビデオ出力ファイルの品質に大きく影響 します。 「品質」タブを開いて「品質」設定を選択するには 1 MPEG-2 の「エンコーダ」パネルで「品質」ボタンをクリックし、「品質」タブ を表示します。 Choose a Motion Estimation setting. Choose a mode that fits your time and quality requirements. Choose bit rates that fit your file size and quality requirements. 2 「モード」ポップアップメニューから選択します。 高いイメージ品質を得るには、「1 パス VBR（最適）」または「2 パス VBR（最 適）」を選択します。エンコーディングを短時間で完了し、かつ優れたイメージ 品質を得るには、「1 パス VBR」または「2 パス VBR」を選択します。HD ソース の場合は、「1パス VBR（最適）」または「2パス VBR（最適）」を選択します。 2 パスモードでは、ビデオの内容に合わせたビットレートにて、初回のパスで ソース・メディア・ファイルを調査し、2回目のパスでトランスコードします。 一方、1パスモードでは素材を高速でトランスコードしますが、ビット割り当て は 2 パスモードほど最適化されません。 メモ: 分散処理を有効にして 2 パス VBR を使っている場合、場合によっては、 「エンコーダ」パネルの「ジョブのセグメント化を許可」チェックボックスの選 択を解除します。詳細については、ジョブのセグメント化と 2 パスまたはマルチ パスエンコーディングを参照してください。 3 「標準ビットレート」スライダまたはフィールドを使用して標準ビットレートを 選択するか、「自動」ボタンをクリックします。 ソースビデオの内容、長さ、および目的の出力ファイルサイズ（バイト）に基づ いて、適切なビットレートを選択します。DVD オーサリングでは、ビデオ全体が DVD ディスクに収まる必要があります。ビットレートが低いほど、より大きな データを格納できるようになります。ただし、ビットレートが高ければ、それだ け画質も向上します。 240 第 18 章 MPEG-2 出力ファイルを作成するスライダまたはフィールドで「標準ビットレート」の値を変更するのに合わせ て、「品質」タブの下部にあるビットレート計算機能が DVD-5 に記録できるビ デオの最大分数を表示します。計算機能では、オーディオ（2チャンネル AIFF） については 1.5 Mbps を前提としています。 4.7 GBDVD の再生時間とそれに適した標準ビットレートの例を、下の表に示しま す。 4 状況によっては、「最大ビットレート」スライダかフィールドを使って最大ビッ トレートを設定します。 SD DVD プレーヤーがサポートするピーク時のビットレートは、オーディオ付き のビデオでは最大 10.08 Mbps なので、1.5 Mbps（2 チャンネル AIFF）オーディオ トラックの使用時には、最大ビデオビットレートを 8.0 〜 8.5 Mbps の間で設定す る必要があります。 メモ: 最適な結果が得られるように、最大ビットレートは標準設定よりも少なく とも 1 Mbps 高くしてください。差が大きいほど、高品質が得られます。 5 「動き予測」ポップアップメニューから以下の設定のいずれかを選択します： • 中： 最も速い動き予測です。フレーム間の動きが比較的ゆっくりな場合は、 この設定で十分です。 • 高： 汎用性の高い動き予測設定です。複雑なインターレースの動きを含む場 合でも、非常に優れた結果が得られます。 • 最高： 最も品質の高い設定であり、インターレースソースのために制限が多 い複雑な動きを処理します。「高」モードよりも処理に時間が少々かかりま す。 詳細については、「品質」タブを参照してください。 4.7 GBDVD の再生時間とそれに適した標準ビットレートの例を、以下の表に示し ます。 標準ビットレート1 おおよその継続時間（4.7 GB DVD 対象） 3.5 Mbps 121 分 5.0 Mbps 94 分 6.0 Mbps 82 分 7.5Mbps 68 分 8.0 Mbps 65 分 1 ビデオ、オーディオ、およびサブピクチャ付き DVD クリップの場合：オーディオ（2 チャンネル AIFF） については 1.5 Mbps を前提としています。 第 18 章 MPEG-2 出力ファイルを作成する 241メモ: 非常に短いクリップ（1 〜 2 分以下の長さ）で「1 パス VBR」または「1 パ ス VBR（最適）」を選択すると、完成した MPEG-2 出力ファイルのサイズに指定 した標準ビットレートが正確に反映されないことがあります。MPEG-2 出力メディ アファイルが予想より大きくなった場合には、標準ビットレートを低くしてトラ ンスコードを再試行してください。 ステージ 3: 「GOP」設定を選択する 適切な GOP構造とサイズを選択し、オープン GOPまたはクローズド GOPのどち らを使用するかを決定します。 メモ: これらの設定は、「ビデオフォーマット」タブで HD ビデオフォーマット を選択すると調整できません。 「GOP」タブを開いて「GOP」設定を選択するには 1 MPEG-2 の「エンコーダ」パネルで「GOP」ボタンをクリックし、「GOP」タブを 表示します。 Choose a GOP structure to control how many B-frames are used. Choose open or closed GOPs. Choose a GOP size. 2 「GOP 構造」ポップアップメニューから GOP 構造を選択します。 DVD オーサリングのためのほとんどの MPEG-2 エンコーディングでは、「IBBP」 GOP 構造を選択します。 3 「GOP サイズ」ポップアップメニューから GOP サイズを選択します。 DVD オーサリングのためのほとんどの MPEG-2 エンコーディングでは、NTSC に は GOP サイズ 15 を、PAL および 24P には GOP サイズ 12 を選択します。 このメニューで使用できるオプションは、選択した GOP 構造と、GOP がオープ ンかクローズかによって変化します。 4 GOP パターンをオープンかクローズから選択し、該当するボタンをクリックしま す。 242 第 18 章 MPEG-2 出力ファイルを作成するMPEG-2 I フレームを使って作業する 「Compressor」の「プレビュー」ウインドウを使用すると、より柔軟な MPEG-2 トランスコーディングが可能となります。選んだ GOPのパターンとサイズに関 係なく、出力 MPEG-2 ファイルの任意のフレーム位置に I フレームを手動で挿入 できます。これは強制 I フレームと呼ばれ、シーンが変わる個所付近での MPEG-2 ファイルの品質を向上させます。I フレームの詳細については、GOP とフレー ムタイプについて理解するを参照してください。 さらに、クリップに I フレームを追加することで、DVD オーサリングアプリケー ションで認識し使用できるチャプタマーカーを作成できます。詳細について は、「マーカーとポスターフレームを使って作業する」および「圧縮マーカー や Podcast マーカーをクリップに追加する」を参照してください。 GOP の詳細については、「GOP とフレームタイプについて理解する」、「GOP 設定を選択する際の注意点」、および「「GOP」タブ」を参照してください。 ステージ 4: 「エクストラ」設定を選択する 「エクストラ」タブでは、特定の MPEG-2オーサリング情報を含めるか除外する かを指定できます。 「エクストラ」タブを開いて「エクストラ」設定を選択するには 1 MPEG-2 の「エンコーダ」パネルで「エクストラ」ボタンをクリックし、「エク ストラ」タブを表示します。 2 「DVD Studio Pro メタデータを追加」チェックボックスは、特定の MPEG-2 オー サリング情報を後で「DVD Studio Pro」で解析するのではなく、「Compressor」 で解析する場合に選択します。 重要： このチェックボックスを選択すると、作成された MPEG-2 ファイルは、 「DVD Studio Pro 2」以降を除き、ほかのいずれの DVD オーサリングツールとも 互換性がなくなります。 3 ストリームから自動圧縮マーカーを除外したいが、チャプタマーカーはそのまま 保持したい場合は、「チャプタマーカーだけを含める」チェックボックスを選択 します。 第 18 章 MPEG-2 出力ファイルを作成する 2434 「多重 MPEG-1／レイヤー 2 オーディオ」チェックボックスは、転送ストリーム またはプログラムストリームを作成する場合のみ選択します。詳細については、 エレメンタリーストリーム、転送ストリーム、プログラムストリームについてを 参照してください。 「エクストラ」タブの設定内容の詳細については、「「エクストラ」タブ」を参 照してください。 MPEG-2 設定の例 以下に示す MPEG-2 の設定は、ほとんどの MPEG-2 エンコーディングで使用でき ます。これらのタブを表示するには、MPEG-2 の「エンコーダ」タブを開き、該 当するボタンをクリックします。 メモ: ここで例として示す設定は、すべてのビデオ入力フォーマットやエンコー ディングに適した万能の設定ではないので注意してください。カッコ内には必要 に応じて使用するべき代替設定を示します。これ以外の設定を使用した方が良い 場合、およびそれらの使用法の詳細については、この章のはじめのセクションを 参照してください。 「ビデオフォーマット」タブ • ビデオフォーマット： NTSC（PAL、720p、HD 1440x1080、HD 1920x1080、また は 640 幅オプションのいずれか） • アスペクト比： 4:3（アナモフィックまたは HD ワイドスクリーンの場合は 16:9） • 優先フィールド： 自動（720p では使用不可） 「品質」タブ • モード： 「1 パス VBR（最適）」（ほかの 1 パスおよび 2 パス設定） • 標準ビットレート： 標準 DVD の場合は 5 Mbps（2 〜 9 Mbps）、HD ビデオ フォーマットの場合は 18 Mbps（範囲はさまざま） メモ: ビットレートを選択する際には、ソースビデオの複雑さ、オーディオス トリームのフォーマットと数、そして DVD に収めるビデオクリップすべての 合計継続時間など、いくつかの要素を考慮する必要があります。 • 最大ビットレート： 標準 DVD の場合は 8.0 Mbps、HDビデオフォーマットの場 合は 27 Mbps • 動き予測： 最高 「GOP」タブ • GOP 構造： IBBP • GOPサイズ： 15（PALフォーマットで 12、HDフォーマットで 50i、50p、24p） • GOP タイプ： オープン（クローズド） 244 第 18 章 MPEG-2 出力ファイルを作成するCompressorには、高品質の MPEG-4にトランスコードされたファイルを作成する のに必要なツールが用意されています。 MPEG-4 Part 2（MPEG-4 ビデオという名前で、QuickTime 6 でもサポートされてい ます）は、インターネットおよびワイヤレスのマルチメディア業界向け標準規格 の進化に大きく貢献し、これらの業界で広く採用されています。 MPEG-4 Part 2 をサポートしているデバイスやプレーヤーとの互換性が必要な場合 は、必ず MPEG-4 Part 2 を使ってください。たとえば、MPEG-4 Part 2 のビデオを キャプチャおよび再生できるスマートフォンやデジタル・スチール・カメラは、 いまや数百万台も普及しています。 MPEG-4 Part 10 とも呼ばれる H.264 は、MPEG-4 Part 2 よりも新しいテクノロジー です。MPEG-4 Part 2 と同じデータレートでエンコードしたビデオで比較すると、 フレームのサイズは最大で 4 倍までが可能です。しかし、MPEG-1 と MPEG-2 が 現在も業界で使われているのと同様に、MPEG-4 Part 2 も使われ続けていくことで しょう。 メモ: MPEG-4 Part 2 は、QuickTime のコーデックであり（MPEG-4 ビデオ）、出力 フォーマットでもあります。この章では、出力フォーマットとしての MPEG-4 Part 2 について説明します。 この章では以下の内容について説明します： • MPEG-4 Part 2 について (ページ 246) • MPEG-4 Part 2 の「エンコーダ」パネルについて (ページ 247) • デフォルトの MPEG-4 Part 2 設定を使用する (ページ 251) • MPEG-4 Part 2 設定をカスタマイズする (ページ 252) • オーディオ Podcasting のワークフロー (ページ 255) • 設定およびプリセットを追加する (ページ 258) 245 MPEG-4 出力ファイルを作成する 19MPEG-4 Part 2 について MPEG-4 Part 2 には、次の利点があります。 • 標準への準拠： 出力は、MPEG-4 Part 2 対応デバイスだけでなく、ほかの規格 ベース（ISMA）のプレーヤーでも扱えます。たとえば、携帯電話などです。 • 高品質のビデオ： 高機能のトランスコーダで、ターゲットデータレートに設 定できるだけでなく、1 パス可変ビットレート（VBR）を使用して、出力の品 質やトランスコードの速度を最大限に高めることが可能です。 • AAC（Advanced Audio Coding）： MPEG-4 オーディオは各種のソースオーディオ に幅広く対応しており、真の可変ビットレート（VBR）オーディオトランスコー ディングを QuickTime にもたらします。MPEG-4 は、MP3 オーディオより優れ た音質を提供する Advanced Audio Coding（AAC）コーデックを使用して、同じ ビットレートならより小さなファイルサイズで、そしてサイズが同じならより 高い品質での圧縮を可能にしています。また、アートワークや URL が割り当て られたチャプタマーカーなどの Podcasting 情報のほかにも、さまざまなテキス ト注釈を含めることができます。 • ストリーミングのヒンティング： ヒンティングでは、ビデオストリームをス トリーム可能なセグメントに分割する際の、分け方を設定します。ストリーミ ングビデオを作成するには、データを送信するタイミングの手がかりをスト リーミングサーバに与える必要があります。ヒントを与えるには、最大パケッ トサイズと最大パケット継続時間を定義します。ヒント・トラックには、出力 ファイルのストリームに必要な情報が含まれています。ヒント・トラックは出 力ファイル（ビデオおよびオーディオ）内のすべてのメディアトラックに対し て作成されます。ストリーミングサーバはこのヒント・トラックを使用して、 メディアをリアルタイムストリームに変換します。 246 第 19 章 MPEG-4 出力ファイルを作成するMPEG-4 Part 2 の「エンコーダ」パネルについて MPEG-4 Part 2 の「エンコーダ」パネルでは、ストリーミングのさまざまなタイプ およびオプションを選択できます。 MPEG-4 の「エンコーダ」パネルの一般設定 MPEG-4 Part 2 のパネルには、次の項目があります： • 「ファイル拡張子」フィールド： 「ファイルフォーマット」ポップアップメ ニューから、または「設定」タブにある（+）ポップアップメニューから 「MPEG-4」出力フォーマットを選択すると、このフィールドに MPEG-4 Part 2 のファイル拡張子（.mp4）が自動的に表示されます。 • ジョブのセグメント化を許可： このチェックボックスを使って、ジョブのセ グメント化をオフにすることができます。これは、「Compressor」を分散処理 で使っていて、さらにマルチパスのエンコーディングを実行する場合にのみ有 効です。MPEG-4 Part 2 フォーマットでは、シングルパス VBR が使われるので、 どのような場合でもこのチェックボックスを選択しておけば、分散処理での処 理速度が向上します。詳細については、ジョブのセグメント化と 2パスまたは マルチパスエンコーディングを参照してください。 • 「ビデオ」、「オーディオ」、および「ストリーミング」ボタン： これらの ボタンをクリックすると、次に説明する「ビデオ」、「オーディオ」、および 「ストリーミング」パネルが開きます。 • 拡張 Podcast（m4a ファイル）： Podcasting の注釈やメタデータを出力メディ アファイルに書き込むには、このチェックボックスを選択します。これが使用 できるのはオーディオファイルのみです。このオプションを選択できるように するには、「ビデオ」パネルの一番上にある「ビデオ有効」チェックボックス の選択を解除します。 第 19 章 MPEG-4 出力ファイルを作成する 247• マーカーイメージを次のサイズに合わせる： オーディオ Podcast の作成時に Podcast マーカーイメージの幅と高さを指定する場合に使用します。自動ボタ ンをクリックして、「Compressor」で自動的に値を入力することもできます。 このオプションは、「ビデオ」パネルの一番上にある「ビデオ有効」チェック ボックスの選択が解除されている場合にのみ、使用できます。詳細について は、「ステージ 5: 出力メディアファイルのマーカーを作成して設定する」を参 照してください。 「ビデオ」パネル 「ビデオ」パネルでは、MPEG-4 Part 2 出力ファイルの品質（ISMA プロファイ ル）、フレーム／秒（fps）レート、キーフレーム間隔、およびビットレートを 設定できます。 Either enter a number in the Bit Rate field or use the slider to set the bit rate. このパネルには、以下の項目が含まれます。 • 「ビデオ有効」チェックボックス： MPEG-4 Part 2 出力フォーマットのビデオ 設定を適用する場合は、このチェックボックスを選択します。 • ビデオ圧縮： 使用する MPEG-4 圧縮フォーマットを選択します。 • MPEG-4 標準品質： すべての MPEG-4 Part 2 デバイスで再生できます。 • MPEG-4高品質： 出力品質が向上しますが、古い MPEG-4 Part 2 デバイスには 対応していません。 • H.264 メインプロファイル： H.264 ベースラインプロファイルと似ています が、標準精細度ビデオの要件に対応しています。 • H.264ベースラインプロファイル： 主な用途は、ビデオ会議やモバイルアプ リケーションです。 • 「フレームレート（fps）」ポップアップメニューおよびフィールド： 出力メ ディアファイルの全体のフレームレートを選択するかその値を入力します。 「自動」ボタンをクリックすると、「Compressor」が自動的にフレームレート を選択します。 248 第 19 章 MPEG-4 出力ファイルを作成する• 「キーフレームの間隔」フィールド： 出力メディアファイルにキーフレーム を作成する頻度（フレーム数）を指定する値を入力します。自動ボタンをク リックすると、キーフレームの間隔レートを「Compressor」が自動的に選択し ます（自動設定がオンの場合、表示される値は 0になります。実際の値はエン コード処理中に決定されます）。 • マルチパス： 高い品質を得たいときに選択しますが、エンコード時間は長く なります。このオプションは、「ビデオ圧縮」ポップアップメニューから H.264 オプションを選択した場合にのみ使用できます。 • 「ビットレート」スライダおよびフィールド： スライダを動かして出力メディ アファイル全体のビデオビットレートを設定するか、該当するフィールドに数 値を直接入力します。 「オーディオ」パネル 「オーディオ」パネルでは、MPEG-4 出力ファイルのオーディオトラック品質、 サンプルレート、品質、およびビットレートを設定します。 Sample Rate pop-up menu Bit Rate slider 以下のボタンとスライダでこまかい調節を行います。 • 「オーディオ有効」チェックボックス： MPEG-4 Part 2 出力フォーマットのオー ディオ設定を適用する場合は、このチェックボックスを選択します。 • 「チャンネル」ボタン： 出力メディアファイルに用いるオーディオチャンネ ルを、モノラルまたはステレオから選択します。 • モノラル： モノラルで出力する場合は、このボタンを選択します。 • ステレオ： ステレオで出力する場合は、このボタンを選択します。 • 「サンプルレート」ポップアップメニュー： 8、11.025、12、16、22.05、24、 32、44.1、または 48 kHz のいずれかのサンプルレートを選択します。また、 「推奨」を選択すれば、「Compressor」で「チャンネル」と「ビットレート」 設定に合わせて最適なサンプルレートが選択されます。 メモ: 「推奨」を選択すると、トランスコードが実際に始まるまでサンプルレー トは決まりません。 第 19 章 MPEG-4 出力ファイルを作成する 249• 「品質」ポップアップメニュー： 以下のいずれかを出力メディアファイルの オーディオ品質として選択します。 • 低： トランスコードのスピードは向上しますが、出力ファイルの品質は低 下します。 • 中： トランスコードのスピードは低下しますが、オーディ品質は「低」よ り向上します。 • 高： 最高のオーディオ品質を得るための設定です。出力メディアファイル のオーディオ品質が最も重要で、トランスコードに時間がかかってもよい場 合には、この設定を使用します。 • 「ビットレート」スライダおよびフィールド： スライダを動かして、出力メ ディアファイルのオーディオビットレートを 16 Kbps（2 KB／秒）〜 320 Kbps （40 KB／秒）の間で設定するか、該当するフィールドに値を直接入力します。 「ストリーミング」パネル 「ストリーミング」パネルでは、出力ファイルにヒントを設定し、MPEG-4 Part 2 出力ファイルの最大パケットサイズおよび最大パケット継続時間を設定します。 出力メディアファイルを古いバージョンの QuickTime Streaming Server（バージョ ン 4.1 以前）で使えるように設定することもできます。 「ストリーミング」パネルには、以下の項目が含まれます。 • 「ストリーミングのヒント有効」チェックボックス： MPEG-4 Part 2 出力フォー マットのストリーミング設定を適用する場合は、このチェックボックスを選択 します。 • 「v4.1 より前の QuickTime Streaming Server 互換」チェックボックス： 出力メディ アファイルを古いバージョンの QuickTime Streaming Server（バージョン 4.1 以 前）でも使えるようにするには、このチェックボックスを選択します。新しい バージョンの QuickTime を使用する場合は、このチェックボックスを選択する 必要はありません。なぜなら、ストリーミングの互換性に関する問題は自動的 に解決されるからです。 250 第 19 章 MPEG-4 出力ファイルを作成する• 「パケットの上限」の「サイズ」フィールド： 出力メディアファイルでのス トリーミングパケットの最大ファイルサイズ（バイト）を入力します。入力す るパケットサイズは、ストリーミングサーバとビューアの間のネットワーク上 で使用される最大パケットを超えないようにしてください。 • 「パケットの上限」の「継続時間」フィールド： 出力メディアファイルでの ストリーミングパケットの最大継続時間（ミリ秒）を入力します。継続時間が 関係するのは、MPEG-4 Part 2 オーディオのみです。パケット内のオーディオの 最大量（ミリ秒）を制限することにより、パケット損失によって生じるオー ディオのドロップアウトを抑えることができます。 デフォルトの MPEG-4 Part 2 設定を使用する MPEG-4 Part 2 ファイルのビデオおよびオーディオ設定をカスタマイズする必要が ない場合には、より手軽な方法でソースメディアファイルをトランスコードでき ます。その場合、デフォルト値を MPEG-4 Part 2 出力フォーマットの設定として 受け入れます。 「ビデオ」パネルのデフォルト設定 MPEG-4 Part 2 出力メディアファイルのデフォルトのビデオ設定を以下に示しま す。 • ビデオ有効： 選択済み • ビデオ圧縮： H.264 ベースラインプロファイル • フレームレート： 29.97 fps • キーフレームの間隔： 30 フレーム • ビットレート： 1000 kbps Either enter a number in the Bit Rate field or use the slider to set the bit rate. 詳細については、「ビデオ」パネルを参照してください。 「オーディオ」パネルのデフォルト設定 MPEG-4 Part 2 出力メディアファイルのデフォルトのオーディオ設定を以下に示し ます。 • オーディオ有効： 選択済み • チャンネル： ステレオ 第 19 章 MPEG-4 出力ファイルを作成する 251• サンプルレート： 44.100 kHz • 品質： 高 • ビットレート： 128 kbps Sample Rate pop-up menu Bit Rate slider 詳細については、「オーディオ」パネルを参照してください。 「ストリーミング」パネルのデフォルト設定 MPEG-4 Part 2 出力メディアファイルのデフォルトのストリーミング設定を以下に 示します。 • ストリーミングのヒント有効： 選択済み • 「パケットの上限」の「サイズ」： 1,450 バイト • 「パケットの上限」の「継続時間」： 100 ミリ秒 詳細については、「ストリーミング」パネルを参照してください。 上のデフォルト値で問題がない場合、設定はこれで完了です。ソースメディア ファイルのトランスコードをただちに開始できます。 MPEG-4 Part 2 設定をカスタマイズする MPEG-4 Part 2 ファイルフォーマットの設定をカスタマイズする場合は、前述のも のより詳細なトランスコーディングのワークフローを実行する必要があります。 • ステージ 1: MPEG-4 ビデオ設定をカスタマイズする 252 第 19 章 MPEG-4 出力ファイルを作成する• ステージ 2: MPEG-4 オーディオ設定をカスタマイズする • ステージ 3: MPEG-4 ストリーミング設定を編集する ステージ 1: MPEG-4 ビデオ設定をカスタマイズする MPEG-4 ビデオ設定の調整は、MPEG-4 の「エンコーダ」パネルで行います。 MPEG-4 の「エンコーダ」パネルを開いて MPEG-4 ビデオ設定を調整するには 1 「インスペクタ」ウインドウで「エンコーダ」パネルをクリックし、「ファイル フォーマット」ポップアップメニューから「MPEG-4」を選択します。 「拡張子」フィールドに「mp4」が表示された MPEG-4「エンコーダ」パネルが 開き、デフォルトの「ビデオ」パネルが表示されます。 2 用意されたコントロールを使用して、MPEG-4 ビデオ設定を調節します。 メモ: 「ビデオ有効」チェックボックスが選択されていることを確認してくださ い。 MPEG-4 Part 2 ビデオ設定の詳細については、「ビデオ」パネルを参照してくださ い。 ほかに編集するパラメータがなければ、通常の方法で MPEG-4 設定をソースメ ディアファイルに割り当てます。詳細については、カスタム設定を使ってトラン スコードのために Compressor を準備するを参照してください。それ以外の場合 は次の段階に進み、MPEG-4 オーディオ設定を編集します。 ステージ 2: MPEG-4 オーディオ設定をカスタマイズする MPEG-4 オーディオ設定の調整は、「オーディオ」パネルで行います。 第 19 章 MPEG-4 出力ファイルを作成する 253「オーディオ」パネルを開いて MPEG-4 オーディオ設定を調整するには 1 「オーディオ」タブをクリックして「オーディオ」パネルを開きます。 Sample Rate pop-up menu Bit Rate slider 2 用意されている項目を使って、MPEG-4 オーディオ設定を調節します。 メモ: 「オーディオ有効」チェックボックスを選択していることを確認してくだ さい。 MPEG-4 Part 2 オーディオ設定の詳細については、「オーディオ」パネルを参照し てください。 ほかに編集するパラメータがなければ、通常の方法で MPEG-4 設定をソースメ ディアファイルに割り当てます。詳細については、カスタム設定を使ってトラン スコードのために Compressor を準備するを参照してください。それ以外の場合 は次の段階に進み、ストリーミング設定を編集します。 ステージ 3: MPEG-4 ストリーミング設定を編集する MPEG-4 ストリーミング設定の編集は、「ストリーミング」パネルで行います。 「ストリーミング」パネルを開いてストリーミング設定を編集するには 1 「ストリーミング」ボタンをクリックして、「ストリーミング」パネルを開きま す。 2 バージョン 4.1 以前の QuickTime Streaming Server を使用して配信したい場合は、 「v4.1 より前の QuickTime Streaming Server互換」チェックボックスを選択しま す。 254 第 19 章 MPEG-4 出力ファイルを作成する3 「パケットの上限」の「サイズ」フィールドおよび「継続時間」フィールドに新 しい数値を入力し、「ストリーミングのヒント有効」チェックボックスが選択さ れていることを確認します。 4 MPEG-4 Part 2 ストリーミング設定の詳細については、「ストリーミング」パネル を参照してください。 オーディオ Podcasting のワークフロー 「Compressor」を使えば、MPEG-4 出力フォーマットを元にして機能を高めたオー ディオ Podcast を簡単に作成できます。高機能オーディオ Podcast には、アート ワークや URL が割り当てられたチャプタマーカーや Podcast マーカーなどの Podcasting情報、さまざまなテキスト注釈を含めることができます。オーディオ Podcast を作成するには、以下の手順に従います。 • ステージ 1: オーディオのみを出力するように MPEG-4 出力を設定する • ステージ 2: Podcast 情報が含まれるようにする • ステージ 3: ソース・メディア・ファイルのターゲットに設定を適用する • ステージ 4: 出力メディアファイルの注釈を入力する • ステージ 5: 出力メディアファイルのマーカーを作成して設定する • ステージ 6: ジョブを実行して出力メディアファイルを検証する ステージ 1: オーディオのみを出力するように MPEG-4 出力を設定す る オーディオのみの出力（Podcast など）用に MPEG-4 設定を行うには、以下の手 順に従います。 MPEG-4 の「エンコーダ」パネルを開いてオーディオのみの出力メディアファイ ル用の設定を行うには 1 「インスペクタ」ウインドウで「エンコーダ」パネルをクリックし、「ファイル フォーマット」ポップアップメニューから「MPEG-4」を選択します。 2 「ビデオ」ボタンをクリックし、「ビデオ」パネルを開きます。 3 「ビデオ有効」チェックボックスの選択を解除します。 4 「オーディオ」タブをクリックして「オーディオ」パネルを開きます。 5 「オーディオ有効」チェックボックスを選択します。 これで、MPEG-4 出力はオーディオのみ（.m4a）のファイルになります。「オー ディオ」パネルで、その他の設定も必要に応じて設定できます。 ステージ 2: Podcast 情報が含まれるようにする Podcast 情報が含まれるようにするには、以下の手順に従います。 第 19 章 MPEG-4 出力ファイルを作成する 255Podcast 情報が含まれるように MPEG-4 出力を設定するには 1 「インスペクタ」ウインドウの下部にある「拡張 Podcast（m4a ファイル）」 チェックボックスを選択します。 Deselect this checkbox to activate the “Allow Podcasting information” checkbox. Select this checkbox to include podcasting information in the output media file. このチェックボックスは、「ビデオ」パネルで「ビデオ有効」の選択を解除して いる場合のみ使用できます。このチェックボックスを選択すると、追加する注 釈、アートワークや URL が割り当てられたチャプタマーカーや Podcast マーカー が出力メディアファイルに埋め込まれるようになります。 2 設定を保存し、ソース・メディア・ファイルのターゲットにその設定を適用でき るようにします。 ステージ 3: ソース・メディア・ファイルのターゲットに設定を適 用する ソース・メディア・ファイルのターゲットに設定を適用し、この設定で出力メ ディアファイルに追加できる Podcasting 情報を構成できるようにする必要があり ます。詳細については、ソースメディアファイルに設定を割り当てるを参照して ください。 ステージ 4: 出力メディアファイルの注釈を入力する 注釈（制作者のクレジット、キーワード、著作権情報など）を追加することがで きます。 「追加情報」タブを開いて注釈を入力するには 1 ソース・メディア・ファイルで作成されたジョブのターゲット以外の領域をク リックします。 256 第 19 章 MPEG-4 出力ファイルを作成する「インスペクタ」ウインドウに「A/V属性」、「追加情報」、および「ジョブ操 作」タブが表示されます。 2 「追加情報」タブをクリックします。 3 「追加情報」タブでは、タイトル、アーティストなどの注釈を出力メディアファ イルに追加できます。 Choose items from this pop-up menu to include them as annotations in the output media file. 4 出力メディアファイルに追加する項目を「注釈を追加」ポップアップメニューか ら選択します。 選択した項目が「注釈」列に表示されます。 5 項目の「値」列をダブルクリックし、テキストの注釈を入力します。 6 出力メディアファイルに追加する注釈ごとにこの作業を繰り返します。 詳細については、「インスペクタ」とソースメディアファイルを使うを参照して ください。 ジョブを選択した状態で、「ジョブ操作」タブを使って、出力メディアファイル を自動的に iTunes ライブラリのプレイリストに追加することもできます。詳細 については、アクションを追加するおよびジョブ操作についてを参照してくださ い。 第 19 章 MPEG-4 出力ファイルを作成する 257ステージ 5: 出力メディアファイルのマーカーを作成して設定する 出力メディアファイルのチャプタマーカーと Podcast マーカーの追加や設定は、 「プレビュー」ウインドウから実行できます。マーカーは手動で追加できるほ か、チャプタマーカーのリストを読み込んで追加する方法もあります。各チャプ タマーカーと Podcast マーカーには名前を付けることができます。また、URL を 追加したり、アートワークとして静止画像を追加したりできます。 「MPEG-4」インスペクタウインドウの下部にある「マーカーイメージを次のサ イズに合わせる」設定に値を入力して、マーカーイメージのサイズを制御するこ ともできます。 再生時、アートワークは URL と一緒に表示されます（視聴者はクリックして Web ブラウザで表示できます）。 「プレビュー」ウインドウでのマーカーの追加や設定の詳細については、「マー カーとポスターフレームを使って作業する」を参照してください。 ステージ 6: ジョブを実行して出力メディアファイルを検証する 注釈やマーカーを追加したジョブを実行し、出力メディアファイルを作成しま す。 エンコード処理を完了した出力メディアファイルは、「QuickTime Player」で開い てマーカー、URL、アートワークが意図した通りに表示されているか検証できま す。 設定およびプリセットを追加する 「Compressor」のワークフローでは出力フォーマットの設定が最も重要ですが、 ほかの設定およびプリセット、たとえばフィルタ、クロップ処理、フレームのサ イズ設定、アクション、および書き出し先などを追加することもできます。これ らの設定を追加する詳しい方法については、以下の章を参照してください。 • 設定にフィルタを追加する • フレームコントロールを使って作業する • 画角設定を追加する • アクションを追加する • 書き出し先を決める／変更する 258 第 19 章 MPEG-4 出力ファイルを作成するQuickTime のコンポーネントプラグイン機能を利用することにより、 「Compressor」からさまざまなフォーマットを出力できます。 この章では、QuickTime のコンポーネントプラグイン機能を利用する方法につい て説明します。この機能によって、ソースメディアファイルからさまざまなファ イルフォーマットを「Compressor」で出力できるようになります。 この章では以下の内容について説明します： • QuickTime 書き出しコンポーネント出力ファイルを作成する (ページ 259) • QuickTime書き出しコンポーネントプラグインをインストールする (ページ 260) • iPod のプラグインについて (ページ 260) • QuickTime 書き出しコンポーネントの「エンコーダ」パネルについて (ページ 261) • 書き出しコンポーネントの設定を構成する (ページ 261) QuickTime 書き出しコンポーネント出力ファイルを作成す る 「Compressor」および QuickTime は、追加のコーデックオプションおよび他社製 のフォーマットをサポートするために拡張することができます。このセクション では、QuickTime のコンポーネントプラグイン機能を扱います。この機能を使え ば、他社製のデバイスやオペレーティングシステムで再生できる独特なファイル フォーマット、たとえば携帯電話用のファイルフォーマットを書き出せるように することも可能です。標準の QuickTime ムービーフォーマットとは異なり、こう した書き出しファイルは QuickTime Player のような QuickTime ベースのアプリケー ションでは再生できません。（ネイティブな QuickTime ムービーのファイルフォー マットの詳細については、QuickTime ムービー出力ファイルを作成するを参照し てください。） 259 QuickTime 書き出しコンポーネ ントファイルを作成する 20以前は、こうした種類のファイルを作成するには、数多くの手順と複数のオペ レーティングシステムが必要でした：ファイルを書き出し、それをプラットフォー ムの異なるコンピュータに移し、それから別のソフトウェア・アプリケーション でエンコードしていました。QuickTime は、特別なアプリケーションを起動しな くても他社製フォーマットのエンコードを制御できる書き出しコンポーネント機 能を備えています。これでワークフローが簡単になり、作業時間が短縮され、複 数のオペレーティングシステムおよびソフトウェアパッケージを扱う手間が省け ました。 QuickTime 書き出しコンポーネントプラグインをインス トールする 「Compressor」は、他社製のソフトウェアがなくても、3G、AVI、および iPod に トランスコードできます。「Compressor」の書き出しコンポーネント機能は、将 来に書き出しプラグインを追加することができるようにと開発されました。他社 製のソフトウェアをインストールしてから、「インスペクタ」ウインドウの「エ ンコーダ」パネルの「ファイルフォーマット」で「QuickTime 書き出しコンポー ネント」を選択し、「エンコーダのタイプ」ポップアップメニューで出力ファイ ルフォーマットを選択します。 入手できるプラグインおよびアップデートの詳細については µ 「Compressor」のサポート Web サイト （http://www.apple.com/jp/support/compressor）を参照してください。 iPod のプラグインについて QuickTime 書き出しコンポーネントの出力フォーマットには、iPod エンコーダタ イプがあります。このエンコーダでは、ビデオには H.264 エンコーダ、オーディ オには AAC エンコーダを使って、iPod での再生に適した出力ファイルを作成で きます。すべての設定（フレームサイズ、フレームレートなど）は、自動的に設 定されます。 H.264（Apple デバイス用）出力フォーマットに対してこのプラグインを使用する 際の欠点としては、分散処理機能を利用できないこと、チャプタマーカーを入れ られないこと、「フレームコントロール」パネルを使えないことが挙げられま す。 iPod 出力メディアファイルの作成方法の詳細については、H.264（Apple デバイス 用）出力ファイルを作成するを参照してください。 260 第 20 章 QuickTime 書き出しコンポーネントファイルを作成するQuickTime 書き出しコンポーネントの「エンコーダ」パネ ルについて 「インスペクタ」ウインドウの「エンコーダ」パネルで、「ファイルフォーマッ ト」ポップアップメニューから「QuickTime 書き出しコンポーネント」出力フォー マットを選択すると、以下のオプションが表示されます： File Extension field Choose QuickTime Export Components. Click to see the options for the encoder plug-in. Choose an encoder plug-in. • ファイル拡張子： このフィールドには、「エンコードのタイプ」メニューで 選択された出力フォーマットのファイル拡張子が表示されます。 • ジョブのセグメント化を許可： このチェックボックスを使って、ジョブのセ グメント化をオフにすることができます。これは、「Compressor」を分散処理 で使っていて、さらにマルチパスのエンコーディングを実行する場合にのみ有 効です。詳細については、ジョブのセグメント化と 2パスまたはマルチパスエ ンコーディングを参照してください。 • エンコーダのタイプ： このポップアップメニューで、利用できる書き出しコ ンポーネント出力フォーマット（プラグイン）を選択します。 • オプション： このボタンをクリックすると（アクティブな場合）、「エンコー ダのタイプ」ポップアップメニューで選択した出力ファイルフォーマットに対 応する「設定」ウインドウが表示されます。 書き出しコンポーネントの設定を構成する 出力フォーマットとして QuickTime 書き出しコンポーネントを選択した場合は、 すでにインストールされている書き出しプラグインの設定のみを作成できます。 QuickTime 書き出しコンポーネントの設定を作成するには 1 「設定」タブで以下のいずれかを実行します： • 適切な設定が選択されていることを確認します。 第 20 章 QuickTime 書き出しコンポーネントファイルを作成する 261• 新規設定の作成（+）ポップアップメニューで「QuickTime 書き出しコンポーネ ント」を選択して、新しい設定を作成します。 2 「エンコーダのタイプ」ポップアップメニューで、出力ファイルのフォーマット を選択します。 3 「エンコーダ」パネルで「オプション」ボタン（アクティブな場合）をクリック します。 選択した出力ファイルフォーマットの設定ウインドウが開きます。 Configure settings for the QuickTime export component. 重要： 他社製書き出しモジュールのユーザインターフェイスを使用して、出力 ファイルの幅、高さ、フレームレートを明示的に入力します。他社製ユーザイン ターフェイスの幅、高さ、フレームレートの各フィールドはデフォルト（「現在 の」）値のままにしないでください。 4 「OK」をクリックして設定を保存し、ダイアログを閉じます。 メモ: 「Compressor」のフレームコントロール機能は、QuickTime 書き出しコン ポーネント出力機能を使用する場合は使えません。 262 第 20 章 QuickTime 書き出しコンポーネントファイルを作成する「Compressor」には、 QuickTime メディアファイルの作成に必要なツールが用意 されています。 QuickTime は、クロスプラットフォームのマルチメディアテクノロジーであり、 Mac OS アプリケーションでビデオ、オーディオ、および静止画像ファイルのキャ プチャおよび再生を可能にします。QuickTime では、さまざまな種類のコーデッ クがサポートされています。また、拡張することで、さらにコーデックオプショ ンを追加したり、他社製コーデックに対応したりできます。QuickTime 書き出し の追加オプションの詳細については、QuickTime 書き出しコンポーネント出力ファ イルを作成するを参照してください。 この章では以下の内容について説明します： • QuickTime 出力ファイルを作成する (ページ 263) • QuickTime ムービーの「エンコーダ」パネルについて (ページ 264) • QuickTime トランスコーディングのワークフロー (ページ 271) • コーデックについて (ページ 275) • QuickTime ビデオコーデック (ページ 275) • QuickTime オーディオコーデック (ページ 276) QuickTime 出力ファイルを作成する QuickTime は、多くのコーデックを内蔵したオープンスタンダードで、マルチメ ディアおよびストリーミングの両方に対応したメディア・アーキテクチャです。 オーサリングと配信の両方に幅広く使用されています。たとえば、多くのビデオ 編集および合成用アプリケーションで QuickTime が基本フォーマットとして使用 されています。QuickTimeには、ストリーミングビデオから DVD まで、あらゆる メディアに対応したビデオコーデックとオーディオコーデックが幅広く含まれて います。QuickTime アーキテクチャでは、AVI ファイルや 3G ストリームなど、 QuickTime ムービー以外のファイルフォーマットも処理できます。こうした各種 フォーマットの作成方法の詳細については、QuickTime 書き出しコンポーネント ファイルを作成するを参照してください。 263 QuickTime ムービー出力ファイ ルを作成する 21Web 用の QuickTime メディアファイル QuickTime を使えば、メディアファイルを Web 上で再生することができます。 そのためには、ユーザが使っていると思われる帯域幅に合わせて、メディア ファイル圧縮のデータレートを設定します。この処理を実行するには、出力メ ディアファイルを QuickTime ファストスタートムービー（所定の量をバッファ した後は再生しながらダウンロードするタイプ）または QuickTime ストリーミ ングムービーに設定してください。 「Compressor」では、 QuickTime ムービーの「エンコーダ」パネルの「ストリー ミング」ポップアップメニューで、さまざまなストリーミングオプションを選 択することができます。Web での QuickTime メディアファイルのストリーミン グの詳細については、「ストリーミング」ポップアップメニュー項目を参照し てください。 QuickTime ムービーの「エンコーダ」パネルについて 「ファイルフォーマット」ポップアップメニューで「QuickTime ムービー」を選 択すると、以下のオプションが表示されます： Summary table File Extension field Options button (dimmed unless Hinted Streaming is selected) Streaming pop-up menu Clean aperture selection 264 第 21 章 QuickTime ムービー出力ファイルを作成するQuickTime ムービーの「エンコーダ」パネルの基本設定 これらの基本オプションを使って、下のより細かな QuickTime ムービー設定を制 御します。 • 「ファイル拡張子」フィールド： 「ファイルフォーマット」ポップアップメ ニューから、または「設定」タブにある（+）ポップアップメニューから QuickTime 出力フォーマットを選択すると、このフィールドに QuickTime ファ イルの拡張子（.mov）が自動的に表示されます。 • ジョブのセグメント化を許可： このチェックボックスを使って、ジョブのセ グメント化をオフにすることができます。これは、「Compressor」を分散処理 で使っていて、さらにマルチパスのエンコーディングを実行する場合にのみ有 効です。詳細については、ジョブのセグメント化と 2パスまたはマルチパスエ ンコーディングを参照してください。 • 「ビデオ」および「オーディオ」の「設定」ボタン： これらのボタンをクリッ クすると、QuickTime の「圧縮設定」と「サウンド設定」ダイアログがそれぞ れ開きます。これらのダイアログで、適切なコーデックを選択し、ほかのビデ オまたはオーディオ圧縮設定を変更します。これらのダイアログの詳細につい ては、「サウンド設定」ダイアログについておよび圧縮設定ダイアログについ てを参照してください。 • 有効／無効／パススルー： これらのポップアップメニューで、ビデオおよび オーディオの設定を有効または無効にします。「有効」を選択すると、ビデオ またはオーディオのトラックが、それぞれ出力ムービーに含まれます。「無 効」を選択すると、ビデオまたはオーディオのトラックが、それぞれ出力ムー ビーから除外されます。「パススルー」（オーディオのみ）を選択すると、 「Compressor」はオーディオを変更せずにそのまま出力ムービーにコピーしま す。一例として、マルチトラックオーディオの HD（高精細度）ファイルをオー ディオトラックはそのままにして SD（標準精細度）ファイルに変換する方が よい場合があります。 メモ: 「Final Cut Pro」から「Compressor」にシーケンスを書き出す場合（「ファ イル」＞「書き出し」＞「Compressor を使う」と選択します）に、「パスス ルー」が選択されている設定を適用すると、設定のオーディオ部分は、シーケ ンスの設定とチャンネル数を持つが、出力で作成されるトラックは 1つのみの PCM設定に変わります。「Final Cut Pro」のシーケンスにオーディオパススルー が必要な場合は、QuickTime ムービーを書き出してから（「ファイル」＞「書 き出し」＞「QuickTime ムービー」と選択します）、そのムービーを 「Compressor」に読み込みます。 重要： 「パススルー」が選択されている場合、「フィルタ」パネルのオーディ オフィルタは使用できません。また、「フレームコントロール」パネルのコン トロールのタイミング変更でオーディオが補正されないため、ビデオとの同期 化エラーの原因となる場合があります。 第 21 章 QuickTime ムービー出力ファイルを作成する 265• ストリーミング： このポップアップメニューから QuickTime ストリーミング オプションを選択します。 • なし： この設定（デフォルト）を選択すると、インターネットを介した出 力メディアファイルのストリームは実行されません。 • ファストスタート： 出力メディアファイルがサーバからすべてダウンロー ドされていなくても、再生（表示）を開始できます。 • ファストスタート－圧縮ヘッダ： この設定では、得られる結果は「ファス トスタート」の場合と同じ（サーバからのダウンロードが完了していなくて も、出力メディアファイルを表示できます）ですが、出力メディアファイル のサイズをさらに小さくできます。 • ヒントストリーミング： この設定では、出力メディアファイルにヒント・ トラックを追加して、QuickTime Streaming Server で使用できるようにします。 • 「オプション」ボタン： 「ストリーミング」ポップアップメニューで「ヒン トストリーミング」を選択しなければ、このボタンは淡色表示されます。この ボタンをクリックすると、QuickTime の「ヒント書き出しの設定」ダイアログ が開き、ストリームのヒンティングの追加設定を指定することができます。 • 「クリーンアパーチュア情報を追加」チェックボックス： このチェックボッ クスで、出力ファイルにクリーンなピクチャエッジを定義する情報を追加する かどうかを選択できます（デフォルトは選択）。 メモ: このチェックボックスは、出力ファイルの実際のピクセルには影響しま せん。プレーヤーでピクチャのエッジを隠す際に使える情報をファイルに追加 するかどうかを制御するだけです。 • このチェックボックスを選択した場合： 望ましくないアーティファクトが エッジに沿って生じないようにピクセルを隠す数を定義する情報が、出力 ファイルに追加されます。出力ファイルを「QuickTime Player」で再生する と、この設定が原因で、ピクセルのアスペクト比がわずかに変更されること があります。 • このチェックボックスの選択を解除した場合： クリーンアパーチュア情報 は出力ファイルに追加されません。「Compressor 3.0.5」以前では、これが標 準の動作です。 • 設定一覧テーブル： この設定の詳細情報が表示されます。 QuickTime のビデオおよびオーディオの「設定」 QuickTime の「ビデオ」および「オーディオ」設定ボタンは、出力ファイルフォー マットとして「QuickTime ムービー」を選択すると「エンコーダ」パネルに表示 されます。（また、オーディオの「設定」ボタンは、「ファイルフォーマット」 ポップアップメニューで「AIFF」を選択した場合にも表示されます。）これらの ボタンをクリックすると、「圧縮設定」ダイアログと「サウンド設定」ダイアロ グがそれぞれ表示されます。ここで、「設定」タブで選択した設定に追加するビ デオコーデックまたはオーディオコーデックを変更できます。 266 第 21 章 QuickTime ムービー出力ファイルを作成するデフォルトでは、「ビデオ」および「オーディオ」の「設定」ボタンは両方とも 有効ですが、チェックボックスの選択を解除するとどちらのボタンも無効にでき ます。 ビデオコーデック設定 「QuickTime ビデオ設定」ボタンを使うと、現在インストールされている QuickTime ビデオコーデックにアクセスできます。 ビデオコーデック設定のカスタマイズ方法は、ステージ 2: QuickTime ビデオコー デックを追加するを参照してください。 すべてのコーデックには QuickTime との互換性がありますが、出力ファイルの再 生に「QuickTime Player」を使う場合は、以下のコーデックをお勧めします： • H.264 • フォト－JPEG オーディオコーデック設定 「QuickTime オーディオ設定」ボタンを使うと、現在インストールされている QuickTime オーディオコーデックにアクセスできます。 オーディオコーデック設定のカスタマイズ方法は、ステージ 3: QuickTime オー ディオコーデックを追加するを参照してください。 すべてのコーデックには QuickTime との互換性がありますが、出力メディアファ イルの再生に「QuickTime Player」を使う場合は、以下のコーデックをお勧めしま す： • AAC • IMA 4:1 オーディオコーデックの詳細については、QuickTime オーディオコーデックを参 照してください。 QuickTime 出力用のチャプタマーカーと Podcast マーカー 「Final Cut Pro」で作成されたチャプタマーカーは、QuickTime Player、iTunes（.m4v ファイル）、Final Cut Pro で認識できるほかの出力ファイルに渡されます（つま り転送されます）。チャプタマーカーおよび Podcast マーカーの追加の詳細につ いては、「マーカーとポスターフレームを使って作業する」を参照してくださ い。 圧縮設定ダイアログについて 「標準ビデオ圧縮設定」ダイアログでは、QuickTime 出力フォーマットのビデオ コーデック設定を変更します。「標準ビデオ圧縮設定」ダイアログを開くには、 QuickTime ムービーの「エンコーダ」パネルで「ビデオ」の「設定」ボタンをク リックします。 第 21 章 QuickTime ムービー出力ファイルを作成する 267変更できない設定は淡色表示されます。Photo-JPEG など一部のビデオコーデック では、もっと詳細な設定が可能です。この場合、「オプション」ボタンが使用可 能になります。ボタンをクリックして追加設定を行います。 Choose a frame rate from this pop-up menu. Click the Options button for more configuration settings. Select a compression type from this pop-up menu. 「圧縮設定」ダイアログには、「圧縮の種類」ポップアップメニューで選択した コーデックに基づいて以下の項目が表示されます。 圧縮の選択 ウインドウの上部にある圧縮の選択では、ウインドウの残りの部分でどの設定が アクティブになるかを定義します。 • 圧縮の種類： このポップアップメニューで、プリセットに追加するビデオコー デックを選択します。 268 第 21 章 QuickTime ムービー出力ファイルを作成する「Motion」領域 「Motion」領域の設定は、一部のコーデックでのみアクティブになります。 • フレームレート： このポップアップメニューで元のファイルよりも低いフレー ムレートを設定すると、圧縮後のファイルのサイズをより小さくすることがで きます。高いフレームレートは動きを滑らかにしますが、大きな帯域幅を必要 とします。「フレームレート」ポップアップメニューから別のフレームレート を選択できますが、最良の結果を得るためには元のファイルがうまく分割でき る数値にレートを変更することをお勧めします。たとえば、元のファイルのフ レームレートが 30 fps なら、10 fps または 15fps のフレームレートを使用しま す。24 fps のようなフレームレートを選択すると、動きにむらが生じ、ドロッ プフレームが生じることもあります。これは、30 が 24 で割り切れない数値で あるために生じる問題です。8、10、12、15、23.98、24、25、29.97、30、59.94、 60 fpsのいずれかを選択するか、「Custom」を選択して数値を入力してくださ い。 • キーフレーム： 選択したコーデックによっては、「キーフレーム」の「等間 隔に設定」フィールドを使って、キーフレーム間のフレーム数を指定できま す。時間圧縮法に基づくコーデックでは、キーフレームを使用します。これは 直後のフレームの参照フレームとして機能するため、キーフレームと後に続く フレーム間のデータの冗長性が排除されます。キーフレーム間には、それほど 詳細ではないデルタフレームが存在します。内容の変化に対応するため、メ ディアファイル全体にキーフレームを挿入する必要があります。ビデオコー デックの種類によっては、一定数のフレームごとにキーフレームを挿入できま す。それ以外のビデオコーデックでは、ファイル全体をスキャンして主要な類 似個所と相違個所を検出し、適宜そのコーデック固有のキーフレームを挿入し ます。 メディアファイルが多くの動きを含む場合は、トーキング・ヘッド・シーケン スなどの静的な画像より多くのキーフレームを設定する必要があります。 「データレート」領域 「データレート」領域は、一部のコーデックでのみアクティブになります。 • データレート： このフィールドを使用して、メディアファイルの配信に必要 な 1 秒当たりのキロバイト数（KB／秒）を設定します。この設定は、特定の ビットレートを指定する場合（DSL 接続用など）、または特定のスペースに ファイルを収めたい場合（DVD、CD-ROM など）に便利です。配信に用いるメ ディアに適したデータレートを選択し、それをデータの制限範囲でできるだけ 高く設定します。データレートを設定すると、ほかのコーデック品質設定が上 書きされます。コーデックでは、ファイルはデータレートの上限に基づいて圧 縮されるためです。 データレートが関係するのはメディアファイルのビデオトラックのみであるこ とに注意してください。メディアファイルにオーディオも含まれる場合は、 オーディオ用の空き容量も確保する必要があります。 第 21 章 QuickTime ムービー出力ファイルを作成する 269「Compressor」領域 「Compressor」領域は、「圧縮の種類」ポップアップメニューで選択したコー デックに応じて内容が変化します。 • 「オプション」ボタン： 「圧縮の種類」ポップアップメニューで選択したコー デックにオプションが用意されていない場合、このボタンは淡色表示されま す。コーデックに用意されている追加オプションの詳細については、各コー デックの開発元にお問い合わせください。 プレビュー領域 プレビュー領域は使用されていません。 「サウンド設定」ダイアログについて 「サウンド設定」ダイアログでは、QuickTime出力フォーマットまたは AIFF 出力 フォーマットのオーディオ圧縮設定を変更します。このダイアログを開くには、 QuickTime ムービーまたは AIFF オーディオの「エンコーダ」パネルで、「オー ディオ」の「設定」ボタンをクリックします。 変更できないオーディオ設定は淡色表示されます。ほとんどのオーディオコー デックでは、追加設定ができます。この場合、さまざまなボタンとコントロール が使用可能になります。それらのボタンやコントロールをクリックして追加設定 を行います。 Format pop-up menu Rate field and pop-up menu Show Advanced Settings checkbox 「サウンド設定」ダイアログには以下の項目があり、「フォーマット」ポップ アップメニューで選択されているオーディオコーデックに応じて、さまざまな指 定ができます。 • フォーマット： 設定に追加するオーディオコーデックを選択します。 270 第 21 章 QuickTime ムービー出力ファイルを作成する• チャンネル： チャンネル出力のタイプを選択します。たとえばモノラルやス テレオを選択できますが、コーデックによってはマルチチャンネル出力も選べ ます。 • レート： メディアファイルに使用するサンプルレートを選択します。サンプ ルレートが大きいとオーディオ品質が高くなりますが、ファイルサイズも大き くなります。大きなファイルのダウンロードには、長い時間とより大きな帯域 幅が必要となります。 • 詳細設定を表示： 「フォーマット」ポップアップメニューで選択したコーデッ クにオプション設定がなければ、このチェックボックスは淡色表示されます。 コーデックに用意されている追加オプションの詳細については、各コーデック の開発元にお問い合わせください。 QuickTime オーディオのサンプルサイズおよびサンプルレート ディスク容量と帯域幅に余裕がある場合は、オーディオを圧縮せずに使うのが最 善でしょう。非圧縮オーディオには、通常 8 ビットサンプル（電話レベルの音 質）または 16 ビットサンプル（CD レベルの音質）が使用されます。 「Compressor」ではサンプルあたり 64 ビット浮動小数点と、最高サンプルレー ト 192 kHz がサポートされています。 オーディオコーデックを選択する AACは汎用性の高いオーディオ配信コーデックで、さまざまな再生デバイスとの 互換性が確保されています。低速なコンピュータでの QuickTime ムービーの再生 には、IMA 4:1 が好適です。コンピュータへの負担が軽くなるので、より複雑な ビデオストリームの方に処理能力を集中することができます。オーディオコー デックの詳細については、QuickTime オーディオコーデックを参照してください。 QuickTime トランスコーディングのワークフロー 次のセクションで、QuickTime 出力メディアファイルの作成に必要なトランスコー ド処理の概要を説明します。 • ステージ 1: QuickTime の「エンコーダ」パネルを開く • ステージ 2: QuickTime ビデオコーデックを追加する • ステージ 3: QuickTime オーディオコーデックを追加する ステージ 1: QuickTime の「エンコーダ」パネルを開く QuickTime のビデオコーデックおよびオーディオコーデックの多くは、 「Compressor」で選択することができます。コーデックを選択するには、QuickTime の「エンコーダ」パネルで「ビデオ」および「オーディオ」の「設定」ボタンを クリックし、「標準ビデオ圧縮設定」および「サウンド設定」ダイアログをそれ ぞれ開きます。 第 21 章 QuickTime ムービー出力ファイルを作成する 271QuickTime ムービーの設定を確認または作成するには 1 「設定」タブで以下のいずれかを実行します： • 適切な設定が選択されていることを確認します。 • 新規設定の作成（+）ポップアップメニューで「QuickTime ムービー」を選択し て、新しい設定を作成します。 2 「インスペクタ」ウインドウで「エンコーダ」パネルを開きます。 QuickTime のデフォルトの「エンコーダ」パネルが表示されます。このパネルに は、「ビデオ」および「オーディオ」の「設定」ボタン、「有効」ポップアップ メニュー、「ストリーミング」ポップアップメニュー、「オプション」ボタン （淡色表示）、および設定一覧テーブルが表示されています。詳細については、 QuickTime ムービーの「エンコーダ」パネルについてを参照してください。 メモ: トランスコーディングにこれらの設定を適用する場合は、該当する「設 定」ボタンの隣にある「有効」ポップアップメニューで「有効」が選択されてい ることを確認してください。 ステージ 2: QuickTime ビデオコーデックを追加する 設定に QuickTime ビデオコーデックを追加するには、「圧縮設定」ダイアログを 開いて、「圧縮の種類」ポップアップメニューからビデオコーデックを選択しま す。 メモ: ビデオ設定を使用する予定がない場合は、ポップアップメニューから「無 効」を選択します。 QuickTime の「エンコーダ」パネルを開いてビデオコーデックを適用するには 1 QuickTime ムービーの「エンコーダ」パネルで、「ビデオ」の「設定」ボタンを クリックします。 272 第 21 章 QuickTime ムービー出力ファイルを作成する「圧縮設定」ダイアログが開きます。 Choose a video codec from the Compression Type pop-up menu. 2 「圧縮の種類」ポップアップメニューからビデオコーデックを選択し、デフォル ト設定を受け入れるか、ほかの設定（「Motion」、「データレート」、 「Compressor」の各領域）をカスタマイズします。ビデオコーデックの詳細につ いては、以下の項のいずれかを参照してください。 • ビデオコーデック設定 • 圧縮設定ダイアログについて • QuickTime ビデオコーデック メモ: 現在の設定の内容は、設定一覧テーブルで確認することができます。 3 「OK」をクリックして変更内容を保存し、このダイアログを閉じます。 ステージ 3: QuickTime オーディオコーデックを追加する 設定にオーディオコーデックを追加する場合は、「サウンド設定」ダイアログを 開いて、オーディオコーデックの設定を選択する必要があります。 メモ: オーディオ設定を使用する予定がない場合は、ポップアップメニューから 「無効」を選択します。 QuickTimeの「エンコーダ」パネルを開いてオーディオコーデックを適用するに は 1 QuickTime ムービーの「エンコーダ」パネルで、「オーディオ」の「設定」ボタ ンをクリックします。 第 21 章 QuickTime ムービー出力ファイルを作成する 273「サウンド設定」ダイアログが開きます。 Choose an audio codec from the Format pop-up menu. 2 「フォーマット」ポップアップメニューからオーディオコーデックを選択し、デ フォルトのままで利用するか、ほかのオーディオコーデック設定をカスタマイズ します（「フォーマット」、「チャンネル」、「レート」、および各種のオプ ションなど）。 オーディオコーデックの詳細については、以下の項のいずれかを参照してくださ い。 • オーディオコーデック設定 • 「サウンド設定」ダイアログについて • QuickTime オーディオコーデック メモ: 現在の設定の詳細な内容は、設定一覧テーブルで確認することができま す。 3 「OK」をクリックして設定を保存し、ダイアログを閉じます。 設定およびプリセットを追加する 「Compressor」のワークフローでは出力フォーマットの設定が最も重要ですが、 ほかの設定およびプリセット、たとえばフィルタ、クロップ処理、フレームの サイズ設定、アクション、および書き出し先などを追加することもできます。 これらの設定を追加する詳しい方法については、以下の章を参照してくださ い。 • 設定にフィルタを追加する • フレームコントロールを使って作業する • 画角設定を追加する • アクションを追加する • 書き出し先を決める／変更する 274 第 21 章 QuickTime ムービー出力ファイルを作成するコーデックについて コーデックとは、コンプレッサ（CO）／デコンプレッサ（DEC）の略語です。再 生方法（Web または DVD など）に応じてコーデックを使い分けます。配信のター ゲットとなる視聴者が使用している再生方法が判明したら、その方法に適した コーデックを選択します。使用するコーデックを決めるには、データレートの上 限と目的の品質を満たせる圧縮レベルを選択しなければなりません。 以下の項では、ビデオコーデックまたはオーディオコーデックを選択する際の注 意点について説明します。 QuickTime ビデオコーデック コーデックには、それぞれ長所と短所があります。たとえば、あるコーデックは 特定のメディアを格納するのに適しており、別のコーデックはアーティファクト を多く生じさせます。また、圧縮に時間がかかっても展開は高速で行うものや、 圧縮と展開を同じスピードで実行するコーデックもあります。コーデックの中に は、ファイルを元の 1/100 サイズに圧縮できるものや、ファイルサイズをほとん ど小さくできないものもあります。さらに、コーデックによっては、特定の OS プラットフォーム用のみが入手可能なもの、特定のプロセッサを必要とするも の、特定のバージョン以降の QuickTime でのみ再生できるものなどがあります。 コーデックを選択する際は、次に注意してください。 • ターゲットとなる視聴者の最低システム要件 • ソース素材 • 圧縮済みメディアファイルの品質 • 圧縮済みメディアファイルのサイズ • メディアファイルの圧縮／展開時間 • メディアファイルをストリーム配信するかどうか 「Compressor」には、QuickTime で提供されている標準的なビデオコーデックに 加えて、QuickTime Pro で提供されるコーデックオプションも追加されています。 視聴者のコンピュータにインストールされているコーデックが分からない場合 は、なるべく多くの視聴者が再生できるように、標準的な QuickTime コーデック のいずれかを使用してください。 メモ: ビデオコーデックの選択、および最適なビデオコーデック設定の詳細につ いては、関連する QuickTime のマニュアルを参照してください。 第 21 章 QuickTime ムービー出力ファイルを作成する 275ビデオコーデックには、次の 2 種類があります。 • 可逆圧縮コーデック： 可逆圧縮コーデックは圧縮したデータを完全に保持し、 通常は映像をある編集用アプリケーションから別のアプリケーションに転送す るために使用されます。可逆圧縮コーデックでは、高いデータレート、および 映像の圧縮に特化したハードウェアを持つハイエンドコンピュータが必要で す。可逆圧縮コーデックの一例に、アニメーション、8 ビットおよび 10 ビッ トの非圧縮 4:2:2 コーデックがあります。 • 非可逆圧縮コーデック： 可逆圧縮コーデックとは対照的に、非可逆圧縮コー デックはデータの近似値のみを返し、通常は完成したビデオをエンドユーザに 配信するために使用されます。近似のレベルはコーデックの品質で決まりま す。一般的には、コーデックの出力品質とコーデックの圧縮能力との間には反 比例の関係があります。一部のコーデックでは、目に見える劣化を出さずに最 低でも 5:1 の圧縮比を実現できます。非可逆圧縮コーデックには、フォト－JPEG コーデックなどがあります。 品質の低い非可逆的な圧縮を行うと、人間の目で確認できる不自然なアーティ ファクトが生じます。非可逆圧縮コーデックを使用する際は、メディアファイ ルの圧縮は 1 回にとどめてください。ファイルを繰り返し圧縮すると、アー ティファクトがさらに生じる原因になります。 QuickTime オーディオコーデック ディスク容量と帯域幅に余裕がある場合は、オーディオを圧縮しないことをお勧 めします。非圧縮オーディオには、通常 8 ビットサンプル（電話レベルの音質） または 16 ビットサンプル（CD レベルの音質）が使用されます。（「Compressor」 ではサンプルあたり 64 ビット浮動小数点と、最高サンプルレート 192 kHz がサ ポートされています。）ディスク容量と帯域幅に制限がある場合は、オーディオ を圧縮する必要があります。ただし、オーディオに必要なディスク容量はビデオ より少ないため、ビデオほど高い倍率で圧縮する必要はありません。 オーディオコーデックの 2 つの重要なコンポーネントは、サンプルレートとサン プルサイズです。サンプルレートはサウンド品質を設定し、サンプルサイズはサ ウンドのダイナミックレンジを設定します。QuickTime オーディオコーデックで は、ソースメディアファイルのサンプルレートとサンプルサイズの両方を設定で きます。 276 第 21 章 QuickTime ムービー出力ファイルを作成するサウンド・サンプル・レート デジタル化されたサウンドは、さまざまな周波数レートで取り込まれるサウンド サンプルから構成されます。1秒当たりのサウンドサンプルが増加すると、サウ ンドの品質も高くなります。たとえば、オーディオ CD では 44.1 kHz のサンプル レートが使用され、DVD では 48 kHz、電話網を介した音声では 8 kHz が使用され ます。サウンドの性質に合わせてサンプルレートを選択してください。音楽は周 波数範囲が広いため、音声よりも高いサンプルレートを選択する必要がありま す。発話音声の周波数範囲は狭いため、低いサンプルレートでも中程度のオー ディオ品質を維持できます。通常は、使用可能なサンプルレートのうち最高の レートを選択してください。 サンプルレートを下げれば、メディアファイルを 5:1 の比率まで縮小することが 可能です。この場合、8ビットのサンプリングを使用したときほどではないもの の、オーディオ品質は劣化します。以下の表は、一般的なサンプルレートと、各 レートで予想される対応オーディオデバイスを示したものです。 サンプルレート 対応オーディオデバイス 48 kHz DAT/DV/DVD 44 kHz CD 22 kHz FM ラジオ 8 kHz 電話 サウンド・サンプル・サイズ サウンド・サンプル・サイズは、サウンドのダイナミックレンジを決定します。 8 ビットのサウンドでは、256 個の値が使用可能で、16 ビットのサウンドでは 65,000 個以上の値が使用可能です。 オーケストラ音楽など、弱い部分と強い部分を両方含む音楽には、16 ビットサ ウンドを選択してください。発話音声や音量レベルがほぼ一定な音楽では、8 ビットサウンドを使用してもよい結果が得られます。 メディアファイルを縮小する必要がある場合は、サンプルサイズを 16 ビットか ら 8 ビットに下げます。これによりファイルサイズが半分になりますが、オー ディオ品質も劣化します。 第 21 章 QuickTime ムービー出力ファイルを作成する 277「Compressor」には、さまざまなフィルタが用意されています（たとえば、カ ラー補正やノイズ除去フィルタなど）。これらのフィルタを使って、トランス コードするプロジェクトの仕上がりに工夫を加えることができます。 この章では以下の内容について説明します： • フィルタを使って作業する (ページ 279) • 「フィルタ」パネルについて (ページ 281) • ビデオの「フィルタ」タブ (ページ 282) • オーディオの「フィルタ」タブ (ページ 290) • 「カラー」タブ (ページ 293) • 設定にフィルタを追加する (ページ 293) フィルタを使って作業する ソース・メディア・ファイルをトランスコードする前にさまざまなフィルタで処 理すれば、ビデオやオーディオの出力品質を高めることができます。最適なフィ ルタ設定を行うには、ソース・メディア・ファイルを視聴して、その内容に適し たものを選ぶようにします。 279 設定にフィルタを追加する 22フィルタをプレビューする 現在のフィルタ設定でクリップの内容をプレビューできます。「バッチ」ウイン ドウでターゲットをクリックすると、「プレビュー」ウインドウに表示されま す。「プレビュー」スクリーンは、オリジナルのメディアファイルを表示する部 分とトランスコード後のメディアファイルを表示する部分に分かれており、バッ チ処理の前にフィルタ設定の効果を確認することができます（効果を確認したい フィルタのチェックボックスを選択していることが必要です）。 Adjustments you make can be viewed in the Preview window. これは、複数のフィルタを適用している場合、それぞれのフィルタがどのように 相互に影響するのかを予測することは難しいため便利です。 重要： ビデオやオーディオにフィルタが適用される順番は、フィルタリストの フィルタの順番で決まります。「プレビュー」ウインドウで予想外の結果になっ た場合は、フィルタの順番を変えてみてください。 満足な設定ができたら、ムービー全体を通してチェックし、変更した設定が極端 に目立ってしまうシーンがないかどうか確かめるとよいでしょう。 メモ: 使用するシステム、ソース・メディア・ファイルのタイプ、適用するフィ ルタの数によっては、フィルタ設定を表示する「プレビュー」ウインドウがアッ プデートされるフレームレートはソースのフレームレートよりも低くなります。 詳細については、プレビューウインドウを使うを参照してください。 280 第 22 章 設定にフィルタを追加する色空間 「Compressor」は、色空間 YUV（R408）、2VUY、RGBA、ARGB、および YUV （v210）に対応しています。フィルタの中には、色空間の変換が必要なものや、 さまざまな色空間に対応しているものがあります。「Compressor」では、メディ アファイルに応じて最適な色空間が選択され、以下の 3 つのパラメータによる色 空間に基づいて最高の出力およびパフォーマンスが得られます：ソースメディア のフォーマット、出力ファイルのフォーマット、および選択されたフィルタで す。また、「出力の色空間」ポップアップメニュー（「カラー」タブ）を使っ て、出力メディアファイルの色空間を手動で調整することもできます。 色空間の調整方法の詳細については、「カラー」タブを参照してください。 「フィルタ」パネルについて 「フィルタ」パネルには、ビデオフィルタ、オーディオフィルタ、および出力メ ディアファイルの色空間調整用のタブが 1 つずつあります。「フィルタ」パネル には、「Compressor」で使用可能なすべてのフィルタが含まれています。 Filter controls Choose video, audio, or color filters Filters list 「インスペクタ」の「フィルタ」パネルにある以下の機能を使って、設定に割り 当てるフィルタを選択および調節することができます。 第 22 章 設定にフィルタを追加する 281メモ: フィルタの設定項目を調整すると、チェックボックスは自動的に選択され ます。あるフィルタを使わないことに決めた場合は、トランスコードの前に、忘 れずにそのフィルタのチェックボックスを選択解除してください。 • フィルタリスト： プリセットに追加したいフィルタの横にあるチェックボッ クスを選択します。選択したフィルタの設定が、「設定一覧」パネルにある設 定一覧テーブルに現れます。フィルタの順序は、フィルタリストで上下にド ラッグして並べ替えることができます。トランスコードでは、これらのフィル タはリストの先頭から一つずつ処理されるので、正しく並べておくことが重要 です。たとえばテキストオーバーレイフィルタは、選択したテキストの色がほ かのフィルタによって変更されないよう、最後に置くようにしてください。 • フィルタコントロール： 使用できるコントロールは、フィルタリストで選択 したフィルタの種類によって異なります。スライダは数値を大きく変更するの に、選択用三角ボタンは数値を 1つずつ変更するのに使えます。設定した数値 が、スライダと選択用三角ボタンの間にあるフィールドに表れます。 ビデオの「フィルタ」タブ 「Compressor」には、以下のビデオフィルタが用意されています。 BlackWhite を元に戻す 黒に近い色を純粋な黒に、白に近い色を純粋な白に変換します。イメージ中のほ かの色には、影響しません。このフィルタを使用すると、イメージ中の白黒の領 域（ルミナンス）の圧縮率を高めることができます。たとえば、バックグラウン ドなどに有効です。2 本のスライダを使って、白と黒それぞれについて 0 〜 100 の範囲で設定することができます。色空間の、このフィルタとの関連の詳細につ いては、色空間を参照してください。 • 黒： 黒について 0 〜 100 の範囲で値を設定します。 • 白： 白について 0 〜 100 の範囲で値を設定します。 282 第 22 章 設定にフィルタを追加する明るさとコントラスト 出力メディアファイルの全体的な色調や輝度の値を変更し、明るくしたり暗くし たりします。QuickTime コーデックの中にはビデオファイルが暗くなるものがあ りますが、このフィルタを使うと、それを補正することができます。-100 〜 100 のどの値でも選べますが、極端な設定は避け、ぼんやりした品質にならないよう にします。 • 明るさ： –100 〜 100 の範囲で明るさを任意の数値に調整します。 • コントラスト： –100 〜 100 の範囲でコントラストを任意の数値に調整します。 カラー補正（ハイライト）、カラー補正（中間色調）、カラー補正（影） 選択したフィルタに合わせて、不正確なホワイトバランスを補正し、クリップの 明るい領域、中間の領域、暗い領域にカラー効果を作ります。赤、緑、青の値 を、それぞれ–100 〜 100 の間で調整します。 • 赤： 赤の値を –100 〜 100 の範囲で調整します。 • 緑： 緑の値を –100 〜 100 の範囲で調整します。 • 青： 青の値を –100 〜 100 の範囲で調整します。 インターレースを除去する インターレースの影響を除去します。 デインターレース処理をする場合は、このデインターレースフィルタ（従来の フィルタ）ではなく、フレームコントロールを使用することをお勧めします。そ の方が、はるかに高い品質を得ることができます。詳細については、フレームコ ントロールを使って作業するを参照してください。 デインターレース処理の一般情報については、デインターレース処理についてを 参照してください。 第 22 章 設定にフィルタを追加する 283「アルゴリズム」ポップアップメニューには以下の（従来の）デインターレース 処理方法が表示されます。 • アルゴリズム： 4 つのデインターレース処理方法から 1 つ選択します。 • ブラー： 奇数／偶数フィールドをブレンドします。この方式は時間的デー タを重視し、イメージの動きをより保ちます。しかし各フィールドはブレン ドされてできていますので、再生を一時停止した場合の画質が低下します。 • 偶数： 偶数フィールドを残して奇数フィールドを取り除き、動きがぼやけ ないようにします。 • 奇数： 奇数フィールドを残して偶数フィールドを取り除き、動きがぼやけ ないようにします。 • シャープ： 両方のフィールドを使い、エッジがシャープになるようにしま す。この方式は空間的データを重視します。 フェードイン／アウト クリップの最初と最後をディゾルブから徐々にマットカラーに変わるようにしま す。 • フェードイン時間： フェードの継続時間を設定します。 • フェードアウト時間： フェードの継続時間を設定します。 • フェードインの不透明度： クリップのビデオの最初のフレームの不透明度を 設定します。値を 0.0 にすると、クリップのビデオのマットカラーが完全に表 示されます。値を 0.5 にすると、クリップのビデオのマットカラーは 50%表示 されます。 284 第 22 章 設定にフィルタを追加する• フェードアウトの不透明度： クリップのビデオの最後のフレームの不透明度 を設定します。値を 0.0 にすると、クリップのビデオのマットカラーが完全に 表示されます。値を 0.5 にすると、クリップのビデオのマットカラーは 50%表 示されます。 • フェードの色： マットカラーを設定します。クリックするとカラーピッカー が表示されるため、ここからフェードする色を選択できます。（フェードイン する色と、フェードアウトする色は同じである必要があります。） ガンマ補正 メディアファイルのガンマ量を変更して、モニタに表示される画像全体の明度を 調整します。イメージを色あせさせることなく、露光不足のクリップからディ テールを取り除いたり、露光過多のクリップの彩度を適当なレベルにまで下げた りするのに、このフィルタを使うことができます。オペレーティングシステムの 異なるコンピュータでは、モニタの設定も異なっています。クロスプラットフォー ムで画像を表示する場合、どんなプラットフォームででもイメージの質がよくな るよう、ガンマ補正を行います。 • ガンマ： 0.1 〜 4.0 の範囲で、ガンマを設定します。 レターボックス イメージを拡大または縮小して、横長レターボックスバーの枠の中に配置しま す。 • タイプ： このポップアップメニューを使って、レターボックスのタイプを選 択します。「拡大／縮小」では、ビデオの縦方向を縮めて、レターボックスの バーの間に収まるようにします。「マット」では、レターボックスのバーが入 る範囲のビデオがクロップされます。 第 22 章 設定にフィルタを追加する 285• 位置： このポップアップメニューを使って、ビデオの配置を選択します。「中 央」では、中央にビデオが位置し、上下にレターボックスバーが表示されま す。「下」では、画面の下にビデオが位置し、その上にレターボックスバーが 1 本だけ表示されます。「上」では、画面の上にビデオが位置し、その下にレ ターボックスバーが 1 本だけ表示されます。 • 出力： このポップアップメニューを使用して、レターボックスに使う特定の アスペクト比を選択できます。それぞれの設定の末尾には、その設定での縦に 対する横の比率が表示されます。たとえば、「アカデミー」設定では、アスペ クト比が「1.85:1」と表示されます。これは、画像の横が縦の 1.85 倍になるこ とを示しています。「手動」設定を選択すると、「手動」スライダを使用して レターボックスのアスペクト比を手動で設定できます。 • 「手動」スライダ： 「出力」ポップアップメニューで「手動」が選択されて いる場合に使用します。レターボックスのアスペクト比を手動で設定できま す。「出力」ポップアップメニューで「手動」が選択されていない場合、「手 動」スライダの設定は無効です。 • 「背景」カラーウェル： レターボックスの色を設定します。このボックスを クリックし、カラーピッカーで背景色を選びます。 ノイズ除去 イメージが含む、ノイズによるランダムな斑点を減少させます。コーデックの中 にはビデオファイルにノイズを生じさせてしまうものがありますが、これを「ノ イズ除去」フィルタで緩和することができます。細かすぎるディテールを減らす ことで、画像の品質を向上させ、素材に対してより効率的な空間的圧縮を行うこ とができます。 286 第 22 章 設定にフィルタを追加するノイズリダクションフィルタは、コントラストの低い部分をにじませ、一方でコ ントラストの高い境界部分の鮮明さを保持してくれます。これは、アダプティブ ノイズリダクションと呼ばれるものです。その効果は人間の目には知覚されませ んが、ソースメディアの最終的な圧縮結果をよりよいものにします。ライブビデ オにこのフィルタを使うことは、特に重要です。 • 適用先： このポップアップメニューを使用して、ノイズを除去するチャンネ ルを選択します。デフォルトは「すべてのチャンネル」で、アルファチャンネ ルを含むすべてのチャンネルでノイズをフィルタ除去します。「クロマチャン ネル」も選択できます。この場合、AYUV 色空間（「Final Cut Pro」の用語では R408）の 2 つのクロマチャンネル、U および V のみで、ノイズをフィルタ除去 します。 • 繰り返し： このポップアップメニューで、イメージのノイズを滑らかにしま す。選択したアルゴリズムをソースメディアファイルに何回適用したいか、選 んでください（1 回〜 4 回）。次の処理は常に、前の処理で変更されたイメー ジから開始します。繰り返しが多いほど、イメージはぼやけます。 • アルゴリズム： 以下のアルゴリズムのうちから 1 つを、「アルゴリズム」ポッ プアップメニューで選びます：「平均」では、各ピクセルの色が、その色値自 体も含めた周囲のピクセルの色の平均値によって変更されます。「置き換え」 では、各ピクセルの色が周囲のピクセルの色の平均値によって変更されます が、自分自身の色は平均に含まれません。「連結」では、各ピクセルの色が、 それ自体も含めた周囲のピクセルの色の加重平均値によって変更されます。そ のピクセル自体の色値により大きな重みが与えられます。 第 22 章 設定にフィルタを追加する 287エッジをシャープにする 被写体のエッジ（縁）周辺のイメージコントラストを上げます。コーデックには ビデオイメージをぼやけさせるものがあります。このフィルタは、ソース素材の ぼやけやノイズ除去によるにじみ効果を抑え、イメージのシャープネスを上げて はっきり見えやすくします。極端な設定で使うと、出力メディアファイルでは粒 だって見えることがあります。0 〜 100 の範囲で設定します。 • 適応量： 0.0 〜 100.0 の範囲で、シャープネスを設定します。 テキストオーバーレイ イメージにテキストをスーパーインポーズします。関連する文字情報を出力メ ディアファイルに貼り付けるのに、便利なツールです。 以下のコントロールを使って、テキストの位置を決め、色やフォントを選び、不 透明度を設定します。 • 位置： イメージクリップ中での、テキストの位置を決定します。13 種類の位 置から 1 つを選択します。たとえば、「中央」、「左下」、「左下 - タイトル セーフ」などがあります。 • アルファ： このスライダで、テキストの不透明度を設定します。0〜 1 の範囲 から選びます。0 ではテキストが完全に透明になり、1 では完全に不透明にな ります。 • オーバーレイテキスト： ここにテキストを入力します。 • テキストの色： このボックスをクリックし、カラーピッカーでテキストの色 を選びます。 • フォントを選択： このボタンをクリックすると、フォントを選択するパレッ トが開き、フォント、スタイル、サイズを選択できます。 288 第 22 章 設定にフィルタを追加するタイムコードジェネレータ クリップのタイムコードテキストをイメージにスーパーインポーズします。ま た、ラベルをタイムコードテキストに追加できます。 • 位置： イメージクリップ中での、タイムコードテキストの位置を決定します。 13 種類の位置から 1 つを選択します。たとえば、「中央」、「左下」、「左 下 - タイトルセーフ」などがあります。 • アルファ： このスライダで、タイムコードテキストの不透明度を設定します。 0 〜 1 の範囲から選びます。0 ではテキストが完全に透明になり、1 では完全 に不透明になります。 • ラベル： タイムコード値の左に表示するテキストをここに入力します。 • 「タイムコード 00:00:00:00 で開始」チェックボックス： タイムコードの開始 を 00:00:00:00 にする場合は、このチェックボックスを選択します。選択を解除 すると、クリップのタイムコードが使われます。 • テキストの色： カラーピッカーでタイムコードテキストの色を選択するには、 このボックスをクリックします。 • フォントを選択： このボタンをクリックすると、フォントを選択するパレッ トが開き、フォント、スタイル、サイズを選択できます。 ウォーターマーク イメージにウォーターマーク（透かし）をスーパーインポーズします。出力メ ディアファイルにロゴを貼り付けたりするのに、便利なツールです。ウォーター マークフィルタは、出力メディアファイルのウォーターマークとして、静止画像 とムービーのどちらでも適用できます。 第 22 章 設定にフィルタを追加する 289以下のポップアップメニュー、フィールド、スライダを使ってウォーターマーク の位置とサイズを決め、不透明度を設定します。 • 「位置」ポップアップメニュー： このポップアップメニューを使用して、イ メージクリップにウォーターマークのイメージを配置することができます。13 種類の位置から 1 つを選択します。たとえば、「中央」、「左下」、「左下 - タイトルセーフ」などがあります。 • 拡大／縮小率： このスライダで、ウォーターマークのイメージのサイズを設 定します。 • アルファ： このスライダで、ウォーターマークのイメージの不透明度を設定 します。0 〜 1 の範囲から選びます。0 ではウォーターマークのイメージが完 全に透明になり、1 では完全に不透明になります。 • 「繰り返し」チェックボックス： クリップをウォーターマークとして選択す る場合に使います。このチェックボックスで、ウォーターマーククリップを ループ再生できます。このチェックボックスを選択しない場合、ウォーター マーククリップは終了まで再生されてから表示されなくなります。 • 「選択」ボタン： このボタンをクリックすると、ファイル選択のダイアログ が開きます。保存されているウォーターマークのムービーや静止画像を選択す ることができます。 オーディオの「フィルタ」タブ 「Compressor」には、以下のオーディオフィルタが用意されています。 重要： QuickTime の設定でオーディオが「パススルー」に設定されている場合、 オーディオフィルタは使用できません。詳細については、QuickTime ムービーの 「エンコーダ」パネルについてを参照してください。 ダイナミックレンジ クリップのオーディオレベルを、音の静かな部分を強調したり大きな部分を下げ たりすることで、動的に制御できます。オーディオレベル圧縮ともいいます。 • レンジ超過のソフト化： このレベルより上にあるオーディオを「マスターゲ イン」で設定されているレベルまで落とします。 290 第 22 章 設定にフィルタを追加する• ノイズのしきい値： ノイズとするレベルを設定します。このレベルのオーディ オを「マスターゲイン」で設定されているレベルまで動的に上げます。このレ ベルより下のオーディオはそのままになります。 • マスターゲイン： 動的に圧縮するオーディオの平均レベルを設定します。 ピークリミッタ クリップで許容されるオーディオの最大音量を設定します。 • ゲイン（dB）： 大きすぎるピークを抑える場合に基準となるレベルを設定し ます。 Apple：AUGraphicEQ Apple AUGraphicEQ を使って、可聴周波数範囲全体のさまざまな周波数の設定が できます。31 帯域または 10 帯域のバージョンを選択できます。 • 「オプション」ボタン： 「Apple：AUGraphicEQ」インターフェイスを開きま す。 第 22 章 設定にフィルタを追加する 291• Apple：AUGraphicEQ： このイコライザーのインターフェイスにあるポップアッ プメニューから、イコライザーのバージョンとして「31-band」または 「10-band」のいずれかを選択します。スライダを使って、–20 dB 〜 20 dB の範 囲で各帯域のレベルを調整するか、帯域を選択して dB フィールドに数値を入 力します。ポインタをドラッグすると、複数の帯域を選択できます。Control キーを押しながら帯域の上をドラッグして、イコライゼーションカーブを「描 く」こともできます。「フラット化 EQ」ボタンをクリックすると、全帯域が 0.0 dB 値に設定されます。 フェードイン／アウト クリップの最初と最後に無音から、または無音に（または設定したゲインレベ ル）徐々に変化するミックスを追加します。 メモ: 「フェードイン／アウト」と「ダイナミックレンジ」フィルタを同時に使 う場合は、フィルタリストで「ダイナミックレンジ」フィルタの方が「フェード イン／アウト」フィルタよりも前にあるようにしてください。 • フェードイン時間： クリップの最初で、クリップのオーディオがゲイン値か ら通常のオーディオレベルに変わるまでのミックスの継続時間を設定します。 • フェードアウト時間： クリップの最後で、クリップのオーディオが通常のレ ベルからゲイン値に変わるまでのミックスの継続時間を設定します。 • フェードインのゲイン： ミックスを開始するレベルを設定します。値を–100.0 にすると無音になり、0.0 にするとオーディオはそのままになります。 292 第 22 章 設定にフィルタを追加する• フェードアウトのゲイン： ミックスを終了するレベルを設定します。値を –100.0 にすると無音になり、0.0 にするとオーディオはそのままになります。 「カラー」タブ 「出力の色空間」ポップアップメニューを使って、出力メディアファイルの色空 間を手動で調整することができます。 「カラー」タブには、以下の項目があります。 • 「出力の色空間」ポップアップメニュー： 出力メディアファイルの色空間を 調整するには、以下のオプションから選択します。 • エンコーダのデフォルト： ターゲットのフォーマットに対して標準の色空 間を使用します。 • ソースと同じ： ソースメディアファイルの色空間を維持します。 • SD (601)： SD メディアファイルに対して標準の色空間を使用します。 • HD (709)： HD メディアファイルに対して標準の色空間を使用します。 設定にフィルタを追加する 「インスペクタ」ウインドウの「フィルタ」パネルを使って、設定にフィルタを 追加します。 設定にフィルタを追加するには 1 「設定」タブを開きます。 第 22 章 設定にフィルタを追加する 2932 「設定」タブで変更する設定を選択します。（または、すでに「バッチ」ウイン ドウでソースメディアのファイルに適用済みの設定を選択します。こうすると、 「プレビュー」ウインドウを開いて、フィルタ調整の効果を確認することができ ます。） 3 「インスペクタ」の「フィルタ」パネルをクリックします。 4 設定に追加したいフィルタを調整します。 メモ: フィルタに何らかの調整を加えると、自動的にチェックマークが現れま す。 Any changes you make to a filter’s settings apply to the currently selected filter. The filter is automatically selected if you make any adjustments to it. 5 フィルタリストの中でフィルタを上下にドラッグし、トランスコード中ソースメ ディアファイルに適用したい順序に並べ替えます。 Drag filters up or down to set the order in which you want them to be applied to the source media file. 294 第 22 章 設定にフィルタを追加するトランスコーディングでは、これらのフィルタがリストの先頭から 1 つずつ処理 されるので、意図した順序に並べておくことが重要です。たとえばテキストオー バーレイフィルタは、選択したテキストの色がほかのフィルタによって変更され ないよう、最後に置くようにしてください。 フィルタを移動する場合は、「Compressor」で設定に適用されるフィルタの指定 が失われないように、忘れずに目的のチェックボックスを選択します。移動した フィルタを選択した後に別の設定を選択しようとした場合は、確認のため「保 存」ダイアログが現れ、先の設定に行った変更を保存するか元に戻すか尋ねま す。デフォルトの設定では、選択したフィルタ全部がリストの最初に表示されま す。 メモ: 設定の詳細は、「インスペクタ」ウインドウの「設定一覧」パネルで確認 することができます。 詳細については、「フィルタ」パネルについてを参照してください。 第 22 章 設定にフィルタを追加する 295フレームコントロールでは、高度なイメージ解析を使って、タイミング変更やサ イズ変更をはじめとするさまざまな洗練されたビデオエフェクトを実行します。 高度なイメージ解析を取り入れた フレームコントロールを使うことで、 「Compressor」ではさまざまなソースフォーマットを数多くのターゲットフォー マットに高品質でトランスコードできます。 この章では以下の内容について説明します： • 「フレームコントロール」パネルについて (ページ 297) • 設定にフレームコントロールを追加する (ページ 303) • デインターレース処理について (ページ 304) • リバーステレシネについて (ページ 305) • タイミング変更コントロールを使う (ページ 308) 「フレームコントロール」パネルについて フレームコントロールを使うと、以下の処理で、高価なハードウェアソリュー ションを使わなければ不可能だった品質が得られます： • ビデオファイルと国際テレビ規格の間のコンバート。たとえば、PAL から NTSC へ、または NTSC から PAL へ。 • 高精細度（HD）ビデオソースから標準精細度（SD）へのダウンコンバート、 または SD から HD へのアップコンバート。 • プログレッシブスキャンのストリームからインターレース・スキャンのスト リームへの変換、またはインターレースからプログレッシブへの変換。 • 高品質のスローモーションエフェクトなど、高品質のフレームレート調整。 • テレシネプルダウンの自動削除（リバーステレシネ）。 フレームコントロールの作業には、「設定」タブにある「高度なフォーマット変 換」設定グループが特に関係します。 297 フレームコントロールを使って 作業する 23重要： 「フレームコントロール」設定は、「プレビュー」ウインドウでプレ ビューできません。「フレームコントロール」設定をプレビューするには、ソー ス・メディア・ファイルの小さな一部分でテスト・トランスコードを実行しま す。（詳細については、プレビューウインドウでクリップの一部をトランスコー ドするを参照してください。） 設定に割り当てるフレームコントロールの属性を選択および調整するには、イン スペクタにある「フレームコントロール」パネルで、以下の機能を使います。 Resizing controls Retiming controls Frame Controls pop-up menu Automatic button 「フレームコントロール」領域 このポップアップメニューで、フレームコントロール機能を有効または無効にし ます。対応する自動ボタンを使って、自動モードを有効または無効にします。 Frame Controls Automatic button • 「フレームコントロール」ポップアップメニュー： このポップアップメニュー で、「フレームコントロール」パネルを有効または無効にします。 • オフ： ほとんどの「Apple」プリセットのデフォルト設定です。Compressor プロジェクトで、フレームサイズ、フレームレート、または優先フィールド を変更しない場合に「オフ」を選択してください。 • オン： 「フレームコントロール」パネルのすべての属性を手動で調整でき ます。 • 自動ボタン： このボタンを選択すると、「Compressor」でトランスコードの ジョブが解析され（ソースのメディアファイルと、適用されている設定）、フ レームコントロールの適正な属性が自動的に決定されます。詳細については、 自動設定についてを参照してください。 298 第 23 章 フレームコントロールを使って作業する自動モードの場合、フレームコントロールのテクノロジーが適用されるのは以 下の 2 つのトランスコードのみです： • 高精細度（HD）のソースから標準精細度（SD）MPEG-2出力ファイルへのト ランスコード • インターレースされたソースから H.264（Apple デバイス用）（プログレッシ ブ）出力ファイルへのトランスコード 「サイズ変更のコントロール」領域 この領域の各コントロールで、フレームのサイズ変更に使うアルゴリズムを選択 できます。 • サイズ変更フィルタ： このポップアップメニューから、以下のサイズ変更オ プションを選択できます。ここでの選択は、解像度の変更を伴うプロジェクト について、より短い処理時間と、より高い画質という、相反する要素のバラン スや優先順位を考慮した上で決定してください。 • 高速（直近ピクセル）： このオプションでは、処理時間が最も短くなりま す。 • 高品質（リニアフィルタ）： このオプションでは、処理時間と出力品質と いう、相反する要素のバランスおよび優先順位が中程度になります。 • 最高品質（統計予測）： このオプションでは、出力品質は最高になります が、時間がかかります。 • 出力フィールド： このポップアップメニューで、出力のスキャン方式を選択 できます（フィールド優先またはプログレッシブスキャンへの変換）。 • ソースと同じ： スキャン方式は変更されません。 • プログレッシブ： フレームの全体を通して（フィールドに分割しないで） スキャンする方式です。この設定は常に高品質が得られるため、 「Compressor」のデインターレースフィルタ（「フィルタ」パネルにある従 来のフィルタ）の代わりに使います。 • 上を優先： インターレース方式の優先フィールド（フィールドオーダー） を指定します。これは優先フィールド 2、上フィールド、または奇数フィー ルドとも呼ばれます。 第 23 章 フレームコントロールを使って作業する 299• 下を優先： インターレース方式の優先フィールド（フィールドオーダー） を指定します。これは、優先フィールド 1、下フィールド、または偶数フィー ルドとも呼ばれます。 • デインターレース： このポップアップメニューでデインターレースの方法を 選択します。設定する際、フレーム内の動きのある領域のデインターレース後 の品質と処理の速さとの間でトレードオフを考慮します。いずれの場合でも、 デインターレースオプションの品質を上げれば、すぐ下の品質のオプションと 同じかそれ以上の結果が得られます。ただし、同時にフレームのサイズも縮小 する場合は、品質が上がったように見えないことがあります。このような場合 は、縮小するサイズにもよりますが、「高速」または 「高品質」でも十分な 品質が得られます。 デインターレース処理の一般情報については、デインターレース処理について を参照してください。 重要： どのオプションでも最高質の設定を選択すると、処理時間が予想より も長くなる場合があります。フレームのデインターレースに加えてフレームサ イズの縮小も行う場合は、縮小するサイズにもよりますが、「高速」または 「高品質」でも十分な品質が得られます。 メモ: 「デインターレース」ポップアップメニューが常に有効であっても、 「Compressor」はデインターレースを必要とするジョブのみをデインターレー スします。（たとえば、ソースがインターレースされており、「出力フィール ド」ポップアップメニューが「プログレッシブ」に設定されている場合、 「Compressor」はデインターレースを行います。ソース・メディア・ファイル がプログレッシブの場合、「Compressor」はデインターレースを行いません。） • 高速（線補正）： フレーム内の隣接する線を補正します。 • 高品質（動き適応）： イメージの動きのある部分で標準品質が得られるデ インターレースを行います。 • 最高品質（動き補正）： イメージの動きのある部分で高品質が得られるデ インターレースを行います。 • リバーステレシネ： テレシネ処理でフィルムの 24 fps から NTSC の 29.97 fps に変換する際に追加された余分なフィールドを削除します。この項目を選択 すると、「フレームコントロール」パネルのその他のすべての項目が無効に なります。3:2 プルダウンとリバーステレシネ機能の使いかたの詳細につい ては、リバーステレシネについてを参照してください。 300 第 23 章 フレームコントロールを使って作業する• 適応の詳細： 選択すると、高度なイメージ解析でノイズとエッジ領域が区別 されます。 • アンチエイリアス： 柔らかさのレベルを 0 〜 100 で設定するにはこのスライ ダを使います。このパラメータはメディアを拡大する際の変換の品質を高めま す。たとえば、標準精細度ビデオを高精細度にトランスコードする場合、イ メージにぎざぎざに表示されるエッジがあってもアンチエイリアスで滑らかに なります。 • 詳細レベル： このスライダで、シャープなエッジを維持するレベルを 0 〜 100 の範囲で設定します。これは、シャープニングコントロールで、イメージを拡 大しても元の細かさに戻すことができます。ほかのシャープニング操作と異な り、「詳細レベル」設定ではノイズと輪郭の詳細さが区別できるため、通常は 必要以上に画像が粗くなることはありません。このパラメータの値を増やす と、エッジがぎざぎざになることがありますが、アンチエイリアスレベルを上 げれば解消できます。 メモ: 「適応の詳細」、「アンチエイリアス」、「詳細レベル」は、フレーム サイズ変更（拡大／縮小）にのみ関連します。デインターレースには関係あり ません。 「タイミング変更のコントロール」領域 この領域の各コントロールで、フレームレートの調整に使うアルゴリズムを選択 できます。 メモ: タイミング変更コントロールを使ってビデオの速度を変更する場合、 「Compressor」は出力メディアファイルのオーディオ部分も調整するため、ビデ オとオーディオは同期したままになります。タイミング変更コントロールは、 オーディオのピッチには影響しません。これらのオプションの使いかたの詳細に ついては、タイミング変更コントロールを使うを参照してください。 • レート変換： このポップアップメニューを使って、フレームのタイミング変 更（フレームレートの変更）を行う方法を以下の中から選択します。これは、 短い処理時間と、より高い出力品質という、相反する要素のバランスおよび優 先順位を考慮して決定してください。多くの場合、「高品質」設定は、「最高 品質」設定よりも処理時間を短縮しながら、十分に高品質の変換を実現できま す。 第 23 章 フレームコントロールを使って作業する 301重要： どのオプションでも最高質の設定を選択すると、処理時間が予想より も長くなる場合があります。レート変換を行う場合「高品質」設定は、「最高 品質」設定よりも処理時間を短縮しながら、十分に高品質の変換を実現できま す。 • 高速（直近フレーム）： フレームブレンディングは適用されません。 「Compressor」は、利用できる最も近いフレームのコピーを使って新規の中 間フレームを埋めます。 • 標準品質（フレームブレンディング）： 隣り合うフレームを平均して、新 規に中間フレームを作成します。 • 高品質（動き補正）： オプティカルフローを使ってフレームを補間し、高 品質の結果を実現します。 • 最高品質（高品質動き補正）： オプティカルフローを使ってフレームを補 間し、より高品質の結果を実現します。このオプションは、フレームレート を（たとえば 23.98 fps から 59.94 fps に）増やす必要があるトランスコードで 特に役立ちます。 • 継続時間の設定： クリップの継続時間を新しい継続時間に変換する方法を次 の 3 つの中から選択します。 Selection pop-up menu • （ソースに対する割合）： クリップの速度を変更する割合値で入力するか、 ポップアップメニューから特定の状況を選択します。このラジオボタンのオ プションの詳細については、割合を入力するを参照してください。 • 継続時間の設定： クリップの継続時間を選択します。このラジオボタンの オプションの詳細については、継続時間を入力するを参照してください。 • ソースフレームが [フレームレート] fps で再生されるようにする： ソース・ メディア・ファイルのフレームレートが「エンコーダ」パネルのフレーム レート（この項目のフレームレートとして表示されている）と一致しない場 合に使います。このラジオボタンのオプションの詳細については、フレーム を「エンコーダ」パネルの「フレームレート」設定で再生するを参照してく ださい。 302 第 23 章 フレームコントロールを使って作業する設定にフレームコントロールを追加する 「インスペクタ」ウインドウの「フレームコントロール」パネルで、設定にフ レームのサイズ変更やタイミング変更の調節を追加することができます。 フレームコントロールの自動調整を設定に追加するには 1 「設定」タブを開きます。 2 「設定」タブで変更する設定を選択します。（または、すでに「バッチ」ウイン ドウでソースメディアのファイルに適用済みの設定を選択します。） 3 「インスペクタ」ウインドウの「フレームコントロール」タブをクリックしま す。 4 「フレームコントロール」ポップアップメニューの隣にある自動ボタンをクリッ クします。 「Compressor」でトランスコードのジョブが解析され（ソースのメディアファイ ルと、適用されている設定）、フレームコントロールの適正な属性が自動的に決 定されます。 自動モードの場合、フレームコントロールのテクノロジーが適用されるのは以下 の 2 つのトランスコードのみです： • 高精細度（HD）のソースから標準精細度（SD）MPEG-2出力ファイルへのトラ ンスコード • インターレースされたソースから H.264（Apple デバイス用）（プログレッシ ブ）出力ファイルへのトランスコード フレームコントロールのカスタム調整を設定に追加するには 1 「設定」タブを開きます。 2 「設定」タブで変更する設定を選択します。（または、すでに「バッチ」ウイン ドウでソースメディアのファイルに適用済みの設定を選択します。） 3 「インスペクタ」ウインドウの「フレームコントロール」タブをクリックしま す。 4 「フレームコントロール」ポップアップメニューから「オン」を選択します。 「オン」を選択すると、「フレームコントロール」パネルにあるすべての属性を 手動で調整できるようになります。 メモ: 自動ボタンがアクティブな場合は、まずそれをクリックしてオフにする必 要があります。 5 「フレームコントロール」パネルで、必要に応じてコントロールを変更します。 （各項目の詳細については、「フレームコントロール」パネルについてを参照し てください。） 6 「保存」をクリックして、変更を保存します。 第 23 章 フレームコントロールを使って作業する 303デインターレース処理について 「Compressor」のフレームコントロール機能を使って、ビデオメディアをデイン ターレースすることができます。 NTSC および PAL のビデオは、インターレースされています。つまり、ビデオの 各フレームが（1／60 秒間隔の）2 つのフィールドで構成されており、一方では 奇数の走査線が、他方では偶数の走査線が画像を表示します。この 2 つのフィー ルドの違いが、動きの感じを生み出します。視覚処理により 2 つのイメージがフ レームに合成され、標準精細度のテレビの場合は、30 fps の滑らかで本物らしい 映像になります。また、フィールドの更新が高速（1秒の 60分の 1）なので、イ ンターレース処理が目に付くことはありません。 インターレースではフレームごとに 2 つのフィールドがあるので、フレームの中 で動きがあまりにも速い部分は、分割された像が交互に重なってぎざぎざに見え ます。ソースメディアから 1 フレームを表示すると、動く物体が軌跡を描くふち に沿って、水平の縞模様を確認することができます。これが見えたら、ソースメ ディアからインターレースを除去してフレームベースのフォーマットに変換する 必要があります。 Interlacing creates a “comb” effect that should be removed. 304 第 23 章 フレームコントロールを使って作業するソースメディアをフレームベースのフォーマットに変換したい場合は、インター レースの影響を除去する必要があります。コンピュータのディスプレイでイン ターレースが表示されると、ビデオの中で動きの速い部分がぼやけて見えること があります。デスクトップまたは Web での再生用に QuickTime ムービーを作成 する場合には、特に重要です。上（奇数）フィールド、または下（偶数）フィー ルドを、インターレースされたビデオファイルから取り除くことができます。ク リップの動きの滑らかさが多少失われることもあります。たとえば小さい文字を 使ったタイトル画面のような、細い垂直線を含む静止画像フレームでは、イン ターレースによってちらつきが生じることがあります。このフィルタは、そう いったちらつきを抑えるのにも使えます。取り除かれたフィールドが補間されて 画像の全体が作られ、ソフトなイメージになります。 リバーステレシネについて 「デインターレース」ポップアップメニューには、リバーステレシネ処理用の設 定があります。 リバーステレシネについて フィルムの 24 fps を NTSC ビデオの 29.97 fps に変換する一般的な方法は、3:2プル ダウン（2:3:2:3 プルダウンともいいます）です。フィルムの 1 つのフレームを 2 フィールド録画し、その次のフレームを 3 フィールド録画するという作業を交互 に行うと、フィルムの 1 秒間の 24 フレームがビデオの 1 秒間の 30 フレームにな ります。 A A B B B C C D D D A B C D A B C D A B C D A B C D A B C D A B C D A A B B B C C D D D A A B B B C C D D D A A B B B C C D D D A A B B B C C D D D A A B B B C C D D D A B C D A A B B B C C D D D Field 1 Field 2 Field 1 Field 2 Field 1 Field 2 Field 1 Field 2 Field 1 Field 2 3:2 Pull-Down One second Before (23.98 fps) After (29.97 fps) 第 23 章 フレームコントロールを使って作業する 305上記のように、3:2 パターン（実際には、フレーム A が 2 フィールドに録画され て、その次のフレーム B が 3 フィールドに録画されるため 2:3:2:3 パターンにな る）は、4つのフィルムフレームごとに繰り返されます。事実、すべての高品質 のコマーシャル、ムービー、生放送ではないテレビ番組は、放映前にこの処理が 行われます。 ビデオに編集処理やエフェクトを加えるために、余分なフィールドを削除してビ デオを元の 23.98 fps レートに戻したい場合があります。さらに、元の 23.98 fps レートに戻すと、PAL 25 fps レートに簡単に変換できるという利点もあります。 また、フレームレートを下げると、ビデオの 1 秒当たりのフレーム数が少なくて 済むため、ファイルサイズが小さくなります。リバーステレシネ機能を使えば、 これらが簡単に実行できます。 A A B B B C C D D D A A B B B C C D D D A A B B B C C D D D A A B B B C C D D D A A B B B C C D D D A A B B B C C D D D A B C D A B C D A B C D A B C D A B C D A B C D A B C D A A B B C C D D Field 1 Field 2 Field 1 Field 2 Field 1 Field 2 Field 1 Field 2 D Field 2 B Field 1 Before (29.97 fps) After (23.98 fps) One second 3:2 Pull-Down Removal カデンツについて フィルムを NTSC ビデオにテレシネ処理すると、一定のカデンツが見られます。 つまり、3:2 パターンは一貫しており、中断されることがありません。一定のカ デンツが見られるクリップは、パターンを一度確認するだけで済むため、比較的 簡単にテレシネを取り除くことができます。 テレシネ処理したクリップを NTSC ビデオとして編集すると、最終的には、3:2 パ ターンが一貫していないためカデンツが壊れているビデオファイルが作成されま す。このクリップからテレシネを取り除いて 23.98 fps ビデオを作成する作業は、 常にカデンツを確認して不正なフィールドを間違って選択しないようにする必要 があるため非常に困難です。 306 第 23 章 フレームコントロールを使って作業する「Compressor」に付属しているリバーステレシネ機能は、壊れているカデンツを 自動的に検出し、必要に応じて処理を調整できます。 その他のリバーステレシネに関する問題 リバーステレシネ機能を使う際に注意すべき問題があります。 ほかのフレームコントロール設定はすべて無効にする リバーステレシネ機能では、プログレッシブの 23.98 fps ビデオを作成することが 目的であるため、「フレームコントロール」パネルのほかのすべてのオプション は「リバーステレシネ」を選択しているときには無効にします。 リバーステレシネとセグメント化エンコーディングについて 本来、予想が困難な処理であるため、リバーステレシネ処理でのセグメント化エ ンコーディングは、リバーステレシネを使っていない場合ほど効率的には機能し ません。 トランスコード処理の一時停止について トランスコード処理を一時停止してから再開する場合、トランスコードは最初か ら始める必要があります。 リバーステレシネ処理時に PAL ビデオを作成する 23.98 fps や 24 fps ビデオを再生速度を 4%上げて PAL の 25 fps レートに変換する 方法は一般的です。テレシネ処理で得られた NTSC 29.97 fps ビデオは、2つのジョ ブを実行して PAL ビデオに変換できます。 • 最初のジョブ： リバーステレシネ処理を実行する設定をジョブに適用し、 23.98 fps の NTSC フレームサイズを作成します。 メモ: ビデオを PAL に変換する設定も適用できますが、フォーマット変換が「フ レームコントロール」を使って実行されないため、最適な品質ではない場合が あります。 • 2 番目のジョブ： 最初のジョブを選択して、「ジョブ」＞「ターゲット出力を 使って新規ジョブを作成」と選択し、2 番目のジョブを作成します。これで、 最初のジョブの出力に連鎖したジョブが作成されます。出力フォーマットを PAL に設定した設定を適用し、フレームコントロール機能を使って高品質の出 力ファイルを作成できます。 ジョブの連鎖の詳細については、ジョブの追加とコピーについてを参照してく ださい。 第 23 章 フレームコントロールを使って作業する 307タイミング変更コントロールを使う タイミング変更コントロールの一般的な用途は 2 つあります。 • ビデオのフレームレートを別のフレームレートに変換する： NTSC から PAL フ レームレートへの変換や PAL から NTSC フレームレートへの変換などがありま す。この機能は、「レート変換」ポップアップメニューの設定のみを使用し、 必要に応じて自動的に設定されます。 • ビデオの速度をまったく別の速度に変換する： 既存のフレームを異なるレー トで再生する場合です。また、スローモーションのエフェクトの場合は、中間 フレームを生成する必要があります。 いずれの場合でも、ソース・メディア・ファイルにオーディオが含まれている場 合、オーディオの速度も変更されます。その際オーディオのピッチは補正される ため、速度を変えてもサウンドはオリジナルと同じなります。これによって、ビ デオとオーディオの同期を維持できます。 タイミング変更コントロールを使った設定をプレビューする場合、ビデオは新し いフレームレート（速度）で再生されますが、フレームコントロールによる処理 は受けないため、実際にトランスコードされた出力ファイルよりも品質は低くな ります。設定のプレビュー時、オーディオのピッチは補正されます。 重要： QuickTime ムービー出力フォーマットの設定でタイミング変更コントロー ルを使っている場合、オーディオ設定に「パススルー」を選択すると、オーディ オの速度は変更されないため、ビデオとの同期が維持されます。詳細について は、QuickTime ムービーの「エンコーダ」パネルについてを参照してください。 ビデオの速度をまったく別の速度に変換する タイミング変更コントロールでは、再生速度を 3 通りの方法で設定できます。 出力メディアファイルの再生速度は、以下の方法で決定できます。 • 割合を入力する • 継続時間を入力する • フレームを「エンコーダ」パネルの「フレームレート」設定で再生する 割合を入力する 割合を入力してクリップの継続時間を決める方法には、2つのオプションがあり ます： • 割合の値を入力する 308 第 23 章 フレームコントロールを使って作業する• プリセット値を選択する プリセットは、特定の状況で使われることを想定して用意されています。 • 24 @ 25： 24 fps ビデオを PAL 方式の 25 fps に変換する場合です。 • 23.98 @ 24： 23.98 fps ビデオを 24 fps に変換する場合です。 • 23.98 @ 25： 23.98 fps ビデオを PAL 方式の 25 fps に変換する場合です。 • 30 @ 29.97： 30 fps ビデオを 29.97 fps に変換する場合です。 • 29.97 @ 30： 29.97 fps ビデオを 30 fps に変換する場合です。 • 24 @ 23.98： 24 fps ビデオを NTSC DVD 方式の 23.98 fps に変換する場合です。 どのオプションを選択しても、中間ビデオフレームは必要ありません。既存のフ レームが速くまたは遅く再生されるように設定されるだけです。 継続時間を入力する 継続時間のフィールドには、クリップの現在の継続時間が表示されます。継続時 間を変更すると、それに合わせて割合値も変更されます。 このオプションは、ソース・メディア･ファイルの継続時間が必要とする時間よ りもわずかに長い、または短い場合に、ビデオフレームの追加や削除を行うので はなく、再生速度を変えて対応する場合に便利です。 この方法では、中間ビデオフレームが必要に応じて作成されます。 フレームを「エンコーダ」パネルの「フレームレート」設定で再生する このオプションは、ソース・メディア・ファイルのフレームレートが「エンコー ダ」パネルの「フレームレート」設定と異なる場合に使います。 第 23 章 フレームコントロールを使って作業する 309「インスペクタ」ウインドウの「ジオメトリ」パネルでは、設定を詳細に調整で きます。 この章では以下の内容について説明します： • クロップ、拡大／縮小、パディングを使って作業する (ページ 311) • 「画角設定」パネルについて (ページ 313) • 画角設定を調整する (ページ 318) クロップ、拡大／縮小、パディングを使って作業する 「ジオメトリ」パネルには、出力イメージに影響を与えるために使える 3 種類の 方法があります。 クロップ イメージをクロップすると、ビデオのコンテンツを削除することになります。こ のようなコンテンツは、多くの場合不必要なイメージ領域（たとえば、テレビに は必要ですが、コンピュータには不必要なオーバースキャン領域など）であり、 残った部分を同じフレームサイズでより大きく見えるようにできます。 また、クロップの「ソースのレターボックスエリア」設定を使えば、イメージの エッジを検出して、それらに合致するクロップ値を自動的に入力することができ ます。この設定は特に、ソース・メディア・ファイルのレターボックス領域を切 り取る場合に便利です。 クロップ設定を調整すると、出力ビデオファイルのフレームサイズに以下のいず れかが生じます： • 「ジオメトリ」パネルの「サイズ（エンコード後のピクセル）」セクションの 「フレームサイズ」ポップアップメニューで、「ソースの 100%」、「ソース の 50%」、「ソースの 25%」以外の設定を選択すると、フレームサイズは同じ ままになります。つまり、ソースビデオのイメージは出力ビデオファイルのフ レームサイズに合わせて拡大されるため、ピクセルが大きくなり、イメージ全 体の品質が低下します。 311 画角設定を追加する 24• 「ジオメトリ」パネルの「サイズ（エンコード後のピクセル）」セクションの 「フレームサイズ」ポップアップメニューで、「ソースの 100%」、「ソース の 50%」、「ソースの 25%」の設定を選択すると、フレームサイズはクロップ 量だけ縮小されます。この場合、非標準のフレームサイズになることがありま す。 クロップ設定は、「ジオメトリ」パネルの「ソースの挿入（クロップ）」セク ションにあります。 拡大／縮小 拡大／縮小は、ソースイメージをまったく削除せずに、出力ビデオファイルのフ レームサイズを変更できる方法です。ほとんどの場合、拡大／縮小では、出力メ ディアイメージのサイズを小さくして、ストレージのスペースを節約したり、 ビットレートを低く抑えたりします。 「Compressor」には、出力メディアファイルのイメージサイズの拡大／縮小を行 う基本的な方法が 4 つ用意されています。 • ソースサイズの割合を選択する： 割合に基づいて 3 つの設定でソースイメー ジを拡大／縮小します（「ソースの 100%」、「ソースの 50%」、「ソースの 25%」）。ソースイメージのフレームサイズに加えて、クロップ値も出力ビデ オの実際のフレームサイズに影響します。 • 最大のフレームサイズを選択する： 6つの設定でソースイメージを拡大／縮小 し、元のアスペクト比を維持して、選択したフレームサイズを超えない範囲で できるだけ大きくします。 • 特定のフレームサイズを選択する： 選択可能な標準のフレームサイズ設定が いくつかあります。たとえば、720×486、720×576 などです。これらのいずれ かを選択すると、出力ビデオファイルのフレームサイズはこの設定に合わせら れます。 • カスタム値を入力する： カスタムのフレームサイズを入力できます。さらに、 カスタムのフレームサイズを一般的なアスペクト比、4:3 や 16:9 などに強制的 に合わせることができます。カスタムのフレームサイズを入力すると、出力ビ デオファイルのフレームサイズはこの設定に合わせられます。 また、共通設定のポップアップメニューから選択して出力イメージのピクセルア スペクト比を定義することもできます。 メモ: 拡大／縮小設定が有効になるのは、MPEG-4、QuickTime ムービー、および イメージシーケンス出力エンコーディングフォーマットを使っている場合のみで す。 拡大／縮小設定は、「ジオメトリ」パネルの「サイズ（エンコード後のピクセ ル)」セクションにあります。 312 第 24 章 画角設定を追加するパディング パディングは、パディング領域を黒で塗りつぶすことで、出力イメージのフレー ムサイズは維持しながらイメージを小さなサイズに合わせる方法です。クロップ と異なり、ソースイメージはパディングではまったく削除されません。イメージ はパディング量で縮められます。 パディングは、ソースイメージのフレームサイズが出力イメージのフレームサイ ズよりも小さく、ソースイメージを出力イメージサイズに合わせて拡大したくな い場合に便利です。正しいパディング量を追加することで、ソースイメージは出 力イメージでも同じサイズのままになり、イメージフレームの残りの部分は黒で 塗りつぶされます。 パディングは、ソース・ビデオ・イメージが圧縮なしの NTSC 720×486、出力イ メージが 720×480 の場合、自動的に適用されます。 また、16×9 やパナビジョンなど、選択可能な一般的なパディング設定がありま す。これらの設定を使えば、ソースイメージが元のアスペクト比を維持できるパ ディング値を「Compressor」で自動的に入力することが簡単にできます。 パディング設定は、「ジオメトリ」パネルの「出力イメージの挿入（パディン グ）」セクションにあります。 「画角設定」パネルについて 「ジオメトリ」パネルを使って、クロップおよびサイズ設定、出力メディアファ イルのサイズ設定、アスペクト比（イメージフレームの幅と高さの比）の設定を 行います。 Cropping Scaling Padding 第 24 章 画角設定を追加する 313「ソースの挿入（クロップ）」設定 「クロップ設定」ポップアップメニューを使って、センタークロップを適用する か、下で説明するフィールドにクロップ設定を入力することができます。 • 「クロップ設定」ポップアップメニュー： 以下のオプションから、手動クロッ プ用または自動センタークロップ用の選択を行います。 クロップの実際の数値は、ターゲットの設定がジョブに適用されたときに決ま ります。 メモ: 通常サイズの標準精細度（SD）ソースメディアのファイル（720×486） を MPEG-2 NTSCの設定でトランスコードする場合、出力として得られるメディ アファイルは、クロップの属性をあらかじめ指定していない限り、MPEG-2 の 要件であるフレームサイズ 720×480 になるよう自動的にクロップされます（上 辺から 2ピクセル、下辺から 4ピクセル）。このクロップ属性は一時的なもの で、設定には保存されません。自動クロップは、通常の方法で確認できます。 ジョブで設定をダブルクリックすれば、「プレビュー」ウインドウが開きま す。「ビデオフォーマット」ポップアップメニューの詳細については、MPEG-2 エンコーダパネルについてを参照してください。 • カスタム： 「左」、「右」、「上」、および「下」クロップフィールドに 手動で値を入力するか、「プレビュー」ウインドウで赤いフレームバーをド ラッグしてこれらの値を調整するときは、このオプションを選択します。詳 細については、画角設定を調整するを参照してください。 • 4:3（1.33:1）： アスペクト比 4:3 で自動センタークロップを適用します。 • 16:9（1.78:1）： アスペクト比 16:9 で自動センタークロップを適用します。 • パナビジョン（2.35:1）： アスペクト比 2.35:1 で自動センタークロップを適 用します。 • ヨーロッパ標準（1.66:1）： アスペクト比 1.66:1 で自動センタークロップを 適用します。 • 英国標準（1.75:1）： アスペクト比 1.75:1 で自動センタークロップを適用し ます。 • アカデミー（1.85:1）： アスペクト比 1.85:1 で自動センタークロップを適用 します。 314 第 24 章 画角設定を追加する• ソースのレターボックスエリア： このオプションを選択すると、ソース・ メディア・ファイルがレターボックス化されているかどうかを「Compressor」 で検出し、レターボックス化されている場合はクロップ値を入力してそのレ ターボックスを削除できます。 • 「左」、「右」、「上」、「下」： 4 つのクロップフィールド（「左」、 「右」、「上」、「下」）を使って、ソース・メディア・ファイルのフレーム をピクセル単位での増減でクロップすることができます。放送用ビデオファイ ルのほとんどには、オーバースキャン領域があります。出力ファイルの用途が コンピュータ画面での表示のみで、テレビ画面には使わない場合は、ファイル から多少のエッジを除去してもピクチャ領域への影響はないので大丈夫です。 数値は、元のフレームからクロップ後のフレームまでの距離（ピクセル）を表 しています。すべてのフィールドは、デフォルトでは 0 になっています。 メモ: 通常の（アクションセーフな）オーバースキャン領域では、イメージの 周囲にそれぞれ 5％の領域が確保されます。さらに 5％内側まで確保すれば、 より安全なタイトルセーフ領域を得ることができます。すなわち、フレームの 周囲の内側 5 ％から 10 ％の間ならば、どこをクロップしても重要な素材はそ のまま保持されるので大丈夫です。 「サイズ（エンコード後のピクセル）」設定 「サイズ」セクションの設定は、MPEG- 4、QuickTime ムービー、イメージシーケ ンス出力エンコードフォーマットを使っている場合のみ有効です。ほかのフォー マットの場合、これらの設定は淡色表示されますが、バッチ実行の際に使われる 設定が表示されます。 • フレームサイズの「幅」および「高さ」フィールド： これらのテキストフィー ルドと関連するポップアップメニューから、出力メディアファイルのフレーム サイズとアスペクト比をカスタマイズできます。「幅」と「高さ」フィールド のいずれかに値を入力するか、関連するポップアップメニューからオプション を選択します。 第 24 章 画角設定を追加する 315• 「フレームサイズ」ポップアップメニュー： ポップアップメニューの選択に 基づいて、該当する出力サイズの寸法が「幅」および「高さ」フィールドに自 動的に入力されます。 • ソースの 100%： 出力サイズをソースメディアのサイズと同一に定義します。 （このオプションでは、サイズを変更しないでそのままにします。） • ソースの 50%： 出力サイズを正確にソースメディアのサイズの 50 ％に縮小 します。 • ソースの 25%： 出力サイズを正確にソースメディアのサイズの 25 ％に縮小 します。 • 最大 1920×1080： 元のアスペクト比を維持しつつ、1920×1080 のフレームサ イズを超えない範囲で出力サイズを拡大／縮小します。 • 最大 1280×720： 元のアスペクト比を維持しつつ、1280×720 のフレームサイ ズを超えない範囲で出力サイズを拡大／縮小します。 • 最大 960×540： 元のアスペクト比を維持しつつ、960×540のフレームサイズ を超えない範囲で出力サイズを拡大／縮小します。 • 最大 854×480： 元のアスペクト比を維持しつつ、854×480 のフレームサイズ を超えない範囲で出力サイズを拡大／縮小します。 • 最大 428×240： 元のアスペクト比を維持しつつ、428×240 のフレームサイズ を超えない範囲で出力サイズを拡大／縮小します。 • 最大 214×120： 元のアスペクト比を維持しつつ、214×120 のフレームサイズ を超えない範囲で出力サイズを拡大／縮小します。 • 320×240： 正確に 320×240 の出力サイズを定義します。 • 640×480： 正確に 640×480 の出力サイズを定義します。 • 720×480： 正確に 720×480 の出力サイズを定義します。 • 720×486： 正確に 720×486 の出力サイズを定義します。 • 720×576： 正確に 720×576 の出力サイズを定義します。 • 1280×720： 正確に 1280×720 の出力サイズを定義します。 • 1920×1080： 正確に 1920×1080 の出力サイズを定義します。 • カスタム： これは手動で作成した設定です。どんな寸法でも必要に応じて 「幅」および「高さ」フィールドに入力することができます。この設定に は、アスペクト比に関する制限はありません。 • カスタム（4:3）： この手動設定は、4:3 のアスペクト比に決められていま す。「幅」と「高さ」フィールドのいずれかに値を入力すると、もう一方の 値は自動的に入力されます。 • カスタム（16:9）： この手動設定は、16:9 のアスペクト比に決められていま す。「幅」と「高さ」フィールドのいずれかに値を入力すると、もう一方の 値は自動的に入力されます。 316 第 24 章 画角設定を追加する• カスタム（1.85:1）： この手動設定は、1.85:1 のアスペクト比に決められて います。「幅」と「高さ」フィールドのいずれかに値を入力すると、もう一 方の値は自動的に入力されます。 • カスタム（2.35:1）： この手動設定は、2.35:1 のアスペクト比に決められて います。「幅」と「高さ」フィールドのいずれかに値を入力すると、もう一 方の値は自動的に入力されます。 • 「ピクセルのアスペクト」フィールド： 「ピクセルのアスペクト」ポップアッ プメニューから「カスタム」を選択して、このフィールドに任意の値を入力す ることができます。ピクセルのアスペクト比とは、デジタルイメージのピクセ ルの形状のことです。一部のフィルタを使用する場合に大変重要です。たとえ ば、「ウォーターマーク」フィルタで使用するグラフィックで円が使われてい る場合、最終的に楕円にならず、確実に円になるようにするには、出力フォー マットに適合したピクセルのアスペクト設定を選ぶ必要があります。 • 「ピクセルのアスペクト」ポップアップメニュー： このポップアップメニュー では、出力メディアファイルのピクセルのアスペクト比を設定します。ピクセ ルのアスペクト比は、特定のフォーマットに合わせられます。以下のオプショ ンがあります。 • カスタム： 「ピクセルのアスペクト」フィールドに手動で値を入力すると きは、このオプションを選択します。 • デフォルトサイズ： ピクセルのアスペクト比は、その設定の幅と高さの値 が一般的であると考えられる値に設定されます。たとえば、720×480 または 720×486 のデフォルトは、NTSC CCIR 601/DV NTSC です。 • スクエア： 出力がコンピュータ上で表示される場合に選択します。 • NTSC CCIR 601/DV： 720×480 ピクセルを使用し、ピクセルのアスペクト比を 4:3 に固定します。 • NTSC CCIR 601/DV（16:9）： 720×480 ピクセルを使用し、ピクセルのアスペク ト比を 16:9 に固定します。 • PAL CCIR 601： 720×576 ピクセルを使用し、ピクセルのアスペクト比を 4:3 に 固定します。 • PAL CCIR 601（16:9）： 720×576 ピクセルを使用し、ピクセルのアスペクト比 を 16:9 に固定します。 • HD（960×720）： 1280×720 ピクセルを使用し、ピクセルのアスペクト比を 16:9 に固定します。 • HD（1280×1080）： 1920×1080 ピクセルを使用し、ピクセルのアスペクト比 を 16:9 に固定します。 • HD（1440×1080）： 1440×1080 ピクセルを使用し、ピクセルのアスペクト比 を 16:9 に固定します。 第 24 章 画角設定を追加する 317「出力イメージの挿入（パディング）」設定 以下の設定を使って、パディングを適用および調整します。 • 「パディング」ポップアップメニュー： このポップアップメニューから、以 下のオプションのいずれかを選択できます。 • カスタム： 「左」、「右」、「上」、および「下」フィールドに手動で値 を入力することができます。 • ソースのアスペクト比を保持： イメージをパディングして元のアスペクト 比を維持します。 • 4×3 1.33:1： 4×3 のアスペクト比を使用します。 • 16×9 1.78:1： 16×9 のアスペクト比を使用します。 • 4×3 1.33:1： 4×3 のアスペクト比を使用します。 • パナビジョン 2.35:1： 2.35:1 のアスペクト比を使用します。 • ヨーロッパ標準 1.66:1： 1.66:1 のアスペクト比を使用します。 • 英国標準 1.75:1： 1.75:1 のアスペクト比を使用します。 • アカデミー 1.85:1： 1.85:1 のアスペクト比を使用します。 • 「左」、「右」、「上」、および「下」フィールド： これらのフィールドを 使って、フレームの四辺に「パディング」するイメージのピクセルを設定しま す。これは、クロップの逆です。出力メディアファイルのフレームサイズが ソース・メディア・ファイルのフレームサイズと異なる場合に、拡大せずにイ メージをパディングできます。 画角設定を調整する 「インスペクタ」ウインドウの「ジオメトリ」パネルでは、クロップ、拡大／縮 小、およびフレームのアスペクト比の変更が可能です。 318 第 24 章 画角設定を追加するクロップ、フレームサイズ変更、アスペクト比の設定を追加するには 1 「設定」タブを開きます。 2 「設定」タブで変更する設定を選択します。（または、すでに「バッチ」ウイン ドウでソースメディアのファイルに適用済みの設定を選択します。） 3 「インスペクタ」の「ジオメトリ」タブをクリックします。 4 「ソースの挿入（クロップ）」設定を入力し、「フレームサイズ」ポップアップ メニューから出力サイズの寸法を選択してから、出力イメージの挿入セクション でパディング設定を選択します。 設定の変更は、「設定一覧」パネルにある設定一覧テーブルですべて確認できま す。 第 24 章 画角設定を追加する 319メモ: フレームサイズの調整には、2 通りの方法があります。「クロップ」フィー ルドで数値を入力する方法と、「プレビュー」ウインドウで赤いフレームバーを ドラッグする方法です。フレームバーを使った方法では、ドラッグに合わせて調 整の結果が「クロップ」フィールドに表示され、数値で確認することができま す。Shift キーを押しながらドラッグすると、クロップの範囲をソースのアスペク ト比、ソースの高さ、またはソースの幅までに制限できます。 Drag the red frame bars (by the handles) to adjust the output file frame size. If you select a batch’s target, any resizing in the Preview window is reflected in the Geometry pane. You can also directly enter numbers into these cropping fields. 詳細については、クリップをプレビューするまたは「画角設定」パネルについて を参照してください。 320 第 24 章 画角設定を追加するトランスコード後の自動アクションを作成してジョブおよび設定に適用すること ができます（これにより、個々のターゲットに適用することもできます）。トラ ンスコード後のアクションを使うと、日常のワークフローが簡単かつ迅速にな り、作品をほかの人と共有するのが簡単になります。追加のアプリケーションを 開くことなく、iPhone、iPad、iPod、Apple TV、DVD、Blu-rayディスク、Web、お よび YouTube 用の出力メディアファイルをすばやく作成および配信できます。 自動的に電子メールを送信して、個々の出力メディアファイルの完了を知らせる こともできます。また、個々のジョブの Automatorワークフローを開始したり、 個々のターゲットの AppleScript 書類を開始したりできます。 この章では以下の内容について説明します： • ポスト・トランスコード・アクションを使って作業する (ページ 321) • 設定アクションを追加する (ページ 321) • ジョブ操作を追加する (ページ 323) ポスト・トランスコード・アクションを使って作業する 「Compressor」は、ジョブ操作と設定アクションの両方をサポートしています。 ジョブ操作は、ジョブ全体に適用されます。ジョブ操作はよくバッチテンプレー トと関連付けられます。（バッチテンプレートの詳細については、簡単な Compressor ワークフロー：バッチテンプレートを使う方法を参照してくださ い。）設定アクションは、個々の設定に適用されます（これにより、個々のター ゲットにも適用されます）。設定アクションを適用した設定は、カスタム設定と して保存して後で使用することができます。 設定アクションを追加する 「Compressor」は、適用済みのプリセット設定 1 つにつき 1 人の受取人にメール を送って、トランスコードの完了を知らせることができます。この設定のデフォ ルトの書き出し先を選択することもできます。 321 アクションを追加する 25「アクション」パネルについて 「インスペクタ」の「アクション」パネルを使って、トランスコードの完了を通 知する電子メールやデフォルトの書き出し先に関するオプションを設定できま す。 「アクション」パネルには以下の項目があります。 • 電子メール通知先： 特定のトランスコード作業が完了したときに通知を受け 取る必要がある場合に、このチェックボックスを選択し、テキストフィールド に電子メール受信用のメールアドレスを入力します。（入力できるメールアド レスは 1つだけです。）完了までに何時間もかかるような大きいソースメディ アファイルをトランスコードする場合には、特に便利です。トランスコードが 終わったかどうか何度もチェックしなくても、メールが来るまで待っていれば よいわけです。 メモ: この電子メール機能を有効にするには、「Compressor」にあらかじめ電 子メールアドレスと送信先メールサーバを設定しておく必要があります。 （「Compressor」＞「環境設定」と選択します。） • 「デフォルトの書き出し先」ポップアップメニュー： このポップアップメ ニューを使って、特定の設定に書き出し先を割り当てます。（これは、 「Compressor」の「環境設定」ですべての設定にデフォルトの書き出し先を設 定するのとは対照的です。）「Compressor」の「環境設定」ですべての設定に デフォルトの書き出し先を設定する方法については、Compressor の環境設定を 行うを参照してください。 設定アクションを追加する方法 「インスペクタ」ウインドウの「アクション」パネルを使って、電子メールの送 信など、出力メディアファイルのポスト・トランスコード・オプションを設定し ます。 322 第 25 章 アクションを追加する電子メール通知の設定を追加するには 1 「設定」タブでカスタム設定を選択するか、設定が適用されたジョブのあるバッ チを開きます。 Apple の設定は変更できません。ただし、Apple の設定をコピーし、そのコピー を変更することはできます。 2 「インスペクタ」の「アクション」タブをクリックします。 3 「電子メール通知先」チェックボックスを選択し、横のフィールドにメールアド レスを入力します。 メモ: この電子メール機能を有効にするには、「Compressor」にあらかじめ電子 メールアドレスと送信先メールサーバを設定しておく必要があります。 （「Compressor」＞「環境設定」と選択します。メール環境設定の変更を有効に するには、「Compressor」を閉じて再度開くことが必要になる場合があります。） 4 「保存」または「別名で保存」をクリックして、このメール設定をこの設定に保 存することもできます。 この設定のデフォルトの書き出し先を選択するには 1 「設定」タブでカスタム設定を選択するか、設定が適用されたジョブのあるバッ チを開きます。 Apple の設定は変更できません。ただし、Apple の設定をコピーし、そのコピー を変更することはできます。 2 「インスペクタ」の「アクション」タブをクリックします。 3 「デフォルトの書き出し先」ポップアップメニューで書き出し先を選びます。 このポップアップメニューには、Appleの書き出し先とユーザが作成したカスタ ムの書き出し先が表示されます。 4 「保存」または「別名で保存」をクリックして、このデフォルトの書き出し先を この設定に保存することもできます。 詳細については、「アクション」パネルについてを参照してください。 ジョブ操作を追加する ジョブ操作を使うと、トランスコードのワークフローを自動化することができま す。たとえば、出力メディアファイルを YouTube などの Web ストリーミングサ イトに自動的にアップロードしたり、DVD や Blu-ray ディスクを作成したり、 Automator ワークフローを開始したり、出力メディアファイルを「iTunes」に転 送したり、出力メディアファイルをほかのアプリケーションで開いたり、Web 参照ムービーを作成したりできます。ジョブ操作は、バッチテンプレートが機能 するために必須です。 バッチテンプレートの詳細については、簡単な Compressor ワークフロー：バッ チテンプレートを使う方法を参照してください。 第 25 章 アクションを追加する 323「ジョブ操作」タブについて ジョブ操作は、「インスペクタ」ウインドウの「ジョブ操作」タブで適用および 調整します。「ジョブ操作」タブを使用するには、まず「バッチ」ウインドウで ジョブを選択する必要があります。 「ジョブ操作」タブを開くには 1 「バッチ」ウインドウにソースメディアファイルを追加して、「バッチ」ウイン ドウに少なくとも 1 つのジョブがあるようにします。 2 「バッチ」ウインドウでジョブを選択します。 「A/V属性」タブが選択された状態で「インスペクタ」ウインドウが開きます。 「インスペクタ」ウインドウが開いていない場合は、「インスペクタ」ボタンを クリックするか、「ウインドウ」＞「インスペクタを表示」と選択して開きま す。 3 「ジョブ操作」タブをクリックして開きます。 「ジョブ操作」タブは、「ジョブの完了時」ポップアップメニュー 1 つで構成さ れています。下のリストに、このポップアップメニューにある各オプションの目 的の詳細を示します。各オプションのユーザインターフェイスの詳細について は、ジョブ操作についてを参照してください。 • 「ジョブの完了時」ポップアップメニュー： 「バッチ」ウインドウで選択し たジョブのトランスコード後のアクションを選択および適用するときは、この ポップアップメニューを使います。 • 何もしない： 「ジョブ操作」タブを無効にするときは、このオプションを 選択します。 • iTunesライブラリへ追加： 出力メディアファイルを iTunes プレイリストに追 加します。 324 第 25 章 アクションを追加する• DVD を作成： MPEG-2（.m2v）ビデオと Dolby Digital Professional（.ac3）オー ディオを使って標準精細度の DVD を作成して、自動的にディスクを作成し ます。 • Blu-ray ディスクを作成： Blu-ray と互換性のあるビデオおよびオーディオを 使って、自動的に Blu-ray ディスクまたは AVCHD ディスクを作成します。 • Web 参照ムービーを作成： 参照ムービーを作成します。参照ムービーでは、 視聴者が何も選択しなくても、デバイスまたは接続速度に適したムービーが Web ブラウザおよびサーバによって自動的に選択されるようになります。 • アプリケーションで開く： 出力メディアファイルを特定のアプリケーショ ンで開きます。 • HTTPライブストリーミングを準備： HTTPライブ・ストリーミング・サーバ での使用に適したビデオファイルのセットを作成します。 • Automator ワークフローを実行： トランスコードジョブの完了時に 「Compressor」で自動的に実行する Automator スクリプトを検索および選択 するダイアログを開きます。 • YouTube に公開： YouTube での視聴に適したビデオファイルを作成して YouTube アカウントにアップロードします。 • Facebook に公開： Facebook での視聴に適したビデオファイルを作成して Facebook アカウントにアップロードします。 • Vimeoに公開： Vimeoでの視聴に適したビデオファイルを作成して Vimeo ア カウントにアップロードします。 • CNN iReport に公開： CNN iReport での視聴に適したビデオファイルを作成し て CNN iReport アカウントにアップロードします。 • メールを送信： ユーザが入力した情報を使ってメールを送信します。 ジョブ操作について このセクションでは、各ジョブ操作のユーザインターフェイスについて説明しま す。 第 25 章 アクションを追加する 325iTunes ライブラリへ追加 このフォームでは、自動的に「iTunes」に出力メディアファイルを追加できま す。 • 「プレイリスト」ポップアップメニュー： 「プレイリスト」ポップアップメ ニューでは、iTunesライブラリの特定のプレイリストに出力メディアファイル を追加できます。 メモ: はじめてこの機能を使うときは、このポップアップメニューは空です。 iTunesライブラリからこのメニューにプレイリストを入れるには、「プレイリ スト」ポップアップメニューから「更新」を選択します。 • タイトル： ファイルのタイトルとして iTunes ライブラリに表示したいテキス トを入力します。 326 第 25 章 アクションを追加するDVD を作成 このフォームでは、作成したい DVD の情報と設定を入力できます。 • 「出力デバイス」ポップアップメニュー： このポップアップメニューでは、 フォーマットするデバイスを選択できます。このポップアップメニューには、 光学式ドライブやコンピュータのハードディスクなど、システムに適合した出 力デバイスのリストが表示されます。「ハード・ドライブ」を選択すると、 ディスクイメージ（.img）ファイルが作成され、後で「ディスクユーティリ ティ」アプリケーション（「ユーティリティ」フォルダにあります）を使って DVDメディアを作成できます。その他の設定は、選択するデバイスによって変 わることがあります。 重要： 選択した出力デバイスの横に進行状況インジケータが表示された場合 は、利用可能なデバイスのリストがアップデートされるまで少し待ってくださ い。インジケータは、ディスクを取り出したり挿入したりした場合や、光学式 ドライブの入／切を切り替えた場合に表示されます。 • 「取り出す」ボタン： 光学式メディアドライブの種類によっては、このボタ ンをクリックして光学式メディアをドライブから取り出すか、ドライブのメ ディアトレイを開きます。 • 「レイヤー」ポップアップメニュー： このポップアップメニューを使って、 作成するディスクの種類を指定します。 • 自動： セットしたディスクの種類を自動的に検出する場合に選択します。 「自動」が機能するには、「作成」をクリックする前にディスクをセットす る必要があります。また、出力デバイスとして「ハード・ドライブ」を選択 している場合に「自動」を指定すると、常に 1層ディスクイメージが作成さ れます。 • 1層： ディスクを 1 層ディスクとして認識する場合に選択します。これによ り、2 層ディスクを強制的に 1 層ディスクとして処理できます。 第 25 章 アクションを追加する 327• 2層： ディスクを 2 層ディスクとして認識する場合に選択します。これによ り、出力デバイスとして「ハード・ドライブ」を選択している場合に、ディ スクイメージを強制的に 2 層ディスク用としてフォーマットできます。1 層 ディスクの使用時に「2 層」を選択すると、プロジェクトの長さによっては、 ディスクの作成中にエラーが発生することがあります。 • 「ディスクテンプレート」ポップアップメニュー： このポップアップメニュー では、DVD のメニューテンプレートを選択できます。 • 「タイトル」フィールド： このフィールドでは、DVD 上のプログラムの名前 を入力できます。 • 「ディスク読み込み時」ポップアップメニュー： このポップアップメニュー では、プレーヤーでディスクを読み込むときの動作を選択できます。 • メニューを表示： このオプションを選択すると、メニューが表示されます。 • ムービーを再生： このオプションを選択すると、ムービーが再生されます。 • 「チャプタマーカーテキストを字幕として使用」チェックボックス： この チェックボックスを選択すると、マーカーテキストが字幕として表示されま す。これは、日次作業用の DVD を作成する場合に特に便利です。これにより、 一連のクリップやシーンを並べて、マーカーテキストの字幕で各項目を識別す ることができます。 • 「背景」ポップアップメニュー： メニューの背景として使う静止画像を検索 および選択するためのダイアログが表示されます。 • 「メインメニュー」および「チャプタメニュー」プレビュー： 「メインメ ニュー」および「チャプタメニュー」ボタンを使うと、選択したテンプレート に含まれているメニューのプレビューを表示できます。 Blu-ray ディスクを作成 このフォームでは、作成したい Blu-ray ディスクの情報と設定を入力できます。 また、このフォームの設定に基づいて AVCHD ディスクを作成することもできま す。 AVCHDディスクは、赤色レーザーメディアに作成する簡易型の HD ディスクと考 えることができます。作成されるディスクは、AVCHD フォーマットと互換性の ある Blu-ray ディスクプレーヤーで再生します。つまり、標準の DVD 作成装置を 使って、HD ビデオコンテンツといくつかの基本的なメニュー機能が含まれるディ スクを作成し、互換性のある Blu-ray ディスクプレーヤーでそのディスクを再生 できます。Blu-ray ディスクおよび AVCHD ディスクに適した H.264 ストリームを 作成する方法については、「H.264（Blu-ray 用）」の「エンコーダ」パネルにつ いてを参照してください。 重要： Blu-ray コンテンツが含まれるディスクを Mac コンピュータで再生するこ とはできません。 328 第 25 章 アクションを追加するBlu-ray ディスクと AVCHD ディスクの作成は、「出力デバイス」ポップアップメ ニューで選択します。設定に関する下の説明を参照すると、AVCHD ディスクに 該当しない項目が分かります。 • 「出力デバイス」ポップアップメニュー： このポップアップメニューでは、 フォーマットするデバイスを選択できます。このポップアップメニューには、 光学式ドライブやコンピュータのハードディスクなど、システムに適合した出 力デバイスのリストが表示されます。各デバイスには、そのデバイスで作成さ れるディスクのタイプを示す Blu-ray または AVCHD の語も含まれています。 「ハード・ドライブ」を選択すると、ディスクイメージ（.img）ファイルが作 成され、後で「ディスクユーティリティ」アプリケーション（「ユーティリ ティ」フォルダにあります）を使って Blu-ray ディスクメディアを作成できま す。その他の設定は、選択するデバイスによって変わることがあります。 重要： 選択した出力デバイスの横に進行状況インジケータが表示された場合 は、利用可能なデバイスのリストがアップデートされるまで少し待ってくださ い。インジケータは、ディスクを取り出したり挿入したりした場合や、光学式 ドライブの入／切を切り替えた場合に表示されます。 メモ: 標準の DVD 作成装置を選択した場合、ディスクは AVCHD ディスクとし てフォーマットされます。ほかのデバイスではすべて、ディスクは Blu-ray ディ スクとしてフォーマットされます。 • 「取り出す」ボタン： 光学式メディアドライブの種類によっては、このボタ ンをクリックして光学式メディアをドライブから取り出すか、ドライブのメ ディアトレイを開きます。 第 25 章 アクションを追加する 329• 「レイヤー」ポップアップメニュー： このポップアップメニューを使って、 作成するディスクの種類を指定します。 • 自動： セットしたディスクの種類を自動的に検出する場合に選択します。 「自動」が機能するには、「作成」をクリックする前にディスクをセットす る必要があります。また、出力デバイスとして「ハード・ドライブ」を選択 している場合に「自動」を指定すると、常に 1層ディスクイメージが作成さ れます。 • 1層： ディスクを 1 層ディスクとして認識する場合に選択します。これによ り、2 層ディスクを強制的に 1 層ディスクとして処理できます。 • 2層： ディスクを 2 層ディスクとして認識する場合に選択します。これによ り、出力デバイスとして「ハード・ドライブ」を選択している場合に、ディ スクイメージを強制的に 2 層ディスク用としてフォーマットできます。1 層 ディスクの使用時に「2 層」を選択すると、プロジェクトの長さによっては、 ディスクの作成中にエラーが発生することがあります。 • 「ディスクテンプレート」ポップアップメニュー： このポップアップメニュー では、Blu-ray ディスクのメニューテンプレートを選択できます。 • 「タイトル」フィールド： このフィールドでは、Blu-ray ディスク上のプログ ラムの名前を入力できます。 • 「ディスク読み込み時」ポップアップメニュー： このポップアップメニュー では、プレーヤーでディスクを読み込むときの動作を選択できます。 • メニューを表示： このオプションを選択すると、メニューが表示されます。 • ムービーを再生： このオプションを選択すると、ムービーが再生されます。 • 「チャプタマーカーテキストを字幕として使用」チェックボックス： この チェックボックスを選択すると、マーカーテキストが字幕として表示されま す。これは、日次作業用の Blu-ray ディスクを作成する場合に特に便利です。 これにより、一連のクリップやシーンを並べて、マーカーテキストの字幕で各 項目を識別することができます。 メモ: AVCHD ディスクでは字幕はサポートされていません。 • 「ループムービーボタンを含める」チェックボックス： このチェックボック スを選択すると、メニューに「ムービーを繰り返し再生」ボタンが追加されま す。このオプションは、一部のディスクテンプレートでは使用できません。 • 「背景」ボタン： 背景のグラフィックを探して選択するためのダイアログを 開きます。 • 「ロゴグラフィック」ボタン： ロゴグラフィックを探して選択するためのダ イアログを開きます。 • 「タイトルグラフィック」ボタン： タイトルグラフィックを探して選択する ためのダイアログを開きます。 330 第 25 章 アクションを追加する• 「メインメニュー」および「チャプタメニュー」プレビュー： 「メインメ ニュー」および「チャプタメニュー」ボタンを使うと、選択したテンプレート に含まれているメニューのプレビューを表示できます。 メモ: Blu-ray および AVCHD のメニューは、解像度 1080i または 1080p のディス プレイに最適です。プレーヤーとディスプレイが適切に設定されていることを 確認してください。 Web 参照ムービーを作成 参照ムービーを作成する場合は、このフォームを使います。参照ムービーでは、 視聴者が何も選択しなくても、デバイスまたは接続速度に適したムービーが Web ブラウザおよびサーバによって自動的に選択されるようになります。 • 「Web参照ムービーの書き出し先」フィールドとボタン： このフィールドと、 関連する「選択」ボタンを使うと、出力 Web 参照ムービーの書き出し先フォ ルダを定義できます。ボタンをクリックすると、フォルダを探して選択するた めのダイアログが開きます。 • 「サンプル HTML を使って Read Me ファイルを作成」チェックボックス： この チェックボックスを使うと、Web 参照ムービーを Web サイトに埋め込むため の完全な手順とサンプル HTML を含むテキスト書類を「Compressor」で作成す るかどうかを制御できます。 • 「ポスターイメージを作成」チェックボックス： このチェックボックスを使 うと、Web 参照ムービーを Web サイトに埋め込むためのサムネールイメージ を「Compressor」で作成するかどうかを制御できます。 第 25 章 アクションを追加する 331アプリケーションで開く このフォームでは、出力メディアファイルを開くアプリケーションを指定できま す。 • 「これで開く」ポップアップメニュー： このメニューでは、出力メディアファ イルを開くアプリケーションを確認または選択できます。 332 第 25 章 アクションを追加するHTTP ライブストリーミングを準備 このフォームでは、一般的な Web サーバを使ってオーディオとビデオを iPad、 iPhone、iPod touch、Mac にストリーミングするためのファイルのセットを作成 できます。HTTP ライブストリーミングはモバイルに適した設計で、有線または ワイヤレスのネットワークで利用可能な速度に対応してムービーの再生品質を動 的に調整できます。HTTP ライブストリーミングは、iOS ベースアプリケーション や HTML5 ベース Web サイトへのストリーミングメディアの配信に最適です。 HTTP ライブストリーミングの実装について詳しくは、Apple Developer HTTP live streamingの Web サイトをご覧ください。 • 「選択」ボタン： 「選択」をクリックすると、HTTPライブストリーミング素 材の書き出し先を見つけるためのダイアログが開きます。 • 「セグメント継続時間」数値フィールド： メディアのセグメント長を定義す る値（秒単位）を入力します。この値により、ビデオストリームを分割する方 法が定義されます。このセグメント化で定義されるのは、Web サーバが、ネッ トワーク接続速度が変化するデバイスにストリーミングしながら、さまざまな ビデオフォーマット間の切り替えをいつ行えるか、という点です。この値が小 さいほど、サーバが接続速度の変化によりすばやく対応できます。 • 「サンプル HTML を使って Read Me ファイルを作成」チェックボックス： 基本 的な HTTP ライブストリーミングの用途情報を持つファイルを含める場合に選 択します。 第 25 章 アクションを追加する 333Automator ワークフローを実行 このフォームでは、実行する Automator スクリプトを選択できます。 • Automator ワークフローを選択： 「選択」をクリックすると、トランスコード ジョブの完了時に「Compressor」で自動的に実行する Automator スクリプトを 探して選択するためのダイアログが開きます。 YouTube に公開 このフォームでは、Web 上の YouTube アカウントに公開したいムービーの情報 を入力できます。 メモ: 1 つのバッチで複数の YouTube 出力メディアファイルをアップロードする には、出力メディアファイルごとに別個のジョブを作成します。 334 第 25 章 アクションを追加する重要： アップロードを成功させるためには、すべてのフィールドに入力する必 要があります。 • ユーザ名： このフィールドでは、YouTube のユーザ名を入力できます。 • パスワード： このフィールドでは、YouTube のパスワードを入力できます。 • タイトル： このフィールドでは、公開するムービーの名前を入力できます。 • 説明： このフィールドでは、公開するムービーの説明を入力できます。 • タグ： このフィールドでは、ムービーについて説明するキーワードを入力で きます。これは、対象となる視聴者が YouTube 上のムービーを検索するために 使用できる検索用語です。詳細については、YouTubeのヘルプを参照してくだ さい。 • 「カテゴリー」ポップアップメニュー： このポップアップメニューでは、ムー ビーの YouTube カテゴリを選択できます。YouTube では、ムービーをいくつか あるカテゴリ（トピック分野）のいずれかに入れることができます。 • 「このムービーをプライベートにする」チェックボックス： このチェックボッ クスを選択すると、公開するムービーを視聴するためのアクセスを制御できま す。YouTubeでムービーをプライベートにすると、自分のアカウント用に作成 するコンタクトリストから選んだユーザとそのムービーを共有することができ ます。詳細については、YouTube のヘルプを参照してください。 Facebook に公開 このフォームでは、Web 上の Facebook アカウントに公開したいムービーの情報 を入力できます。 メモ: 1つのバッチで複数の Facebook 出力メディアファイルをアップロードする には、出力メディアファイルごとに別個のジョブを作成します。 第 25 章 アクションを追加する 335重要： アップロードを成功させるためには、すべてのフィールドに入力する必 要があります。 • メール： Facebook アカウントのメールアドレスを入力するときは、このフィー ルドを使います。 • パスワード： このフィールドでは、Facebook のパスワードを入力できます。 • タイトル： このフィールドでは、公開するムービーの名前を入力できます。 • 説明： このフィールドでは、公開するムービーの説明を入力できます。 • 「プライバシー」ポップアップメニュー： このポップアップメニューを使っ て、ムービーを視聴できるユーザを選択します。選択肢は、「自分のみ」、 「友達」、「友達の友達」、「公開」です。 Vimeo に公開 このフォームでは、Web 上の Vimeo アカウントに公開したいムービーの情報を 入力できます。 メモ: 1 つのバッチで複数の Vimeo 出力メディアファイルをアップロードするに は、出力メディアファイルごとに別個のジョブを作成します。 重要： アップロードを成功させるためには、すべてのフィールドに入力する必 要があります。 • メール： Vimeo アカウントのメールアドレスを入力するときは、このフィー ルドを使います。 • パスワード： このフィールドでは、Vimeo のパスワードを入力できます。 • タイトル： このフィールドでは、公開するムービーの名前を入力できます。 • 説明： このフィールドでは、公開するムービーの説明を入力できます。 336 第 25 章 アクションを追加する• タグ： このフィールドでは、ムービーについて説明するキーワードを入力で きます。これは、対象となる視聴者が Vimeo 上のムービーを検索するために使 用できる検索用語です。詳細については、Vimeo のヘルプを参照してくださ い。 • 「表示可能」ポップアップメニュー： このポップアップメニューを使って、 ムービーを視聴できるユーザを選択します。選択肢は、「全員」、「自分の連 絡先」、「自分のみ」です。 CNN iReport に公開 このフォームでは、Web 上の CNN iReport アカウントに公開したいムービーの情 報を入力できます。 メモ: 1つのバッチで複数の CNN iReport 出力メディアファイルをアップロードす るには、出力メディアファイルごとに別個のジョブを作成します。 重要： アップロードを成功させるためには、すべてのフィールドに入力する必 要があります。 • メール： CNN iReport アカウントのメールアドレスを入力するときは、この フィールドを使います。 • パスワード： このフィールドでは、CNN iReport のパスワードを入力できます。 • 件名： このフィールドでは、公開するムービーの名前を入力できます。 • 本文： このフィールドでは、公開するムービーの説明を入力できます。 第 25 章 アクションを追加する 337メールを送信 このフォームでは、ジョブの完了時に生成されるメールの情報を入力できます。 このメールには実際の出力ファイルが含まれ、メールの内容やその他の設定をさ らに編集できるように「Mail」で開かれます。メールの編集が終わったら、「送 信」をクリックできます。 • 送信先： メールの送信先となるメールアドレスを入力します。複数のメール アドレスをカンマで区切って入力できます。 • 送信元： メールの送信元となるメールアドレスを入力します。 • 件名： このフィールドを使って、メールの件名を入力します。 • 本文： このフィールドを使って、メールの本文を入力します。 338 第 25 章 アクションを追加する「プレビュー」ウインドウには 2 つの主要な役割があります。ソースメディア ファイルを元のフォーマットで再生したり、設定を割り当てた後のソースメディ アファイルをプレビューしたりすることができます。 この章では以下の内容について説明します： • 「プレビュー」ウインドウについて (ページ 339) • クリップをプレビューする (ページ 346) • プレビューウインドウでクリップの一部をトランスコードする (ページ 352) • マーカーとポスターフレームを使って作業する (ページ 353) • 「プレビュー」ウインドウのキーボードショートカットについて (ページ 360) 「プレビュー」ウインドウについて 「プレビュー」ウインドウを使ってクリップの元のバージョンと出力されるバー ジョンを比較すれば、変更の結果をその場で表示させながら作業できます。バー ジョンを比較すれば、トランスコードにリソースと時間をかける前に、ファイル に割り当てた設定の効果を確認することができます。この機能を使って、出力メ ディアファイルの品質を確認します。 Scaled, cropped, and filtered version of the clip Original version of the clip 339 プレビューウインドウを使う 26また、「プレビュー」ウインドウでプレビュー画面のサイズを大きくしたり、手 動で I フレームを追加したり（MPEG-1および MPEG-2 のみ）、インマーカーとア ウトマーカーを使って、メディアファイルのトランスコード範囲を指定したりす ることができます。 「プレビュー」ウインドウを使うと、トランスコードを実行する前にバッチ項目 を再生して、フィルタ等の適用前後のクリップを比較し、出力メディアファイル の品質が十分なものかどうかを確認することができます。 In and Out controls Preview scale selection Source/Setting selection Preview screen area Batch Item selection controls Timeline controls Marker pop-up menu Source/Output information Transport controls 「プレビュー」ウインドウには以下の項目があります。 • プレビュー拡大／縮小選択メニュー： プレビュー画面のサイズを調整します。 「100%」、「75%」、「50%」の 3 つの設定がありますが、「プレビュー」ウ インドウのハンドルをドラッグすると、好きなサイズに設定することができま す。 • ソース／設定（出力）の表示切り替え： これらのボタンを使って、選択した バッチ項目のプレビューの表示をソースのアスペクト比とサイズに合わせる か、設定のアスペクト比とサイズに合わせるかを指定します。ソースビューボ タンを押すとクロップ境界が表示されるので、クロップされる端（1 つまたは 複数）を決めるのに使えます。設定ビューボタンを押すと、クロップ後のバー ジョンのメディアを、設定に指定されているアスペクト比とサイズでプレビュー できます。 340 第 26 章 プレビューウインドウを使う• ソース／出力の情報： クリップのフレームサイズとフレームレートが、「プ レビュー」ウインドウの左下コーナーに表示されています。クリップの継続時 間（イン点からアウト点まで）は、右下コーナーに表示されます。ソース・ ビュー・ボタンが選択されている状態では、ソース・メディア・クリップのフ レームサイズとフレームレートを示します。出力ビュー・ボタンが選択されて いる状態では、このパッチ項目の設定のフレームサイズとフレームレートを示 します。 メモ: クリップの合計継続時間（イン点とアウト点がない）を表示するには 「バッチ」ウインドウでソースファイルを選択し、「インスペクタ」ウインド ウ（「ウインドウ」＞「インスペクタを表示」と選択）を開きます。 バッチ項目選択コントロール領域 バッチ項目選択領域は、「プレビュー」ウインドウに表示する特定の項目を「バッ チ」ウインドウから選択するのに使います。 Batch Item selection buttons Batch Item pop-up menu • バッチ項目選択ボタン： これらのボタンを使って、プレビューに表示できる ソースメディアファイルおよびクリップ（それらの設定も含む）の選択を、前 後に切り替えることができます。クリックしてリストから順次選ぶと、選択さ れたバッチ項目がバッチ項目ポップアップメニューに表示されます。 • バッチ項目ポップアップメニュー： このポップアップメニューで、プレビュー するソース・メディア・ファイル（設定が割り当てられているかに関係なく） を選択します。 第 26 章 プレビューウインドウを使う 341イン／アウトコントロール バッチ項目を選択したら、イン／アウトコントロールを使用してイン点とアウト 点のタイムコード情報を表示および変更できます。 Sets In point to current playhead position. Sets Out point to current playhead position. In point timecode Out point timecode • イン点／アウト点のタイムコードフィールド： イン点とアウト点の正確な位 置を、「時：分：秒：フレーム」の標準的なタイムコードフォーマットで表示 できます。フィールドを選択して新しい値を入力すれば、手動で変更できま す。新しい値が入力されると、そのタイムラインの、対応するイン点またはア ウト点が現在のバッチ項目中の指定されたポイントへ移動します。 メモ: ソース・メディア・ファイルに、何らかのタイムコードが記録されてい るタイムコードトラックが含まれている場合は、イン点のタイムコードのフィー ルドとアウト点のタイムコードのフィールドに、クリップの開始および終了の タイムコードがそれぞれ表示されます。それ以外の場合は、タイムコードは 00:00:00:00 から開始します。 • イン点／アウト点ボタン： タイムラインでイン点ボタン（右向きの矢印）ま たはアウト点ボタン（左向きの矢印）をドラッグして、新しいイン点またはア ウト点を設定します。また、イン点を設定するボタンおよびアウト点を設定す るボタン（タイムコードのフィールドの横にあります）をクリックして、イン 点およびアウト点を設定することもできます。 プレビュー画面領域 プレビュー画面領域には、現在選択されているバッチ項目が表示されます。 Cropping boundary Cropping handle for the lower-right corner Split screen slider Cropping dimensions (also seen in Source Inset fields in the Geometry pane) 342 第 26 章 プレビューウインドウを使うプレビュー画面にはまた、以下の項目があります。 • 画面分割スライダ： プレビュー画面の上辺に沿って画面分割スライダを適宜 ドラッグし、ソース・メディア・ファイル（左側）と出力メディアファイル （右側）とを比較して表示します。画面分割は、上部にあるスライダの位置だ けでなく、イメージを縦に 2 分割する垂直線によっても示されます。 • クロップ境界： クロップ境界はソースビューでのみ表示されます。出力メディ アファイルをクロップしたい向きに、ハンドルを使って赤い境界線や隅をド ラッグします。クロップしない方向の寸法を保ちながら作業したい場合は、真 ん中のハンドルを使ってフレームの 1片全体をドラッグします。フレームをク ロップするのに合わせて、プレビュー画面に新しい値（上下左右）が表示され ます。また、「インスペクタ」ウインドウを開いていて、バッチのターゲット が選択されている場合は、「ジオメトリ」パネルのクロップの各フィールドの 値も同様に変化するのを確認できます。出力ビューを選択すると、クロップ境 界設定後の状態が表示されます。 タイムラインコントロール タイムラインコントロールには、設定されているすべてのマーカーや現在のイン 点、アウト点など、クリップに関する情報が表示されます。タイムラインは、特 定のフレームに再生ヘッドを移動したり、イン点やアウト点を設定したりするの にも使えます。 Playhead timecode Playhead Marker In point Out point • 再生ヘッドのタイムコード： タイムラインでの再生ヘッド位置のタイムコー ドが、「時：分：秒：フレーム」の標準的なタイムコード表示で表示されま す。別の値を入力すると、再生ヘッドをタイムライン上の特定の位置に正確に 移動することができます。 メモ: ソースメディアファイルに、何らかのタイムコードが記録されているタ イムコードトラックが含まれている場合は、そのクリップのタイムコードが再 生ヘッドのタイムコードのフィールドに表示されます。それ以外の場合は、タ イムコードは 00:00:00:00 から開始します。 • イン点とアウト点： ソース・メディア・ファイルの全体ではなく一部分のみ をトランスコードしたいときに使います。これらのポイントをドラッグして、 ソースメディアファイル内のトランスコードしたい範囲の始点と終点を指定し ます。ポイントをドラッグすると、「プレビュー」ウインドウの下部にあるイ ン点およびアウト点のタイムコードの値が変わります。（また、イン点設定ボ タンやアウト点設定ボタンをクリックして、再生ヘッドの現在位置にイン点や アウト点を設定することもできます。） 第 26 章 プレビューウインドウを使う 343重要： イン点やアウト点は、トランスコードが終了した後は保存されません。 履歴テーブルからバッチを再実行したい場合は、もう一度クリップにこれらの 点を適用する必要があります。イン点およびアウト点は、設定ではなくソース メディアファイルに割り当てられます。これにより、現在のバッチのソースメ ディアファイルに関連するほかの設定すべてについて、イン点およびアウト点 の位置が同じになります。 • 再生ヘッド： 表示されているフレームがクリップ内のどの辺りにあるのかを、 一目で確認できます。再生ヘッドをドラッグして、クリップ中の特定の場所に すばやく移動することができます。 • マーカー： マーカーがクリップのどこに配置されているかを視覚的に示しま す。マーカーの色はマーカーのタイプを示しています。 • 青： 圧縮マーカー（手動で追加できる圧縮マーカーです。） • 紫： チャプタマーカー（出力メディアファイルでチャプタごとやビジュア ルアートワークごとに移動する際に使うことができる名前付きのマーカーで す。） • 赤： Podcast マーカー（出力メディアファイルでチャプタごとやビジュアル アートワークごとに移動する際に使うことができる名前付きのマーカーで す。） • 緑： 編集／カットマーカー（「Final Cut Pro」のシーケンスの編集点に自動 的に追加される圧縮マーカーです。） • 中央に点のあるグレイのバー： ポスターフレーム（このファイルのポスター フレームとして選択したフレームを示すバーです。） 詳細については、「マーカーとポスターフレームを使って作業する」を参照し てください。 トランスポートコントロール 再生ヘッドを、前後のマーカーまたはイン点／アウト点の位置まで正確に移動さ せます。設定してあるマーカーの間をすばやく移動させるのに便利です。また、 再生ヘッドをクリップの先頭／末尾にすばやく動かすのにも使えます。 Move to previous marker Play/Pause Fast Backward Move to next marker Fast Forward Playback Loop button • 再生／一時停止ボタン： クリップの再生を開始／停止します。再生を停止す ると、再生ヘッドはそのときの位置にとどまります。クリップのスタートに戻 すには、再生ヘッドを最初までドラッグするか、「1 つ前のマーカーに移動」 ボタンをクリックする必要があります。 344 第 26 章 プレビューウインドウを使う• 前のマーカーに移動／次のマーカーに移動ボタン： 再生ヘッドを前後のマー カーまたはイン点／アウト点に移動するか、1 つ前／1 つ先のマーカーがない 場合には、クリップの先頭または末尾に移動します。 • 高速巻き戻し／先送りボタン： 前後どちらの方向にも、通常の 2 倍の速度で クリップを再生できます。再生中にクリックする場合、これらのいずれかのボ タンの 2 回目のクリックで標準の再生速度に戻ります。 • ループ再生ボタン： クリックすると、メディアが繰り返し再生されます。 「マーカー」ポップアップメニュー 「マーカー」ポップアップメニューを使用して、クリップのマーカーを管理しま す。どの設定でもマーカーを使うことができますが、出力ファイルにそれらの マーカーが実際に反映されるのは、MPEG-1、MPEG-2、MPEG-4 を使って、Podcast、 H.264（Apple デバイス用）、QuickTime ムービー向けの出力ファイルフォーマッ トを設定している場合のみです。詳細については、「マーカーとポスターフレー ムを使って作業する」を参照してください。 「マーカー」ポップアップメニューから項目を選択して、マーカーとポスターフ レームを追加したり、取り除いたり、表示したり、隠したり、編集したりしま す。 • チャプタリストを読み込む： ソース・メディア・ファイルのチャプタマーカー の時間リストを含むファイルを読み込むことができる、ファイルの読み込みダ イアログを開きます。詳細については、圧縮マーカーや Podcast マーカーをク リップに追加するを参照してください。 • マーカーを追加／マーカーを取り除く： 実際の状態は、再生ヘッドがマーカー 上にあるかどうかにより異なります。 • 再生ヘッドがマーカー上にない場合： 「マーカーを追加」を選択すると、 タイムライン上で再生ヘッドのそのときの位置に新しいマーカーが配置され ます。 • 再生ヘッドがマーカー上にある場合： 「マーカーを削除」を選択すると、 そのマーカーが削除されます。 第 26 章 プレビューウインドウを使う 345• 編集： 再生ヘッドがマーカー上にある場合にのみ選択できます。「編集」を 選択して表示されるダイアログでは、マーカーを構成できます。このダイアロ グから、マーカータイプを設定できるほか、URLやイメージを割り当てること ができます。詳細については、圧縮マーカーや Podcast マーカーをクリップに 追加するを参照してください。 • チャプタ／Podcastマーカーを表示： チャプタマーカーおよび Podcast マーカー （名前付き）をタイムラインに表示するかどうかを指定します。チェックマー クがついている場合は表示されます。 • 圧縮マーカーを表示： 圧縮マーカー（名前なし）をタイムラインに表示する かどうかを指定します。チェックマークがついている場合は表示されます。 • 編集／カットマーカーを表示： 「Final Cut Pro」など、ほかのアプリケーショ ンによって編集点に自動的に配置されたマーカーをタイムラインに表示するか どうかを指定します。チェックマークがついている場合は表示されます。 • ポスターフレームを設定： この項目を選択すると、現在のフレームがポスター フレームになります。ポスターフレームは、「iTunes」や Finder などのアプリ ケーションでビデオやオーディオのメディアファイルや Podcast チャプタを表 す静止画です。デフォルトでは、ビデオファイルの最初のフレームがポスター フレームになります。 • ポスターフレームを消去： ポスターフレームのマーカーを削除します。 • ポスターフレームへ移動： 再生ヘッドをポスターフレームへ移動します。 クリップをプレビューする 元のソース・メディア・ファイル、または設定を割り当てたソース・メディア・ ファイルをプレビューできます。ソース・メディア・ファイルは、ファイル名で リストに表示されます。ソース・メディア・ファイルに適用されたすべての設定 は、ファイル名の下にすぐにリストされるため、簡単に特定することができま す。元のソース・メディア・ファイルと設定を割り当てたソース・メディア・ ファイルのどちらを表示するかで、「プレビュー」ウインドウに表示されるオプ ションが決まります。 重要： 「エンコーダ」パネルと「フレームコントロール」パネルで行った設定 は、プレビューできません。プレビューできるのは、「フィルタ」パネルと「ジ オメトリ」パネルで行った設定のみです。「エンコーダ」パネルと「フレームコ ントロール」パネルで行った設定をプレビューするほかの方法の詳細について は、プレビューウインドウでクリップの一部をトランスコードするを参照してく ださい。 ソースメディアファイルをプレビューするには 1 「プレビュー」ウインドウを開きます。 346 第 26 章 プレビューウインドウを使うメモ: ファイルは、「プレビュー」ウインドウで手軽に開くことができます。 バッチウインドウでジョブにあるソース・メディア・ファイルをダブルクリック します。 2 以下のいずれかの操作を行います： • 「バッチ項目」ポップアップメニューからソース・メディア・ファイルを選択 します（ファイル名で特定します）。 A setting applied to the source media file “Nancy at table CU 5.” The checkmark indicates that this is currently being viewed in the Preview window. The original source media file “Nancy at table CU 5.” Selects the default color bars image. • ポップアップメニューに目的のソース・メディア・ファイルが表示されるまで 「バッチ項目選択」ボタンをクリックします。 • バッチウインドウでジョブにあるソース・メディア・ファイルを選択します。 ソースビューボタンのみ使えます（出力ビューボタンは淡色表示になっていま す）。これは、通常のソース・メディア・ファイルを選択したためです。した がって、画面分割スライダもクロップバーもない、クリップの内容のみの画面 が表示されます。 3 プレビュー画面のサイズを「プレビュー拡大／縮小」ポップアップメニューから 選ぶか、または「プレビュー」ウインドウのハンドルを、好きなサイズになるよ うドラッグします。 この設定は、実際の出力メディアファイルの表示フレームサイズには影響しませ ん。出力メディアファイルの表示フレームサイズは、「インスペクタ」ウインド ウの「ジオメトリ」パネルでのみ設定することができます。 4 再生ボタンをクリックして、選択したソースメディアファイルをプレビューしま す。 「Final Cut Pro」からのファイルなど、マーカーがすでに追加されたソースメディ アファイルでは、マーカーがタイムラインに表示されます。このマーカーは、必 要に応じて管理できます。詳細については、「マーカーとポスターフレームを 使って作業する」を参照してください。 第 26 章 プレビューウインドウを使う 347割り当てた設定でクリップをプレビューするには 1 「プレビュー」ウインドウを開きます。 メモ: クリップは、「プレビュー」ウインドウで簡単に開くことができます。 バッチウインドウでジョブのターゲット（設定を含む）をダブルクリックしま す。 2 以下のいずれかの操作を行います： • 「バッチ項目」ポップアップメニューから設定を選択します（ソースファイル 名ではなく、字下げされている設定名です）。 • ポップアップメニューに目的のクリップ（設定を適用済み）が表示されるま で、バッチ項目選択ボタンをクリックします。 • バッチウインドウで、ジョブにあるクリップの設定を選択します。 ソース／設定（出力）のどちらの表示ボタンも使えますので、表示を切り替える ことができます。設定を選択したため、「プレビュー」ウインドウでは画面分割 スライダおよびクロップ境界を使うことができます。 3 「プレビュー」ウインドウの右上角にある設定（出力）表示ボタンをクリックし ます。 4 プレビュー画面のサイズを「プレビュー拡大／縮小」ポップアップメニューから 選ぶか、または「プレビュー」ウインドウのハンドルを、好きなサイズになるよ うドラッグします。 この設定は、実際の出力メディアファイルの表示フレームサイズには影響しませ ん。出力メディアファイルの表示フレームサイズは、「インスペクタ」ウインド ウの「ジオメトリ」パネルでのみ設定することができます。 メモ: 「プレビュー」ウインドウで表示しながら設定（「ジオメトリ」パネル） のフレームサイズを調整する場合、フレームサイズはその通りにサイズ変更され ない場合があります。この場合、「バッチ項目」ポップアップメニューから「サ ンプルムービー」または異なるターゲットを選択してから、再度このターゲット を「バッチ項目」ポップアップメニューから選択します。正しいフレームサイズ で表示されます。 5 画面の上辺に沿って画面分割スライダを左右にドラッグし、画面分割スライダを 動かして、クリップのポスト・トランスコードの様子を表示する部分を、増やし たり減らしたりします。 348 第 26 章 プレビューウインドウを使う6 クロップ境界を使って、出力メディアファイルの表示フレームサイズを調整しま す。 Cropping boundary and handles Split screen slider Split screen divider Cropping dimensions (also seen in Source Inset fields in the Geometry pane) Source and Setting View buttons Batch Item pop-up menu 7 ソースと設定（出力）の表示切り替えボタンをクリックして、クロップの結果を 確認します。 メモ: クリップイメージをクロップして小さくするほど、出力イメージの倍率は 大きくなります（ソースファイルでの設定ではなく、出力サイズ比の設定によっ てフレームのジオメトリが決められるためです）。これは、イメージでのズーム インと同様です。ピクセルは大きくなり、全体のイメージが粗くなります。フ レーム固有のサイズまで引き伸ばされたときに、イメージが元のサイズを大きく 超えるほどクロップされすぎないよう気をつけてください。 Source and Setting View buttons 8 調整したいフィルタを選択し、必要な変更を行います。 第 26 章 プレビューウインドウを使う 349メモ: 選択したフィルタには、フィルタリストで名前の横にチェックマークを付 けておく必要があります。そうしなければ、フィルタは設定に適用されません。 Selected filter settings are displayed in the Preview window. Setting selection 9 出力メディアファイルの表示フレームをソースメディアファイルとは異なるサイ ズにする場合は、「インスペクタ」ウインドウで「ジオメトリ」パネルを開き、 「フレームサイズ」ポップアップメニューからプリセット値を選択するか、「幅」 フィールドと「高さ」フィールドに値を入力します。 350 第 26 章 プレビューウインドウを使うメモ: MPEG-2 の表示フレームサイズは、MPEG-2 の仕様に基づいて定められてい るものに限定されます。MPEG-2 では、出力サイズ関連の項目は使用できません。 Cropping dimensions (also displayed in the Inspector window when you drag cropping bars) 10 「プレビュー」ウインドウで再生ボタンをクリックし、クリップを再生します。 以上の設定の詳細については、「プレビュー」ウインドウについてを参照してく ださい。 第 26 章 プレビューウインドウを使う 351Dolby Digital Professional（AC-3）ファイルをプレビューウインド ウで表示する 「プレビュー」ウインドウを使って、Dolby Digital Professional（AC-3）ファイル を再生できます。「Compressor」には、Dolby Digital デコーダが付属しているた め、AC-3 ソース・メディア・ファイルをバッチに追加して再生する際、コン ピュータのスピーカーを使って試聴することができます。3 つ以上のチャンネ ルを含む AC-3 ファイルのミックスダウンバージョンを再生できる内蔵ステレオ スピーカーから、USB や FireWire 出力に接続する外部のサラウンドスピーカー にいたるまで、あらゆるスピーカーに対応できます。 重要： 「Compressor」が Dolby Digital オーディオファイルをデコードするた め、コンピュータの光出力を使って Dolby Digital オーディオをプレビューする ことはできません。 エンコーダの設定は「プレビュー」ウインドウでリアルタイムにプレビューで きないため、この機能は Dolby Digital Professional エンコーダを使っている場合 に重要です。プレビューできない代わりに、エンコードした AC-3 ファイルを バッチに追加して再生し、そのエンコーダの設定で問題ない結果が得られるこ とを確認できます。この目的で短いテストクリップを作成する方法の詳細につ いては、プレビューウインドウでクリップの一部をトランスコードするを参照 してください。 プレビューウインドウでクリップの一部をトランスコー ドする ジオメトリ（クロップと拡大／縮小）とフィルタ調整は「プレビュー」ウインド ウですぐに表示されますが、「エンコーダ」パネルと「フレームコントロール」 パネルの設定は表示されません。「エンコーダ」パネルと「フレームコントロー ル」パネルの設定をプレビューするには、ソース・メディア・ファイルの小さな 一部分でテスト・トランスコードを実行します。 「プレビュー」ウインドウでイン／アウト点を設定し、メディアファイルの全部 ではなく一部分だけをトランスコードすることができます。 メディアファイルの一部を指定してトランスコードするには 1 「プレビュー」ウインドウを開きます。 2 バッチ項目選択ポップアップメニューでクリップを選ぶか、目的のクリップが ポップアップメニューに表れるまでバッチ項目選択ボタンをクリックします。 3 以下のいずれかの操作を行います： • イン点を適切な位置までドラッグします。 352 第 26 章 プレビューウインドウを使う• トランスコードしたい範囲の始点まで再生ヘッドをドラッグしてから、イン点 設定ボタンをクリックします。 Playhead Out point In point Set In Point button Set Out Point button 4 以下のいずれかの操作を行います： • アウト点を適切な位置までドラッグします。 • トランスコードしたい範囲の終点まで再生ヘッドをドラッグしてから、アウト 点設定ボタンをクリックします。 メディアファイルの中でトランスコードされるのは、設定した 2 つの点の間の部 分だけです。クリップの残りの部分はトランスコードされません。 重要： ソース・メディア・ファイルのトランスコードする部分をイン点とアウ ト点を使って指定する場合、ファイルのジョブに割り当てられているすべての ターゲットにその指定が適用されます。ソース・メディア・ファイルをバッチに 何度も追加して複数のジョブを作成し、ジョブごとに異なるイン点とアウト点を 設定できます。 マーカーとポスターフレームを使って作業する 「Compressor」は、異なる種類のマーカーの読み込みと作成が可能です。 「Compressor」はチャプタマーカーのリスト全体を読み込むこともできます。 「Compressor」は、クリップに対するポスターフレームの設定にも対応します。 マーカーをサポートする出力ファイルフォーマット すべての出力ファイルフォーマットでマーカーがサポートされているわけではあ りません。以下に、マーカーをサポートしているフォーマットの一覧を示しま す。 • MPEG-2 第 26 章 プレビューウインドウを使う 353• 放送用に設定する MPEG-4（「拡張 Podcast」チェックボックスが選択されてい る場合はオーディオのみ） • QuickTime ムービー • H.264（Apple デバイス用） ほかの出力ファイルフォーマットにもマーカーを設定できますが、エンコード後 の出力ファイルには含まれません。 マーカーのタイプ 「Compressor」は、以下のタイプのマーカーの読み込みと作成が可能です。 • チャプタマーカー： チャプタマーカーによって、DVD、QuickTimeムービー、 またはビデオ Podcast のインデックスポイントに簡単にアクセスできます。 「QuickTime Player」は、チャプタトラックとして記録されたタイムスタンプを 含むテキスト・トラックを解釈できます。また、チャプタマーカーには、Podcast の再生時に表示するアートワークや URL を割り当てることができます。 これらのマーカーは、「Compressor」を使って手動でマーカーを追加した場合 に作成されるタイプのもので、「プレビュー」ウインドウのタイムラインでは 紫で表示されます。 • Podcast マーカー： チャプタマーカーと同様に、Podcast マーカーにもアート ワークや URL を割り当てることができます。ただし、Podcast マーカーを使っ て、クリップ内のフレームを表示することはできません。また、QuickTime で のチャプタマーカーのようには表示されません。 Podcastマーカーを使って、オーディオ Podcast を再生する際にスライドショー （URL 付き）を視聴者に表示できます。 これらのマーカーは、「プレビュー」ウインドウのタイムラインでは赤で表示 されます。 • 圧縮マーカー： 圧縮マーカーは手動圧縮マーカーとも呼ばれます。これらは、 「Compressor」の「プレビュー」ウインドウで追加できるマーカーで、 「Compressor」での圧縮中に MPEG I フレームが生成されるタイミングを示し ます。I フレームの詳細については、GOP とフレームタイプについて理解する を参照してください。 これらのマーカーは、「プレビュー」ウインドウのタイムラインでは青で表示 されます。 • 編集／カットマーカー： 編集／カットマーカーは自動圧縮マーカーとも呼ば れます。これらのマーカーは、シーケンス内のカットまたはトランジションポ イントごとに設定するものです。トランスコード中、「Compressor」は編集／ カットマーカーを基にしてこれらのポイントに MPEG I フレームを生成し、圧 縮品質を高めます。 これらのマーカーは、「プレビュー」ウインドウのタイムラインでは緑で表示 されます。 354 第 26 章 プレビューウインドウを使う手動でマーカーを追加する／削除する 「プレビュー」ウインドウは、ソース・メディア・ファイルにすでに追加されて いるマーカーを管理する機能、マーカーを手動で追加または削除する機能、チャ プタマーカーのリストを読み込む機能など、マーカーに関するさまざまな機能を サポートしています。クリップにマーカーを追加すると、デフォルトではチャプ タマーカーとして表示されます。その後、必要であれば、圧縮マーカーまたは Podcast マーカーに変更することができます（「圧縮マーカーや Podcast マーカー をクリップに追加する」を参照してください）。 クリップにチャプタマーカーを追加するには 1 「プレビュー」ウインドウを開きます。 2 「マーカー」のポップアップメニューから「チャプタ／Podcast マーカーを表示」 項目を選択して、項目の横にチェックマークを付けます。 3 バッチ項目選択ポップアップメニューでクリップを選ぶか、目的のクリップが ポップアップメニューに表れるまでバッチ項目選択ボタンをクリックします。 4 マーカーが配置されている位置を知るには、以下のいずれかの操作を行います： • マーカーを追加したい場所に、再生ヘッドをドラッグします。 • 再生ヘッドのタイムコードフィールドに、タイムコード値を入力します。 5 マーカーを追加するには、以下のいずれかの操作を行います： • マーカーボタンをクリックし、ポップアップメニューで「マーカーを追加」を 選びます。 • M キーを押します。 タイムラインに紫のチャプタマーカーが表示されます。 A purple marker appears under the playhead after the marker is added. 6 「マーカー」ポップアップメニューから「編集」を選択します（または、Command ＋ E キーを押します）。 マーカーを編集できるダイアログが表示されます。 第 26 章 プレビューウインドウを使う 3557 「名前」フィールドにチャプタマーカーの名前を入力します。 チャプタマーカーの場合、この名前は出力メディアファイルに表示されるため、 「QuickTime Player」および再生デバイスで確認できます。 8 チャプタマーカーにイメージを割り当てたい場合は、「イメージ」ポップアップ メニューから以下のいずれかを選択します： • なし： マーカーにイメージは関連付けられません。 • ソースのフレーム： デフォルトでは、表示されるフレームには、マーカーが 付いています。別のフレームをイメージとして使用するには、別のタイムコー ド値を入力します。 • ファイルから： イメージをイメージウェルにドラッグします。「選択」をク リックしてファイル選択ダイアログを開いてから、静止画像ファイルを選択し てマーカーに割り当てることもできます。 9 「OK」をクリックしてダイアログを閉じます。 「マーカー」ポップアップメニューから「編集」を選択して、チャプタマーカー を圧縮マーカーや Podcast マーカーに変換することもできます。 クリップからマーカーを取り除くには 1 「1 つ前のマーカーに移動」ボタンまたは「1 つ先のマーカーに移動」ボタンを クリックして、取り除くマーカーに再生ヘッドを移動します。 2 マーカーを取り除くには、以下のいずれかの操作を行います： • マーカーボタンをクリックし、ポップアップメニューで「マーカーを取り除 く」を選びます。 • M キーを押します。 マーカーが削除されます。 356 第 26 章 プレビューウインドウを使うチャプタ・マーカー・リストを読み込むには 1 「プレビュー」ウインドウを開きます。 2 バッチ項目選択ポップアップメニューでクリップを選ぶか、目的のクリップが ポップアップメニューに表れるまでバッチ項目選択ボタンをクリックします。 3 「マーカー」ポップアップメニューから「チャプタリストを読み込む」を選択し ます。 ファイルの選択ダイアログが表示されるため、ソース・メディア・ファイルの チャプタ・マーカー・ファイルを探して選択できます。 4 チャプタ・マーカー・ファイルを選択し、「開く」をクリックします。 マーカーが読み込まれ、「プレビュー」ウインドウのタイムラインに追加されま す。 メモ: チャプタ・マーカー・リストを使って読み込まれたすべてのマーカーは チャプタマーカーとして設定されますが、マーカーの編集ダイアログを使えば、 それらを Podcast マーカーや圧縮マーカーに変換することができます。また、必 要に応じて、それらに URL やアートワークを追加することもできます。 重要： リストのタイムコード値は、ソース・メディア・ファイルのタイムコー ドに基づいている必要があります。 圧縮マーカーや Podcast マーカーをクリップに追加する 圧縮マーカーや Podcast マーカーを手動でクリップに追加するには、チャプタ マーカーを追加し（前のセクションで説明）、それを編集します。 メモ: Podcast では、チャプタマーカーと Podcast マーカーの両方を使うことがで きます。ただし、これらのチャプタには相違点があり、視聴者はチャプタマー カーを使って直接移動できますが、Podcast マーカーではできません。詳細につ いては、「マーカーのタイプ」を参照してください。 手動でクリップに圧縮マーカーまたは Podcast マーカーを追加するには 1 「マーカー」のポップアップメニューから「チャプタ／Podcast マーカーを表示」 および「圧縮マーカーを表示」項目を選択して、項目の横にチェックマークを付 けます。 第 26 章 プレビューウインドウを使う 3572 マーカーが配置されている位置を知るには、以下のいずれかの操作を行います： • マーカーを追加したい場所に、再生ヘッドをドラッグします。 • 再生ヘッドのタイムコードフィールドに、タイムコード値を入力します。 3 マーカーを追加するには、以下のいずれかの操作を行います： • マーカーボタンをクリックし、ポップアップメニューで「マーカーを追加」を 選びます。 • M キーを押します。 タイムラインに紫のチャプタマーカーが表示されます。 4 「マーカー」ポップアップメニューから「編集」を選択します（または、Command ＋ E キーを押します）。 マーカーを編集できるダイアログが表示されます。 5 「タイプ」ポップアップメニューから「圧縮」または「Podcast」を選択します。 6 「名前」フィールドにマーカーの名前を入力します。 Podcast マーカーの場合、この名前は視聴者に表示されません。 7 また、「URL」フィールドに URL を入力することもできます。 この URL は Podcast にのみ適用されます。マーカーの名前はアートワーク上に表 示されます。視聴者がクリックすると、その URL のウェブサイトが Web ブラウ ザに表示されます。 8 チャプタマーカーにイメージを割り当てたい場合は、「イメージ」ポップアップ メニューから以下のいずれかを選択します： • なし： マーカーにイメージは関連付けられません。 • ソースのフレーム： デフォルトでは、表示されるフレームには、マーカーが 付いています。別のフレームをイメージとして使用するには、別のタイムコー ド値を入力します。 358 第 26 章 プレビューウインドウを使う• ファイルから： イメージをイメージウェルにドラッグします。「選択」をク リックしてファイル選択ダイアログを開いてから、静止画像ファイルを選択し てマーカーに割り当てることもできます。 9 「OK」をクリックしてダイアログを閉じます。 タイムラインのマーカーが、圧縮マーカーになった場合は青に、Podcast マーカー になった場合は赤に変化します。1 つ前のマーカーと 1 つ先のマーカーボタンを 使えば、タイムラインのほかのマーカーを選択して編集できます。 チャプタマーカーのリストを読み込むオプションもあります。これらのリストと しては、QuickTime TeXML フォーマット（QuickTime ムービーファイル内に 3GPP 準拠の Timed Textトラックを作成するための XML ベースのフォーマット）、また はプレーンテキストのチャプタ・リスト・ファイルを使うことができます。詳細 については、プレーンテキストのチャプタ・マーカー・リストを作成するを参照 してください。 プレーンテキストのチャプタ・マーカー・リストを作成する 「Compressor」で読み込んでマーカーを作成できるタイムコードポイントのリス トを作成できます。タイムコード値は、トラックのビデオクリップのタイムコー ドと一致させる必要があります。タイムコード値のリストは、プレーン・テキス ト・ファイルにする必要がありますが、これは TextEdit で作成できます（保存す る際に、プレーンテキストを選択します）。高度な機能を持ったワープロアプリ ケーションでリストを作成した場合は、必ずフォーマットされていない、プレー ンの ASCII テキストファイルで保存してください。 ファイルは以下のルールに従う必要があります。 • マーカーごとに改行し、各行は「00:00:00:00」フォーマットのタイムコード値 で始まっている必要があります。これらの値でマーカーの位置が特定されま す。 • タイムコード値の後には、マーカーの名前を入力できます。カンマ、スペー ス、タブ文字を使って、タイムコード値とマーカーの名前を分離できます。 • タイムコード値で始まらない行は無視されます。このため、リストにコメント を追加してもかまいません。 • タイムコード値は、時間順にリストする必要はありません。 第 26 章 プレビューウインドウを使う 359ポスターフレームを設定する 「Compressor」を使って、ムービーにポスターフレームを設定できます。ポス ターフレームは、「iTunes」のリストでそのムービーを表すフレームです。ポス ターフレームを設定しないと、ムービーの最初のフレームから 10 秒後のフレー ムが使用されます。 ポスターフレームを設定するには 1 「プレビュー」ウインドウのタイムラインをポスターフレームにしたいフレーム に合わせます。 2 「マーカー」ポップアップメニューから「ポスターフレームを設定」を選択しま す。 中央に点のある縦線がタイムラインに表示されます。 再生ヘッドをポスターフレームに移動するには µ 「マーカー」ポップアップメニューから「ポスターフレームへ移動」を選択しま す。 メモ: この設定は、ポスターフレームが未設定の場合は使用できません。 ポスターフレームの設定を取り除くには µ 「マーカー」ポップアップメニューから「ポスターフレームを消去」を選択しま す。 メモ: この設定は、ポスターフレームが未設定の場合は使用できません。 「プレビュー」ウインドウのキーボードショートカット について 「プレビュー」ウインドウのキーボードショートカットの完全なリストについて は、キーボードショートカットの章の「プレビュー」ウインドウのキーボード ショートカットを参照してください。 360 第 26 章 プレビューウインドウを使う「Compressor」では、トランスコードしたファイルの保存場所を選択することが できます。 書き出し先を選択していない場合、出力ファイルはソースメディアファイルと同 じフォルダに保存されます。これで問題ない場合もありますが、ネット上のサー バにアップロードしたい場合や、特定のタイプの出力ファイルを特定の場所に置 いておきたい場合には、その書き出し先を指定する必要があります。 デスクトップ上に開いているボリュームがあれば、ローカルの書き出し先と同様 に扱われ、通常リモートの書き出し先の場合に必要な設定（ホスト名の指定、 ユーザ名やパスワードの入力など）を行うことなく、出力メディアファイルを直 接保存することができます。書き出し先のリモートオプションを使えば、ネット 上にあるコンピュータの、「ユーザ」ディレクトリの中にあるフォルダに保存す ることができます。 必要な書き出し先を設定していれば、バッチウインドウから直接選択できるの で、「書き出し先」タブを再び開く必要はありません。加えて、カスタム設定を 作成するときは、自動的に使用されるデフォルトの書き出し先を割り当てること ができます。詳しくは、「設定アクションを追加する」を参照してください。 この章では以下の内容について説明します： • 「書き出し先」タブについて (ページ 362) • 「書き出し先」で「インスペクタ」を使う (ページ 363) • 書き出し先を決める (ページ 364) • 警告の三角マーク (ページ 366) • 書き出し先を削除する／複製する (ページ 366) 361 書き出し先を決める／変更する 27「書き出し先」タブについて 「書き出し先」タブと「インスペクタ」ウインドウを使用して、書き出し先の設 定を作成、変更、または削除したり、出力メディアファイル名にファイル識別子 を追加したりできます。 Custom destinations Default destinations Duplicate button Add and Remove buttons Default filename identifiers Filename Template pop-up menu Sample filename line 「書き出し先」タブには以下の項目があります。 • 書き出し先リスト： 書き出し先の名前とパス名がリストされます。 「Apple」フォルダには、次の 4 つのデフォルトの書き出し先があります：「ク ラスタストレージ」は、クラスタのスクラッチストレージの場所です。「デス クトップ」は、ユーザのデスクトップのフォルダです。「ソース」は、ソース メディアファイルがあるフォルダです。「ユーザのムービーフォルダ」は、 ユーザのホームフォルダの「ムービー」フォルダです。 メモ: 「クラスタストレージ」は、分散処理機能が有効にされている 「Compressor」でのみ機能します。 • 追加（＋）ボタン： 書き出し先を作成するには、このボタンをクリックしま す。ファイル選択ダイアログが表示されるため、書き出し先フォルダを選択で きます。 • 複製ボタン： 選択した書き出し先のコピーを作成し、「カスタム」フォルダ に置きます。このオプションを使うと、書き出し先を最初から作るのではな く、既存のものから新しい書き出し先を作った上で、必要に応じて修正するこ とができます。 362 第 27 章 書き出し先を決める／変更する• 「削除」（－）： 選択されているカスタムの書き出し先を、「書き出し先」 タブからすぐに取り除きます。ボタンをクリックしても実行するかどうかは尋 ねられませんので、その書き出し先を本当に削除するかどうか、よく確認して ください。 メモ: 「Apple」フォルダの書き出し先は削除できません。 「書き出し先」で「インスペクタ」を使う 「書き出し先」タブで書き出し先をダブルクリックするか選択すると、「インス ペクタ」ウインドウが開きます。以下の項目があります： • 名前： このフィールドで、「書き出し先」プリセットの名前を変更すること ができます。 • 出力ファイル名のテンプレート： このポップアップメニューを使って、出力 メディアファイルにファイル識別子を追加します。このフィールドは、手動で 変更することもできます。以下の中からどれかを選択すると、出力メディアの ファイル名にその識別子が追加されます。 • 日付： ファイルをトランスコードした日付（年－月－日の形式） • 設定名： トランスコードのジョブに使用された設定の名前 • ソースメディア名： ソースメディアのファイル名（拡張子なし） • ソースメディアの拡張子： ソースメディアファイルの拡張子 第 27 章 書き出し先を決める／変更する 363• 定義済みテンプレートのサンプル： 追加されたファイル識別子を使って、 出力ファイル名のサンプルが表示されます。「サンプル」欄は変更すること ができませんが、識別子を追加したり削除したりするのに合わせて自動的に 変わります。 • パス： 書き出し先フォルダへのパスが表示されます。 書き出し先を決める 「書き出し先」タブと「インスペクタ」ウインドウを使用して、書き出し先を作 成して割り当てたり、出力ファイルにファイル識別子を追加したりできます。 以下の種類の書き出し先を作成できます。 • ローカル： 使っているコンピュータ内のディレクトリ • 開いているボリューム： デスクトップで開いている共有ボリューム メモ: デフォルトでは、出力メディアファイルの書き出し先は、ソースメディア ファイルがあるフォルダと同じです。デフォルトの書き出し先を、ほかの「書き 出し先」プリセットに変更することができます。「Compressor」＞「環境設定」 と選択し、「デフォルトの書き出し先」ポップアップメニューで、「書き出し 先」プリセットの一覧表示から選択します。 書き出し先を作成するには 1 「書き出し先」タブを開きます。 2 追加（＋）ボタンをクリックします。 「書き出し先」選択ダイアログが現れます。 3 ローカルまたは開いているボリュームの、書き出し先にしたいフォルダまで移動 して選択し、「開く」をクリックします。 「書き出し先」タブの「カスタム」フォルダに、フォルダの名前が付いた新規書 き出し先が、すでに割り当てたフォルダへのパスと共に表示されます。 4 「書き出し先」タブで、新規に作成した書き出し先をダブルクリックします。 「インスペクタ」ウインドウが開き、新規の書き出し先に関連する情報が表示さ れます。 364 第 27 章 書き出し先を決める／変更する5 「インスペクタ」で、以下のいずれかの操作を行います： • 「名前」フィールドで、新規の書き出し先の名前を変更します。 • 新規の書き出し先のパス名を変更するには、「選択」をクリックして書き出し 先選択のダイアログを開き、新しいフォルダに移動します。 6 「出力ファイル名のテンプレート」フィールドのポップアップメニューで、出力 ファイル名の識別子を追加します。 Filename Template pop-up menu また、以下の操作でこのフィールドを手動で編集することもできます： • ファイル識別子をドラッグし、順序を並べ替える。 • ファイル識別子の先頭または末尾をクリックし、テキストを追加する。 • キーボードの Delete キーで任意のファイル識別子を削除する。 「インスペクタ」ウインドウの「定義済みテンプレートのサンプル」フィールド には、設定されたファイル識別子による出力ファイルのサンプルが表示されま す。デフォルトのファイル識別子の組み合わせは、「ソースメディア名–設定名」 です。 メモ: 「ファイル名テンプレート」をカスタマイズする場合は、ピリオド（.）で 始まる名前を付けないでください。ピリオド（.）で始まる名前のファイルは、 Mac OS X の Finder では見ることができず、コマンドラインでしか扱うことがで きません。 以上の設定に関する詳細については、「書き出し先」タブについてを参照してく ださい。 デフォルトの書き出し先を変更するには 1 「Compressor」＞「環境設定」と選択します。 2 「デフォルトの書き出し先」ポップアップメニューで、既存の「書き出し先」プ リセットのリストから、書き出し先を 1 つ選びます。 選択した書き出し先は、「バッチ」ウインドウに新しいソースファイルを読み込 むと、デフォルトの書き出し先として表示されます。 第 27 章 書き出し先を決める／変更する 365警告の三角マーク 書き出し先に問題が生じた場合、黄色い警告の三角マークが現れます。トランス コードを正しく終了させるには、前もってこの問題を解消しておく必要がありま す。警告の三角マークは、「書き出し先」タブでは、書き出し先が見当たらない 場合や書き込みができない場合に現れ、バッチウインドウでは、以下の場合に現 れます： • 書き出し先にすでに同じファイルがある場合。 • 同じ名前の書き出し先が 2 つある場合。 • 書き出し先が見当たらない、または書き込みができない場合。 警告は、問題が発生した各レベル（プリセット、ジョブ、バッチ）で表示され、 上のレベルに波及します。したがって、プリセットのレベルで問題が起きれば、 プリセットとジョブの横に警告の三角マークが表示されることになります。 警告の三角マークの上にポインタを重ねてしばらくすると、問題について説明す るツールヒントが表示されます。問題が解消されると警告の三角マークは消え、 トランスコードを実行できるようになります。 Click the warning symbol to see an explanation about why it is there. 書き出し先を削除する／複製する 書き出し先については、不要になったものの削除や、既存の書き出し先に基づく 新規書き出し先の作成といった管理作業を行うことができます。 書き出し先を削除するには 1 「書き出し先」タブを開きます。 2 「書き出し先」タブで、削除したい書き出し先を選択してから、削除（－）ボタ ンをクリックするか、Delete キーを押します。 366 第 27 章 書き出し先を決める／変更する重要： この操作では、ボタンをクリックしても実行するかどうか尋ねられませ んので、その書き出し先を本当に削除するかどうか、よく確認する必要がありま す。 Remove button 書き出し先を複製するには 1 「書き出し先」タブを開きます。 2 「書き出し先」タブでコピーしたい書き出し先を選択し、複製ボタンをクリック します。 Duplicate button 第 27 章 書き出し先を決める／変更する 367「書き出し先」タブに、「_コピー」と付け加えられた名前で、新しいエントリー が表示されます。名前以外は、この書き出し先は元のものとまったく同一です。 複製した書き出し先の名前は、適宜変更してください。 The duplicated destination 368 第 27 章 書き出し先を決める／変更する「Compressor」では、1 つまたは複数の設定や、設定のグループを、1 つのドロッ プレットとして保存することができます。ドロップレットとは、「Compressor 」が作り出す独立のプリセットで、アイコンとして保存される、ドラッグ＆ド ロップ対応のアプリケーションです。 ソースメディアファイルをドロップレットのアイコンへドラッグすると、埋め込 まれている設定を元に、ファイルに対して自動的にトランスコードが実行されま す。「Compressor」が開いているかどうかにかかわらず、トランスコードの処理 が開始します。 Drag selected source media files to a Droplet to transcode them. ドロップレットには、いくつでもメディアファイルをドラッグすることができま す。ドロップレットをダブルクリックして開き、埋め込まれている設定を見るこ とができます。 メモ: 「Compressor」がインストールされたコンピュータでないと、ドロップレッ トを使うことはできません。 この章では以下の内容について説明します： • ドロップレットを作成する (ページ 370) • 「ドロップレット」ウインドウについて (ページ 373) • ドロップレットの設定を確認する (ページ 375) • ドロップレットを使ってソースメディアファイルをトランスコードする (ペー ジ 377) • Compressor でドロップレットを使ってジョブと設定を作成する (ページ 379) • ドロップレットのヒント (ページ 380) 369 ドロップレットを使う 28ドロップレットを作成する ドロップレットの作成は簡単です。ドロップレットを作成しておけば、メディア ファイルのトランスコードをすばやく簡単に実行することができます。 「Compressor」には、ドロップレットを作成する方法が 2 つ用意されており、そ れぞれ独自の利点があります。「設定」タブで、「選択したものをドロップレッ トとして保存」ボタンを使うことができます。また、「ファイル」メニューで、 「ドロップレットを作成」項目を選択することができます。 「設定」タブからドロップレットを作成する すでに「設定」タブで作業していて、ドロップレットの作成元にしたい既存の設 定が分かっている場合は、選択したものをドロップレットとして保存するボタン が、ドロップレットを作成するための便利なツールです。 「設定」タブの選択したものをドロップレットとして保存するボタンを使ってド ロップレットを作成するには 1 「設定」タブを開きます。 2 ドロップレットとして保存したい 1 つまたは複数の設定あるいは設定のグループ を選択します。 • 選択したものをドロップレットとして保存するボタンをクリックします。 “Save Selection as Droplet” button • 選択した設定を Control キーを押したままクリックし、ショートカットメニュー から「ドロップレットとして保存」を選択します。 「保存」ダイアログが現れます。 メモ: Shift キーを押したままクリックするか、Command キーを押したままクリッ クして、複数の設定または設定のグループをドロップレットに追加することがで きます。この場合、すべてのソースメディアファイルが、ドロップレットに入っ ているすべての設定に従ってトランスコードされます。たとえば、3つの設定が 入っているドロップレットを使って 2 つのソースメディアファイルにトランス コードを実行した場合、「Compressor」は異なる出力メディアファイルを 6 つ作 成します。 370 第 28 章 ドロップレットを使う3 「保存」ダイアログで、「別名で保存」フィールドにドロップレットの名前を入 力し、「場所」ポップアップメニューでドロップレットを保存する場所を指定し ます。 ドロップレットはコンピュータのどこにでも保存することができますが、ソース メディアファイルを手軽にドラッグできるようデスクトップに保存するのが便利 です。 4 「ドロップレット結果の書き出し先を選択」ポップアップメニューを使って、ド ロップレットによって作成される出力メディアファイルの書き出し先フォルダを 選択します。 選択できるのは、「書き出し先」タブを使ってすでに作成されている書き出し先 だけです。「カスタム」に書き出し先が作成されていない場合は、4つのデフォ ルトの「Apple」書き出し先のみが「ドロップレット結果の書き出し先を選択す る」ポップアップメニューに表示されます。書き出し先の詳細については、書き 出し先を決めるを参照してください。 5 「保存」をクリックします。 指定した場所に、新しく作ったドロップレットのアイコンが表示されます。これ で、トランスコードを行うことができます。 「ファイル」メニューからドロップレットを作成する Compressor アプリケーション内のどこで作業しているかに関係なく、「ファイ ル」メニューの「ドロップレットを作成」項目はいつでも使用できます。 「ファイル」メニューの「ドロップレットを作成」コマンドを使ってドロップ レットを作成するには 1 「ファイル」＞「ドロップレットを作成」と選択します。 ドロップレットの設定を選択して保存するダイアログが表示されます。 第 28 章 ドロップレットを使う 3712 ドロップレットとして保存したい 1 つまたは複数の設定あるいは設定のグループ を選択します。 Shift キーを押したままクリックするか、Command キーを押したままクリックし て、複数の設定または設定のグループをドロップレットに追加することができま す。この場合、すべてのソースメディアファイルが、ドロップレットに入ってい るすべての設定に従ってトランスコードされます。たとえば、3つの設定が入っ ているドロップレットを使って 2 つのソースメディアファイルにトランスコード を実行した場合、「Compressor」は異なる出力メディアファイルを 6 つ作成しま す。 3 「別名で保存」フィールドにドロップレットの名前を入力し、「場所」ポップ アップメニューでドロップレットを保存する場所を指定します。 ドロップレットはコンピュータのどこにでも保存することができますが、ソース メディアファイルを手軽にドラッグできるようデスクトップに保存するのが便利 です。 4 「ドロップレットで作成されたファイルの書き出し先」ポップアップメニューを 使って、ドロップレットによって作成される出力メディアファイルの書き出し先 フォルダを選択します。 選択できるのは、「書き出し先」タブを使ってすでに作成されている書き出し先 だけです。「カスタム」に書き出し先が作成されていない場合は、4つのデフォ ルトの「Apple」書き出し先のみが「ドロップレット結果の書き出し先を選択す る」ポップアップメニューに表示されます。書き出し先の詳細については、書き 出し先を決めるを参照してください。 5 「保存」をクリックします。 指定した場所に、新しく作ったドロップレットのアイコンが表示されます。これ で、トランスコードを行うことができます。 Drag selected source media files to a Droplet to transcode them. 372 第 28 章 ドロップレットを使う「ドロップレット」ウインドウについて 任意のドロップレットを開いてすべての詳細を表示したり、設定とソースメディ アファイルを追加、削除、および変更したりできます。また、「ファイル名テン プレート」を使って出力メディアファイルのファイル名を変更したり、ドロップ レットによって作成される出力メディアファイルの書き出し先フォルダを変更し たりすることもできます。 ファイル識別子の使いかたの詳細については、「書き出し先」タブについてを参 照してください。 Destination pop-up field “Show window on startup” checkbox Submit button Source files table Individual jobs Jobs table Job Type Filename Template Action checkbox (only present for some job types) Job type identifier Show Info button Add Output and Remove Output buttons 「ドロップレット」ウインドウには以下の項目があります。 • 書き出し先： 出力メディアファイルの書き出し先が表示されます。この場所 を変更するには、フィールドをクリックして「Compressor」で定義された書き 出し先を選択するか、「選択」ボタンをクリックして「書き出し先」ダイアロ グを開き、フォルダを選択します。 第 28 章 ドロップレットを使う 373• ソースファイル： 実行するバッチのすべてのジョブのリストが入っています。 「起動時にウインドウを表示」チェックボックスが選択されていると、ソース メディアファイルをドロップレットのアイコンへドラッグしたときに「ドロッ プレット」ウインドウが開き、「ソースファイル」テーブルにすべてのソース メディアファイルが表れます。このテーブルへは、1 つまたは複数のソースメ ディアファイルをドラッグすることができます。ドラッグしたファイルは、 バッチを実行するとトランスコードされます。「バッチ」ウインドウでの、通 常のバッチの実行と同じです。 • 「ジョブタイプ」ポップアップメニュー： このポップアップメニューから、 出力メディアファイルのタイプを選択できます。オプションには、 「Apple TV」、「Blu-ray」、「DVD」、「iPhone」、「iPod」、「YouTube」、 および「その他」があります。「その他」オプションでは、「Compressor」の 既存の設定のリストから選択できるダイアログが開きます。これらの各ジョブ タイプの詳細については、簡単な Compressor ワークフロー：バッチテンプレー トを使う方法およびジョブ操作についてを参照してください。 • 「ジョブ」テーブル： このテーブルの各ジョブは、「ソースファイル」リス トの各項目から生成される個々のメディアファイルを表しています。 • ファイル名テンプレート： 出力メディアファイルのファイル名が自動的にこ のフィールドに入力されます。ファイル名の最初の部分は、ソースファイル名 に基づいています。また、出力タイプ識別子（「iPod」や「YouTube」など） がファイル名の末尾に自動的に追加されます。ファイル名のどの部分も、ダブ ルクリックして手動で編集することができます。 • ジョブタイプ識別子： 出力タイプ識別子（「iPod」や「YouTube」など）が各 ファイル名の末尾に自動的に追加されます。どの出力タイプ識別子も、ダブル クリックして手動で編集することができます。 • 「出力を追加」／「出力を取り除く」ボタン： 「出力を追加」をクリックす ると、追加の出力が作成されます。特定の出力を取り除くには、その出力の 「出力を取り除く」ボタンをクリックします。 • 情報を表示するボタン： このボタンをクリックすると、現在の設定と出力メ ディアファイルに関する広範な詳細が表示されます。複数のソースファイルを トランスコードする場合は、個々のメディアファイルの情報を表示できます。 • 操作チェックボックス： このチェックボックスを選択すると、（出力メディ アファイルを作成するだけでなく）トランスコード後のアクションが有効にな ります。詳細については、ジョブ操作を追加するを参照してください。 374 第 28 章 ドロップレットを使う• 「起動時にウインドウを表示」チェックボックス： このチェックボックスが 選択されていると、バッチが実行される前に「ドロップレット」ウインドウが 開きます（ソース・メディア・ファイルをドロップレットのアイコンへドラッ グした時に開きます）。このウインドウで、ドロップレットに入っている設定 を確認することができます。チェックボックスが選択されていない場合、バッ チをドロップレットのアイコンへドラッグするとただちに（何らかのエラーが 生じない限り）そのバッチが実行され、「ドロップレット」ウインドウは開き ません。 • 実行： 実行ダイアログを開いてバッチを実行する場合に、このボタンをクリッ クします。実行の詳細については、ドロップレットを使ってソースメディア ファイルをトランスコードするおよびバッチを実行するを参照してください。 この操作は、「起動時にウインドウを表示」チェックボックスが選択されてい る場合にのみ必要です。チェックボックスが選択されていない場合は、バッチ は自動的に実行されます。 ドロップレットの設定を確認する このセクションでは、ドロップレットの設定を確認および調整するいくつかの方 法について説明します。 「起動時にウインドウを表示」チェックボックス 「ドロップレット」ウインドウ下部の「起動時にウインドウを表示」チェック ボックスを使って、バッチをドロップレットのアイコンへドラッグした時に「ド ロップレット」ウインドウが開かれるかどうかを設定します。チェックボックス が選択されていれば、ドロップレットのアイコンへバッチをドラッグした時に 「ドロップレット」ウインドウが開き、ドロップレットの設定を確認することが できます。 チェックボックスが選択されていない場合は、ドロップレットのアイコンをダブ ルクリックすればウインドウが開き、設定を確認できます。 “Show window on startup” button Show Details button ドロップレットの設定の詳細については、「ドロップレット」ウインドウについ てを参照してください。 第 28 章 ドロップレットを使う 375「詳細情報を表示」／「詳細情報を隠す」ボタン このボタンを使って、特定のジョブのアクションパネルを開いたり閉じたりしま す。アクションパネルを使って、ジョブアクションを適用および調整することが できます。トランスコード後のアクションの詳細については、ジョブ操作を追加 するを参照してください。 Show/Hide Details button DVD Action drawer 情報ボタン ジョブの情報ボタンをクリックすると、生成される出力メディアファイルの詳細 情報が表示されます。 “Show info for” pop-up menu メモ: 複数のソースファイルをトランスコードする場合は、情報ダイアログの 「情報を表示」ポップアップメニューを使って、詳細を表示する特定のソースメ ディアファイルを選択できます。 376 第 28 章 ドロップレットを使うドロップレットを使ってソースメディアファイルをトラ ンスコードする ドロップレットを作っておけば、ソースメディアファイルをドロップレットのア イコンへドラッグしてトランスコードすることができます。 ドロップレットを使ってソースメディアファイルをトランスコードするには 1 ソースメディアファイルを選択してドラッグし、ドロップレットのアイコンに重 ねます。 以降の動作は、「ドロップレット」ウインドウ下部の「起動時にウインドウを表 示」チェックボックスの設定によって異なります。 • 「起動時にウインドウを表示」チェックボックスが選択されていない場合： ドロップレットは、ただちにソースメディアファイルのトランスコードを開始 します。 • 「起動時にウインドウを表示」チェックボックスが選択されている場合： 「ド ロップレット」ウインドウが開き、ドロップレットの「ソースファイル」テー ブルにソース・メディア・ファイルが表示されます。バッチを実行するには、 次のステップ 2 に進みます。 「ドロップレット」ウインドウが開く場合は、すべての詳細を表示したり、設 定とソースメディアファイルを追加、削除、および変更したりできます。ま た、「ファイル名」フィールドを使って出力メディアファイルのファイル名を 変更したり、ドロップレットによって作成される出力メディアファイルの書き 出し先フォルダを変更したりすることもできます。 2 設定が済んだら、「実行」をクリックします。 第 28 章 ドロップレットを使う 377実行ダイアログが表示されます。実行ダイアログの詳細については、バッチを実 行するを参照してください。 3 「名前」フィールドにバッチの名前を入力します。 これは、「Share Monitor」でバッチを識別するのに役立ちます。 4 「クラスタ」ポップアップメニューを使って、バッチを処理するコンピュータま たはクラスタを選択します。 デフォルトの「クラスタ」設定は「このコンピュータ」で、バッチを完了する上 で「Compressor」がこのコンピュータ以外のコンピュータを使用しないように なっています。このリストに表示されている使用可能なクラスタの中からいずれ かのクラスタを選択することができます。Apple Qmaster 分散処理ネットワーク の設定について詳しくは、「Apple Qmaster と分散処理」を参照してください。 5 「このコンピュータプラス」チェックボックスを選択して、「このコンピュー タ」および使用可能なすべてのサービスノードを含む一時的なクラスタを作成し ます。 詳細については、「「このコンピュータプラス」および非管理サービスについ て」を参照してください。 6 「優先順位」ポップアップメニューを使って、バッチの優先順位レベルを選択し ます。 7 「実行」をクリックするか、または Enter キーを押して、バッチを実行します。 各ソースメディアファイルが、ドロップレットに入っている設定や設定グループ によって処理されます。 8 ソース・メディア・ファイルの処理の状況を確かめたい場合は、「Share Monitor」 を開きます。 詳細については、「Share Monitorユーザーズマニュアル」を参照してください。 「ドロップレット」ウインドウが開いている場合は、「ソースファイル」テーブ ルへソースメディアファイルを直接ドラッグしてトランスコードを実行すること ができます。 開いているドロップレットを使ってソースメディアファイルをトランスコードす るには 1 ドロップレットを開くには、アイコンをダブルクリックします。 378 第 28 章 ドロップレットを使う2 Finder でソースメディアファイルを選び、ドロップレットの「ソースファイル」 テーブルにドラッグします。 3 必要に応じてドロップレットの設定を変更し、「実行」をクリックします。 各ソースメディアファイルが、ドロップレットに入っている設定や設定グループ によって処理されます。たとえば、3 つの設定が入っているドロップレットを 使って 2 つのソースメディアファイルにトランスコードを実行した場合、 「Compressor」は異なる出力メディアファイルを 6 つ作成します。 4 ソース・メディア・ファイルの処理の状況を確かめたい場合は、「Share Monitor」 を開きます。 Compressor でドロップレットを使ってジョブと設定を作 成する Finderから「Compressor」の「バッチ」ウインドウにドロップレットをドラッグ して、ドロップレットに基づいて完全なジョブまたはターゲットを作成するか、 「バッチ」ウインドウの既存のジョブにターゲット（設定と書き出し先）を適用 することができます。 ドロップレットを使って新しいジョブを作成するには µ 「バッチ」ウインドウの空の領域にドロップレットをドラッグします。 新しいジョブが表示され、設定と書き出し先を含むドロップレットのプロパティ から 1 つまたは複数のターゲット行が指定されます。 ドロップレットを使って新しいターゲットを作成するには µ 「バッチ」ウインドウのジョブタイル上の空の領域にドロップレットをドラッグ します。 1つまたは複数の新しいターゲット行がジョブに表示され、設定と書き出し先を 含むドロップレットのプロパティから指定されます。 第 28 章 ドロップレットを使う 379ドロップレットのヒント ここでは、ドロップレットを使ってソース・メディア・ファイルをトランスコー ドする際のその他のヒントを示します。 ドロップレットと Compressor の処理サービス 最初にアプリケーションを開かずに、またはドロップレットを開かずに、ファイ ルをドロップレットアイコンにドラッグすると、「Compressor」はそのコンピュー タが使用できないことを示す警告メッセージを表示する場合があります。これ は、「Compressor」の処理サービスがバックグラウンドで起動していないことを 示しています。「ドロップレット」ウインドウの一番下にある「実行」をクリッ クしてください。「Compressor」の処理サービスが起動し、ファイルがトランス コードされます。 ドロップレットと多数のソース・メディア・ファイル ドロップレットを使って多数のソース・メディア・ファイル（200以上）を実行 すると、「処理の準備中」という警告メッセージから約 1 分遅れてジョブが実行 されていることを示すダイアログのレポートが表示される場合があります。この ようなレポートの遅延を避けたい場合は、ドロップレットで一度に実行するソー スファイルの数を減らしてください。 380 第 28 章 ドロップレットを使う一連の大きなファイルのトランスコードや処理を 1 台のデスクトップ上で行う と、コンピュータへの負荷が大きく処理に時間がかかります。複数のコンピュー タに処理を分散することによって、スピードと生産性を向上させることができま す。 この章では以下の内容について説明します： • 分散処理の基本 (ページ 381) • Apple Qmaster 分散処理システムの基本的なコンポーネント (ページ 383) • 「このコンピュータプラス」を使ったクイックスタート (ページ 391) • QuickCluster を使ったクイックスタート (ページ 393) • Apple Qmaster 分散処理システムのインターフェイス (ページ 395) • Compressor の「Apple Qmaster 共有」ウインドウ (ページ 402) • クラスタの全般的な情報 (ページ 407) • 「Apple Qadministrator」でクラスタを作成する (ページ 420) • 「Shake」を使ってパートタイム分散処理を設定する (ページ 422) 分散処理の基本 分散処理は、処理能力向上のために選択された複数のコンピュータに作業を分散 することで処理を高速化します。ユーザが処理したいジョブのバッチを Apple Qmaster 分散処理システムで実行すると、このシステムはジョブを最も効 率的な方法でほかのコンピュータに割り当てます（詳細については、 「Apple Qmaster システムはどのようにバッチを分散するか」を参照してくださ い）。 381 Apple Qmaster と分散処理 29バッチを Apple Qmaster 分散処理システムで実行させるコンピュータをクライア ントと呼びます。ジョブとは、「Compressor」のプリセットとソースのペア、 Shake ファイルといった処理タスクのことです。その他、UNIX コマンドを使って レンダリングの指示やファイルの位置／保存先などを指定するファイルやコマン ドも含まれます。 Batch of processing jobs Client computer Jobs are submitted. Destination folder Files are placed at specified destination. Processed files Apple Qmaster cluster Processing is performed by cluster. Network バッチとは、同時に実行されて処理される 1 つまたは複数のジョブを指します。 プロセスとしては、複数のページを持つ文書を 1 つのワープロアプリケーション からプリントし、ファイルのスプールと処理がバックグラウンドで行われるのに 似ています。1 つのバッチには 1 つのジョブしか含められませんが、通常は複数 のジョブを同時に実行させて処理したいと考えます。同様に、複数の人々が同じ Apple Qmaster システムを同時に使用し、同じ時間枠内に複数のクライアントコ ンピュータにバッチを実行させることができます。バッチの管理と分散は、次の セクションで説明する Apple Qmaster クラスタコントローラとして指定されたコ ンピュータで行います。 分散処理システムの設定には、3 つのアプローチがあります： • 「このコンピュータプラス」の使用： 「このコンピュータプラス」の使用は、 分散処理システムを作成するための最も簡単なアプローチです。処理の実行を 担当するコンピュータ上に、サービスノードとして設定した「Compressor」を インストールするだけです。詳細については、「「このコンピュータプラス」 を使ったクイックスタート」を参照してください。 • QuickClusterの作成： QuickClusterを作成するアプローチでは、対応するインス タンスの数を、使用可能なコアの数に基づいて選択することで、1 台のコン ピュータをクラスタとして構成できます。詳細については、「QuickCluster を 使ったクイックスタート」を参照してください。 • クラスタの手動作成： 大規模なインストールでは、クライアントから使用で きる管理クラスタを手動で作成できます。詳細については、 「「Apple Qadministrator」でクラスタを作成する」を参照してください。 382 第 29 章 Apple Qmaster と分散処理重要： 分散処理（「このコンピュータプラス」、QuickCluster、管理クラスタ） の利用時に、ユーザの認証が要求される場合があります。これは、 「Apple Qmaster」では、処理中のコンピュータがメディアファイルにアクセスで きるようにするためのメディアファイルへのリンクがあるフォルダを、NFS 共有 を使用して共有する必要があるためです。この共有によって、このフォルダは、 その IP アドレスを知っている任意のコンピュータで使用できるようになります。 機密性の高いメディアを分散処理で扱う場合は、コンピュータがファイアウォー ルで保護されていることを確認してください。 分散処理システムを構成するさまざまなコンポーネントについて詳しくは、 「Apple Qmaster 分散処理システムの基本的なコンポーネント」を参照してくだ さい。 Apple Qmaster 分散処理システムの基本的なコンポーネン ト いくつかのアプリケーションから成る Apple Qmaster ソフトウェアですが （「Apple Qmaster 分散処理システムのインターフェイス」を参照）、全体とし ては以下の基本的なコンポーネントを持つネットワーク化されたシステムの一部 です。 メモ: 分散処理システム内の Compressor、QuickTime、Mac OS のバージョンはす べて同一である必要があります。 • クライアント： 「Compressor」または「Apple Qmaster」を使ってジョブの分 散処理を実行する 1 台または複数台のコンピュータを指します。Apple Qmaster サービスを使って処理を行うことができるアプリケーションに、 「Compressor」、「Shake」、Autodesk 社の「Maya」、その他の UNIX コマンド ラインプログラムなどがあります。「Final Cut Pro」と「Motion」がインストー ルされているコンピュータもクライアントになれます。 • Apple Qmaster クラスタ： Apple Qmaster クラスタには以下のものが含まれま す： • サービスノード： 「Compressor」または「Apple Qmaster」を通して実行さ れたバッチを処理するコンピュータです。バッチには 1つまたは複数のジョ ブが含まれます。 第 29 章 Apple Qmaster と分散処理 383• クラスタコントローラ： 「Compressor」の「Apple Qmaster 共有」ウインド ウから有効にできるソフトウェアで、バッチを分割し、作業を割り当てる サービスノードを決定し、また多くの場合には処理のトラッキングと管理も 行います。 Cluster controller manages the distribution of client’s jobs across the cluster Service node processes jobs Cluster (can contain multiple service nodes, but only one cluster controller) Client computer from which users send jobs to the cluster Service node processes jobs Service node processes jobs Service node processes jobs 多くの場合、クライアントコンピュータ、サービスノード、およびクラスタコン トローラは、潜在的に最大の処理スピードを得るために別々の（しかしネット ワークでつながった）コンピュータ上に置かれます。ただし、クラスタコント ローラはクライアントコンピュータやサービスノード上に置くこともできます。 詳細については、「2 種類の分散処理タスクに 1 台のコンピュータを使用する」 を参照してください。 以下は、Apple Qmaster システムにおけるより詳しい各コンポーネントの役割で す。 クライアント バッチの分散処理を実行するのがクライアントコンピュータです。「Compressor」 をインストールした、クラスタコントローラと同じネットワーク（サブネット） 上にあるコンピュータなら、どのコンピュータでもクライアントコンピュータに できます。複数のクライアントコンピュータを同じクラスタを使って同じサブ ネットに置き、さまざまなアプリケーション用の処理を行わせることができま す。 クライアントで処理するバッチは、アプリケーション「Compressor」または 「Apple Qmaster」を使って実行します。これらのアプリケーションの使いかたに ついて詳しくは、「トランスコードの基本的なワークフロー」および「 Apple Qmaster ユーザーズマニュアル 」を参照してください。 384 第 29 章 Apple Qmaster と分散処理クラスタ クライアントがバッチを Apple Qmaster 分散処理システムに送る場合、処理およ びその後の出力ファイルの移動をすべて実行するのが、クラスタと呼ばれる 「Apple Qmaster」によって構成されたコンピュータのグループです。クラスタ 1 つあたりに 1つのクラスタコントローラを設定し、サービスノードの 1つまたは 複数のクラスタを作成できます。あるクラスタ内のコンピュータは、クラスタ内 のほかのコンピュータとネットワーク経由で接続されています。 Cluster controller Service node Service node Service node Example of a cluster メモ: この図は簡単なクラスタの一例を示します。このほかの構成例について は、「分散処理ネットワークの例」を参照してください。 サービスノード サービスノードとは、処理を実行する場所です。サービスノードのグループをク ラスタに割り当てると、リソースを共有できるようになるためにグループ全体が 1 台の強力なコンピュータとして機能します。1 つのサービスノードが過負荷ま たはアクセス不可能な状態になると、別のサービスノードが使用されます。 あるコンピュータをサービスノードとして使用可能にするには、そのコンピュー タを「Apple Qmaster 共有」ウインドウで設定します。このウインドウは、 「Compressor」で「Apple Qmaster」メニューから「このコンピュータを共有」を 選択すると開きます。 最低限必要な知識 以下は分散処理ネットワーク設定に関する基本的なルールです： • クラスタはクラスタコントローラとして機能するコンピュータを 1 台（1 台の み）と、サービスノードとして機能するコンピュータを最低 1台含む必要があ ります。（クラスタコントローラとサービスノードは、「2 種類の分散処理タ スクに 1台のコンピュータを使用する」に示すように 1台のコンピュータで兼 用させることもできます。） • クライアントコンピュータ、およびクライアントコンピュータをサポートする クラスタ内のすべてのコンピュータは、同じネットワーク上にある必要があり ます。 第 29 章 Apple Qmaster と分散処理 385• ネットワークは Mac OS X に組み込まれた Apple のネットワーキングテクノロ ジーをサポートしている必要があります。 • クラスタ内のすべてのコンピュータには、ファイルの出力先として指定したす べてのコンピュータ（またはストレージデバイス）で読み書きできるアクセス 権が必要です。 分散処理ネットワークの例 最も簡単な分散処理ネットワークは 2 台のコンピュータから構成できます： • クライアントに接続され、サービスノードとクラスタコントローラの両方とし て機能するように設定されたコンピュータ 1 台 • クライアントコンピュータ 1 台 Client Service node with cluster controller enabled Minimum setup for distributed processing 非常に簡単ですが、この構成はクライアントコンピュータの負荷を大幅に削減で きるので、小規模な環境では大変役立ちます。 2 種類の分散処理タスクに 1 台のコンピュータを使用する リソースを最大限に活用するために、複数の分散処理機能に複数のコンピュー タを使用したい場合があります。 • サービスノードとクラスタコントローラ： 小規模の構成では、クラスタ内の あるサービスノードをクラスタコントローラとして機能させて、両方の役割 を兼用させることができます。ただし、多くのサービスノードを含むクラス タの場合、クラスタコントローラに必要な処理能力が非常に大きくなるため、 サービスノードとクラスタコントローラを 1 台のコンピュータに兼用させる と効率的でないことがあります。 • クライアントコンピュータとクラスタコントローラまたはサービスノード： クライアントコンピュータを、クラスタのクラスタコントローラまたはサー ビスノードとして機能させることも可能ですが、コンピュータの処理能力が 高いほど、高速でジョブの管理と処理ができることを忘れないでください。 386 第 29 章 Apple Qmaster と分散処理以下の構成は、デスクトップコンピュータを使う環境用です。これは、各コン ピュータをワークステーションとして使用しつつ、同時に分散処理クラスタの一 部としても使用するため、「パートタイム」処理と呼ばれます。1 日の最後に ジョブをまとめて「Compressor」または「Apple Qmaster」で実行させれば、ワー クステーションユーザの帰宅後にコンピュータを占有して分散処理バッチの大き なキューを処理できます。（サービスノード稼働率のスケジューリングに関する 詳細は、「「Apple Qmaster 共有」ウインドウの詳細設定について」および「動 作スケジュール設定用ダイアログでのサービスの使用可能状態のスケジュール設 定」を参照してください。） Network FireWire drive FireWire drive FireWire drive FireWire drive FireWire drive Each computer acts as both a client that submits jobs for processing and a service node that performs the processing. All source and output files are stored on the FireWire drives. 上に示したサンプル構成では、5台のコンピュータが、クライアント（ジョブを クラスタに送って分散処理を開始させるユーザワークステーション）とクラスタ （実際に分散処理を行うコンピュータ）の両方として機能しています。各コン ピュータには FireWireドライブなどの追加ボリュームがあり、レンダリング前お よびレンダリング後のメディアや関連ファイルの格納に使用できます。 第 29 章 Apple Qmaster と分散処理 387さらにレンダリング処理能力を高めるには、LAN 上の多数のクライアントコン ピュータを高速スイッチを使ってクラスタに接続することをお勧めします。クラ スタとして機能するラックにセットしたサーバ群は、非常に強力なレンダリング エンジンとなります。それぞれのサービスノードは、レンダリングのジョブを処 理できるように、適切なクライアントアプリケーションのコピーをローカルに持 ちます。 Client Client Client Client Example of a network setup for distributed rendering High-speed switches (chained together) Rack of servers containing cluster controller and service nodes, plus rack-mounted shared storage device LAN Apple Qmaster システムはどのようにバッチを分散するか 「Apple Qmaster」のクラスタコントローラは、クラスタ内のリソースを最も効率 的に使用できる方法を決定します。この決定は、各サービスノードの稼働率およ びバッチをいくつに分割できるか（次で説明します）に基づいて行われます。 「Apple Qmaster」は個々のバッチを別々のサービスノードに分割するため、作業 は共有され、より短時間で完了します。また、この方法ではすべてのサービス ノードを可能な限り活用するので、リソースが無駄になりません。 388 第 29 章 Apple Qmaster と分散処理クラスタコントローラは、以下の方法のいずれか、またはその両方によって、 バッチをクラスタに分散します。（「Apple Qmaster」は、最も効率的な処理方法 を個々のバッチに合わせて臨機応変に決定します。） • バッチをデータセグメントに分割する： たとえば、レンダリングのバッチで は、クラスタコントローラはフレームをグループ（セグメント）に分割しま す。それぞれのセグメントはクラスタ内のサービスノードで並列処理されま す。 • バッチをタスクに分割する： たとえば、レンダリングのバッチでは、クラス タコントローラはレンダリングの作業をさまざまな処理タスクに分割します。 異なるタスクは、それぞれ異なるサービスノードで実行されます。 「Apple Qmaster」は、直接セグメントを移動するのではなく、ネットワーク経由 でどのセグメントを読むか、目的のセグメントの場所はどこか、そしてどんな処 理を行うかとサービスノードに伝えます。以下の例では、あるバッチが Apple Qmaster システムでどのように処理されるかを示します。 Batch submitted by Compressor or Apple Qmaster (job request for frames 1–30) Cluster controller divides and distributes job to available service nodes Service node 1 Service node 2 Service node 3 Instructions specifying locations of source files and frames 11–20 Instructions specifying locations of source files and frames 21–30 Instructions specifying locations of source files and frames 01–10 Processed file (frames 1-30) placed in specified destination 第 29 章 Apple Qmaster と分散処理 389バッチを分散する場合、「Apple Qmaster」は Mac OS X に組み込まれたテクノロ ジーを使って IP サブネット上のクラスタでサービスを検索し、情報の共有と受 領を動的に行います。コンピュータは処理の稼動状況を常に提示できるので、 「Apple Qmaster」は作業をクラスタ全体にでも分散（ロードバランス）できま す。 使う可能性があるその他の分散処理ネットワークコンポーネント 小規模の分散処理ネットワークは 1、2 台のコンピュータから構成できますが、 大容量ネットワークになると、何台ものコンピュータ、ラックにセットした Xserve システムや Xserve クラスタノード、そして高速ネットワーキング用のインフラ ストラクチャなどが構成に加わっていることがあります。分散処理システムは、 システムをサポートするネットワークに機能やデバイスを追加することで、仕事 の要求量に応じて拡張することが可能です。 分散処理ネットワークの能力を拡張する方法はさまざまです。分散処理ネット ワークには以下のすべてを含めることができます。 • 高速スイッチおよび高速ケーブル： LAN 内で最大のスピードでデータ送信す るための、100Base-T Ethernetまたは Gigabit Ethernetスイッチおよび対応のケー ブルです。 • 複数のクライアント： 複数のクライアントコンピュータは同じクラスタのサー ビスを使用できます。また、同じクラスタを使って、同じクライアントコン ピュータ上で複数のクライアントアプリケーションを使用できます。 • 複数のクラスタ： ネットワークの範囲の広さ、および含まれるクライアント の数に応じて、使用可能なコンピュータを分割して異なるクライアント用に複 数のクラスタを作成することができます。（ユーザはバッチの実行時に、バッ チを送りたいクラスタを選択します。） • 複数のサービスノード： 一般的に、サービスノードが増えれば処理能力も向 上します。クラスタ内のサービスノードの数を決定する際は、計算時間に対す るデータ転送時間を考慮します。目的がレンダリングのような作業で、処理に 対する要求が、クラスタ内でジョブのセグメントを送信するために必要なネッ トワーク要求より大きい場合、サービスノードの数を増やすことをお勧めしま す。ジョブあたりの処理にかかる負荷がネットワークの負荷に近い場合、クラ スタ内のサービスノード数が少ない方が効率的です。Apple Qmaster 分散処理 システムを「Shake」または「Compressor」以外のアプリケーションで使用す る場合、サービスノードの数の最適化については各アプリケーションのユー ザーズマニュアルを参照してください。 390 第 29 章 Apple Qmaster と分散処理• ストレージデバイス： リモートディスクやディスクアレイのグループといっ たストレージデバイスは、クラスタコントローラ、クライアント、およびサー ビスノードが生成した一時データの短期的な置き場所となる、クラスタ取り込 み先ディスクとして使用できます。（スクラッチストレージの位置は、 「Compressor」の「Apple Qmaster 共有」ウインドウで設定できます。詳細につ いては、「「Apple Qmaster 共有」ウインドウの詳細設定について」および「ク ラスタストレージを使用する」を参照してください。）ストレージデバイス は、処理が完了したファイルの最終的な保存先としても使用できます。 詳細については、「分散処理ネットワークの例」を参照してください。 「このコンピュータプラス」を使ったクイックスタート 「Compressor」の「このコンピュータプラス」を使えば、クラスタの構成方法や 共有ファイルのセットアップ方法などに関する知識が豊富でなくても、 「Apple Qmaster」で提供される分散処理機能を簡単に活用できるようになりま す。 「このコンピュータプラス」を使用するには、以下の 2 つの手順を実行します： • ネットワーク上のコンピュータの「Compressor」で Apple Qmaster サービスノー ドを作成します • Compressor バッチの処理を実行するときに「このコンピュータプラス」を選択 します これら 2 つのステップによって、新たな労力や知識を必要とせずにネットワーク 上の複数のコンピュータの処理能力を活用できるようになります。 メモ: 分散処理システム内の Compressor、QuickTime、Mac OS のバージョンはす べて同一である必要があります。 • ステージ 1: サービスノードを作成する • ステージ 2: 「Compressor」のバッチ処理を実行する ステージ 1: サービスノードを作成する サービスノードとして使いたいコンピュータに「Compressor」をインストールし た後、「Apple Qmaster 共有」ウインドウを設定する必要があります。 コンピュータをサービスノードとして設定するには 1 「Compressor」で「Apple Qmaster」＞「このコンピュータを共有」と選択しま す。 「Apple Qmaster 共有」パネルが開きます。 第 29 章 Apple Qmaster と分散処理 3912 「このコンピュータを共有」と「サービスのみとして」を選択します。 3 「サービス」領域で「Compressor」を選択します。「これらのサービスを管理対 象クラスタ内でのみ使用することを要求」が選択解除されていることを確認して ください。 4 「OK」をクリックします。 「Compressor」からこのコンピュータを非管理サービスノードとして使えるよう になります。加えて「Final Cut Pro」と「Motion」でも、「共有」メニューオプ ションの「このコンピュータプラス」を選択すれば、このコンピュータを使用で きます。 ステージ 2: 「Compressor」のバッチ処理を実行する 「Compressor」のバッチ処理を実行する際、表示されるダイアログでバッチに名 前を付け、バッチを処理するコンピュータを選択できます。この時点で、ステー ジ 1 でサービスノードとしてセットアップしたすべてのコンピュータの処理能力 を利用してバッチを完了できます。 「このコンピュータプラス」を使ってバッチを処理するには 1 「クラスタ」ポップアップメニューをデフォルトの選択のままにします（「この コンピュータ」）。 2 「このコンピュータプラス」チェックボックスを選択します。 「Compressor」と「Apple Qmaster」は、使用可能なコンピュータ間でタスクの分 散処理を調整し、「Compressor」で指定した場所にその出力ファイルを格納しま す。 392 第 29 章 Apple Qmaster と分散処理QuickCluster を使ったクイックスタート QuickCluster は簡単に自動で作成して設定できるクラスタで、 「Apple Qadministrator」を使ってクラスタを手動で作成して設定する必要がなく なります。非管理サポートを有効にした QuickCluster はそれ自身を自動的に設定 し、同じローカルネットワーク（サブネット）上にある使用可能な非管理サービ スを使用します。QuickCluster は非管理サービスの宣言を確認し、マークしたり 記録したりして後でその非管理サービスを使用します。 Apple Qmaster 分散処理システムには、分散処理をすぐに行うことができるデフォ ルト設定があります。 • ステージ 1: ソフトウェアをインストールする • ステージ 2: QuickCluster を設定する • ステージ 3: サービスノードをクラスタに追加する • ステージ 4: バッチを作成して実行する ステージ 1: ソフトウェアをインストールする 分散処理ネットワークに含めたいコンピュータに、「Compressor」をインストー ルします。 ソフトウェアをインストールするには 1 ネットワーク上の 1 つ以上のコンピュータに、クライアントとして使用する 「Compressor」をインストールします。 分散処理システムでジョブとバッチを実行するためには、クライアント（実行） ソフトウェア（「Compressor」または「Apple Qmaster」）を使用する必要があり ます。 2 分散処理に使用したい各コンピュータに、「Compressor」をインストールしま す。（すべてのコンピュータは同じサブネット上にある必要があります。） メモ: 分散処理システム内の Compressor、QuickTime、Mac OS のバージョンはす べて同一である必要があります。 ステージ 2: QuickCluster を設定する クラスタコントローラ用とサービスノード用のコンピュータを設定するには、 「Apple Qmaster 共有」ウインドウを使用します。 クラスタコントローラまたはサービスノードのコンピュータを設定するには 1 「Compressor」で「Apple Qmaster」＞「このコンピュータを共有」と選択しま す。 「Apple Qmaster 共有」パネルが開きます。 第 29 章 Apple Qmaster と分散処理 3932 「このコンピュータを共有」チェックボックスを選択します。 このウインドウのその他の設定は、以下のようにデフォルトのままにします： • 「サービスを提供する QuickCluster として」オプションを選択します。 • 「レンダリング」は選択しません。 • 「Compressor」を選択します。 • 「これらのサービスを管理対象クラスタ内でのみ使用することを要求」は選択 しません。 • この QuickCluster のデフォルト名が、「この QuickCluster の識別名」テキスト 領域に表示されます。 • 「ほかのコンピュータからの非管理サービスを含める」を選択します。 • 「パスワードを要求」は選択しません。 以上の設定の詳細については、「「Apple Qmaster 共有」ウインドウの基本設定 について」を参照してください。 3 「OK」をクリックします。 これで、このコンピュータをコントローラおよびサービスを処理する 1 つのイン スタンスとする QuickCluster が作成されます。複数のサービスインスタンスにつ いては、「マルチコアコンピュータを最大限に活用するためにバーチャルクラス タを使う」を参照してください。 ステージ 3: サービスノードをクラスタに追加する クラスタの非管理サービスノードにしたい各コンピュータに、以下の操作を行い ます。 クラスタにサービスノードを追加するには 1 「Compressor」で「Apple Qmaster」＞「このコンピュータを共有」と選択しま す。 「Apple Qmaster 共有」パネルが開きます。 2 「このコンピュータを共有」と「サービスのみとして」を選択します。 394 第 29 章 Apple Qmaster と分散処理このウインドウのその他の設定は、以下のようにデフォルトのままにします： • 「レンダリング」と「Compressor」は両方とも選択します。 • 「これらのサービスを管理対象クラスタ内でのみ使用することを要求」は選択 しません。 • その他の設定は無効です。 以上の設定の詳細については、「「Apple Qmaster 共有」ウインドウの基本設定 について」を参照してください。 3 「OK」をクリックします。 これによって、「ステージ 2: QuickCluster を設定する」で設定した QuickCluster にジョブを送ると、そのジョブを自動処理するサービスノードが作成されます。 ステージ 4: バッチを作成して実行する 「Compressor」の「バッチ」ウインドウまたは「Apple Qmaster」ウインドウで、 1つまたは複数のジョブを持つバッチを作成します。詳しくは、「ジョブを完成 する／バッチを実行する」または「 Apple Qmaster ユーザーズマニュアル 」を参 照してください。 バッチを実行するには 1 以下のいずれかの操作を行います： • 「Compressor」を使用する場合： 「Compressor」の「バッチ」ウインドウで 「実行」をクリックし、表示されるダイアログで「クラスタ」ポップアップメ ニューから、ステージ 2 で作成したクラスタを選択します。 • 「Apple Qmaster」を使用する場合： 「Apple Qmaster」ウインドウで、「実行 クラスタ」ポップアップメニューから、ステージ 2で作成したクラスタを選択 します。 2 「実行」をクリックします。 分散処理システムでバッチが処理されます。 Apple Qmaster 分散処理システムのインターフェイス Apple Qmaster システムは、強力で柔軟な分散処理のために連携する複数のアプ リケーションの集合体です。システムの各要素は、ユーザのニーズに合わせたさ まざまな方法で組み合わせられます。 第 29 章 Apple Qmaster と分散処理 395一般には、「Compressor」の「Apple Qmaster 共有」ウインドウを使って、サー ビスノードとクラスタコントローラを構成し、「このコンピュータプラス」クラ スタと QuickCluster 用のサービスノードを作成すれば、ほとんどのユーザのニー ズに対応できます。システム管理者は、「Apple Qadministrator」を使って高度な クラスタの作成と管理を行います。クライアントユーザは「Compressor」または 「Apple Qmaster」を使って、ジョブのバッチを実行して処理します。最終的に、 管理者とクライアントユーザの両方が「Share Monitor」を使ってバッチをモニタ リングしたり管理したりできるようになります。 Apple Qadministrator Share Monitor QuickCluster Users: Administrators and client users Use to: Monitor batches that have been sent to clusters Compressor Users: Administrators Use to: Create service nodes and cluster controllers Users: Administrators Use to: Assemble clusters of service nodes and cluster controllers Compressor or Apple Qmaster Users: Client users Use to: Submit jobs to clusters for processing 396 第 29 章 Apple Qmaster と分散処理メモ: 「Apple Qadministrator」をまったく使わずに簡単な（個人レベルの）分散 処理システムを作成することが可能です。詳細については、「「このコンピュー タプラス」を使ったクイックスタート」および「QuickCluster を使ったクイック スタート」を参照してください。すべての設定の詳細については、「Compressor の「Apple Qmaster 共有」ウインドウ」を参照してください。 Apple Qadministrator Apple Qmaster クラスタを手動で作成する／修正するには、Apple Qadministrator アプリケーションを使用します。「Apple Qadministrator」は、管理するクラスタ と同じネットワーク上にあるすべてのコンピュータで使用できます。管理者パス ワード（作成済みの場合）があれば、「Apple Qadministrator」を使ってネット ワーク上の既存のクラスタを表示して修正することもできます。 メモ: ほとんどのユーザには、「このコンピュータプラス」や QuickCluster を使 う代わりに、「Apple Qadministrator」でクラスタの作成や管理を行う必要はあり ません。 Use Apple Qadministrator to assemble clusters: Drag available service nodes to assign them to a cluster. 「Apple Qadministrator」の使用の詳細については、「 Apple Qadministrator ユー ザーズマニュアル」を参照してください。 「Apple Qadministrator」を開くには µ 「Compressor」で「Apple Qmaster」＞「クラスタを管理」と選択します。 第 29 章 Apple Qmaster と分散処理 397「Apple Qadministrator」ウインドウが開きます。選択中のクラスタにパスワード が作成されていた場合、ロックボタンをクリックして表示されるダイアログでパ スワードを入力するまで、クラスタを表示したり修正したりできません。 398 第 29 章 Apple Qmaster と分散処理クライアントインターフェイスとしての「Compressor」と 「Apple Qmaster」 クライアントコンピュータは「Compressor」または「Apple Qmaster」を使って、 バッチを実行して処理します。 Batch Batch Batch Batch Use Apple Qmaster to submit a batch to a cluster: Cluster A Cluster B Network Use Compressor to submit a batch to a cluster: 第 29 章 Apple Qmaster と分散処理 399「Compressor」を使用する 「Compressor」の「バッチ」ウインドウで、「クラスタ」ポップアップメニュー を使って任意のバッチのクラスタを選びます。「Compressor」でのバッチの実行 の詳細については、「バッチを実行する」を参照してください。 「Apple Qmaster」を使用する Apple Qmaster アプリケーションは、「Shake」、「Autodesk Maya」、その他の UNIX コマンドラインプログラムなどのデジタル・ビジュアル・エフェクト用ソ フトウェアパッケージから、分散処理ジョブを実行するために使用するアプリ ケーションです。 「Apple Qmaster」では以下のいずれかのワークフローを使用できます： • 「Shake」で処理するバッチについては、Shakeファイルを「Apple Qmaster」の ウインドウにドラッグします。ジョブを実行するためのデフォルトのスクリプ トが自動的に作成されます。次に、「Apple Qmaster」で使用するクラスタなど の情報を指定したり、ある設定を修正したりできます。 • 「Maya」のバッチでは、Maya ジョブの実行とカスタマイズのための特殊なイ ンターフェイスが「Apple Qmaster」にあります。 • 「Apple Qmaster」の「Generic Render」コマンドを使うと、ほかのフレームベー スのレンダリングアプリケーション（「After Effects」や「LightWave」など） のプロジェクトが分散処理できます。 「Apple Qmaster」アプリケーションの詳細については、「Apple Qmaster ユーザー ズマニュアル」を参照してください。 「Apple Qmaster」を開くには µ 「Compressor」で「Apple Qmaster」＞「レンダリングジョブを作成」と選択しま す。 400 第 29 章 Apple Qmaster と分散処理「Apple Qmaster」ウインドウが開きます。 Share Monitor 管理者は、「Share Monitor」を使ってネットワーク上のすべてのクラスタのバッ チの進行状況を確認できます。ジョブの進行状況に加え、その他の情報も確認で きます。また、バッチのキャンセル、一時停止、再開などもできます。クライア ントユーザは、「Share Monitor」を使ってバッチを表示したり管理したりできま す。 Cluster Use Share Monitor to see information about batches that have been sent to specified clusters: Status of batches Status of batches Cluster Network 「Share Monitor」の詳細については、「 Share Monitor ユーザーズマニュアル」を 参照してください。 「Share Monitor」を開くには 以下のいずれかの操作を行います: µ 「Compressor」または「Apple Qmaster」でバッチを実行します。環境設定に応じ て、「Share Monitor」ウインドウが自動的に開きます。 µ 「Final Cut Pro」または「Motion」から「共有」メニューオプションを設定して実 行します。「Share Monitor」が Dock に表示されるので、選択して起動します。 µ 「Apple Qmaster」ウインドウまたは「Compressor」の「バッチ」ウインドウで、 「Share Monitor」ボタンをクリックします。 第 29 章 Apple Qmaster と分散処理 401µ 「Apple Qadministrator」で、「クラスタ」＞「Share Monitorを表示」と選択しま す。 「Share Monitor」が開きます。 Compressor の「Apple Qmaster 共有」ウインドウ 「Compressor」の「Apple Qmaster 共有」ウインドウを使って、「Apple Qmaster」 のクラスタ・コントローラ・サービスおよびクラスタ処理サービス（パスワード およびスクラッチストレージを含みます）の選択、作成、または変更を行いま す。 Use the Apple Qmaster Sharing window of Compressor to configure service nodes and cluster controllers: Service node Cluster controller 「Compressor」の「Apple Qmaster 共有」ウインドウの使いかたについて詳しく は、「「Compressor」の「Apple Qmaster 共有」ウインドウのオプション」を参 照してください。 402 第 29 章 Apple Qmaster と分散処理さらに、「Apple Qmaster」をインストールせずにノードを使用する拡張ノードク ラスタの作成などについては、「 Apple Qmaster ユーザーズマニュアル 」も参照 してください。 「Compressor」の「Apple Qmaster 共有」ウインドウを開くには 1 「Compressor」を開きます。 2 「Apple Qmaster」＞「このコンピュータを共有」と選択します。 「Apple Qmaster 共有」ウインドウが開きます。 「設定」パネルと「詳細」パネルの設定が終わったら、「OK」をクリックして 設定を適用します。 重要： 既存の設定を変更する場合で、このコンピュータがすでに処理サービス を提供しているときは、「OK」をクリックするとこのコンピュータのサービス が直ちにリセットされます。このコンピュータがクラスタコントローラでもある 場合は、その時点のジョブはすべて終了します。 「Apple Qmaster 共有」ウインドウの基本設定について 「Apple Qmaster 共有」ウインドウ内の「設定」パネルを使って、分散処理シス テムの設定ができます。 第 29 章 Apple Qmaster と分散処理 403共有の設定 • このコンピュータを共有： 以下の 3 つのオプションのいずれかを使って、こ のコンピュータを共有する場合に選択します。このコンピュータを共有しない 場合は、このオプションの選択を解除してください。 • サービス付きの QuickCluster として： 非管理サービスによる「インスタント」 クラスタを作成するには、このオプションを選択します。詳細については、 「QuickCluster を使ったクイックスタート」を参照してください。 • サービスおよびクラスタコントローラとして： 「Apple Qadministrator」での クラスタ構築時にこのコンピュータをクラスタコントローラとして定義する 場合に選択します。詳細については、「「Apple Qadministrator」でクラスタ を作成する」を参照してください。 • サービスのみとして： このコンピュータをサービスノードのみにするには、 このオプションを選択します。サービスノードはバッチ処理を実行します。 サービスノードは、「このコンピュータプラス」クラスタ、QuickCluster、管 理クラスタに含めることができます。詳細については、「管理サービス非管 理サービス」を参照してください。 サービスの設定 • レンダリング： 「レンダリング」サービスを有効／無効にする場合にこの チェックボックスを使います。「オプション」ボタンをクリックすると、ダイ アログが開き、処理サービスのインスタンス数を調整できます。詳細について は、「マルチコアコンピュータを最大限に活用するためにバーチャルクラスタ を使う」を参照してください。 • Compressor： 「Compressor」サービスを有効／無効にする場合にこのチェック ボックスを使います。「オプション」ボタンをクリックすると、ダイアログが 開き、処理サービスのインスタンス数を調整できます。詳細については、「マ ルチコアコンピュータを最大限に活用するためにバーチャルクラスタを使う」 を参照してください。 • これらのサービスを管理対象クラスタ内でのみ使用することを要求： この チェックボックスを使用して、共有サービスを管理または非管理（デフォル ト）にします。詳細については、「管理サービス 非管理サービス」を参照し てください。 QuickCluster の設定 • この QuickCluster の識別名： QuickCluster の名前を変更するには、このフィール ドを使用します。QuickCluster の詳細については、「QuickCluster を使ったク イックスタート」を参照してください。 • ほかのコンピュータからの非管理サービスを含める： この QuickCluster で、 ネットワーク上の使用可能な非管理コンピュータを自動的に分散処理に使用す る場合に選択します。このオプションの詳細については、「管理サービス 非 管理サービス」を参照してください。 404 第 29 章 Apple Qmaster と分散処理セキュリティの設定 • パスワードを要求： 特定のサービスノードまたはクラスタコントローラをク ラスタに含めることのできるユーザを制限したい場合は、このチェックボック スを選択して、表示されるダイアログにパスワードを入力します。詳細につい ては、「コンピュータをクラスタに入れるためのサービスパスワードを設定す る」を参照してください。 「Apple Qmaster 共有」ウインドウの詳細設定について 「Apple Qmaster 共有」ウインドウ内の「詳細」パネルを使って、分散処理シス テムのさらに詳しい設定ができます。 サービスの詳細設定 サービスの再起動と使用可能状態のスケジューリングに使用します。 • 24時間ごとにすべてのサービスを再起動： 「24 時間ごとにすべてのサービス を再起動」チェックボックスを選択すると、頑健な分散処理システムが保証さ れます。定期的にサービスをリフレッシュすることで、バーチャルメモリのサ イズが大きくなることと他社製ソフトウェアでのメモリリークを防ぎます。 • 非管理サービスのスケジュールを設定： 非管理サービスを有効にした場合、 カレンダーを開いて、分散処理システムでサービスが使用可能になる状況のス ケジュールを設定できます。カレンダーインターフェイスの使用については、 「サービスの使用可能状態のスケジュールを設定する」を参照してください。 第 29 章 Apple Qmaster と分散処理 405共有クラスタストレージ このコンピュータのクラスタコントローラで使用するスクラッチストレージの設 定に使用します。クラスタストレージの詳細については、「クラスタストレージ を使用する」を参照してください。 • ファイルを削除するまでの日数： 自動消去する前に、クラスタの保存場所に 一時処理ファイルを置いておく日数を入力します。トランスコードセッション が 7 日以上かかることが予想される場合は、この値を調整する必要がありま す。 • ストレージの場所： 一時的なクラスタストレージの場所を表示します。「設 定」をクリックすると、ローカルフォルダのディレクトリを選択して、クラス タの一時処理ファイルの保存場所を変更できます。詳細については、「クラス タストレージを使用する」を参照してください。 ネットワーク ネットワークの設定に使用します。 • Bonjour による検出を許可： デフォルトでは、このチェックボックスは選択さ れており、Apple Qmaster 分散処理システムが Bonjour ネットワーキングテクノ ロジーを使用できるようになっています。「Bonjour による検出を許可」チェッ クボックスを選択解除して、セキュリティを強化することもできます。これに より、Bonjour ネットワーク上でコンピュータが検出されなくなります。この 機能には Mac OS X v10.4 以降が必要です。 • 使用するネットワークインターフェイス： 分散処理を特定のネットワーク・ インターフェイス・カードに制限したい場合、ポップアップメニューからこの オプションを選択します。サービス・ノード・コンピュータで制限する場合 は、「Compressor」のジョブとバッチの実行には別のコンピュータを使用しま す。 • ポート範囲の有効化： 「有効にするポート範囲の開始番号」チェックボック スとテキストフィールドで、「Apple Qmaster」がサービスアドバタイズに使用 するポートを定義できます。詳細については、「サービスアドバタイズのポー トを定義する」を参照してください。 エクストラ その他の設定に使用します。 • サービスの動作状態をファイルに記録： このチェックボックスを選択すると、 動作状態のログが作成され、コンピュータ上の「Apple Qmaster」の動作に応じ てアップデートされます。ログは、「/ライブラリ/Application Support/Apple Qmaster/Logs」に格納されます。この機能をオフにするには、 チェックボックスの選択を解除します。 メモ: このログ情報には、「Apple Qadministrator」の「ログ」ボタンを使用す るか、「Share Monitor」の「情報を表示」ウインドウの「ログを表示」をク リックして、アクセスすることもできます。 406 第 29 章 Apple Qmaster と分散処理• 最大アクティブターゲット数： デフォルトでは、1 つのクラスタは一度に 40 ターゲットまで処理できます。2 つ以上のジョブの間に同時に処理されるター ゲットの最大数を変更するには、1 から 999 の数字を入力します。 • このコンピュータの Qadministrator での識別名： デフォルトでは、コンピュー タはネットワーク上でコンピュータ名（「システム環境設定」の「共有」で入 力した名前）によって認識されます。これは Apple Qadministrator アプリケー ションでコンピュータを識別するための名前なので、必要であればもっと分か りやすいものに変更することもできます。管理クラスタコントローラを構成す る場合、この名前は「Apple Qadministrator」の「コントローラ」ポップアップ メニューに表示されます。 クラスタの全般的な情報 ネットワークの設定が完了し必要なコンポーネントをインストールしたら、分散 処理クラスタ作成の準備は整いました。 クラスタの作成には、3 つのアプローチがあります： • 「このコンピュータプラス」の使用： 「このコンピュータプラス」を使用し たクラスタの作成は、分散処理システムを作成するための最も簡単なアプロー チです。処理の実行を担当するコンピュータ上に、サービスノードとして設定 した「Compressor」をインストールするだけです。詳細については、「「この コンピュータプラス」を使ったクイックスタート」を参照してください。 • QuickClusterの作成： QuickClusterの作成では、別のコンピュータをクラスタコ ントローラとする分散処理システムを短時間で構成できます（「このコンピュー タプラス」クラスタでは、バッチの実行元となる同じコンピュータをクラスタ コントローラとして使用します）。これは、クラスタで処理を実行するクライ アントが複数ある場合に特に有用です。詳細については、「QuickCluster を使っ たクイックスタート」を参照してください。 • クラスタの手動作成： 大規模なインストールでは、クライアントから使用で きるクラスタを手動で作成できます。詳細については、 「「Apple Qadministrator」でクラスタを作成する」を参照してください。 この章で登場する概念や語句で不明なものがあれば、「分散処理の基本」を参照 してください。 メモ: 「Apple Qmaster」のユーザで、「Apple Qmaster」がインストールされてい ないコンピュータを含むクラスタを作成したい場合は、「Apple Qmaster ユーザー ズマニュアル 」を参照してください。 「Compressor」の「Apple Qmaster 共有」ウインドウのオプション 必要に応じて、以下の設定を利用することができます。 第 29 章 Apple Qmaster と分散処理 407重要： 既存の設定を変更する場合で、このコンピュータがすでに処理サービス を提供しているときは、「OK」をクリックするとこのコンピュータのサービス が直ちにリセットされます。このコンピュータがクラスタコントローラでもある 場合は、その時点のジョブはすべて終了します。 「Compressor」の「Apple Qmaster 共有」ウインドウにあるオプションや設定の 完全なリストについては、「「Apple Qmaster 共有」ウインドウの基本設定につ いて」および「「Apple Qmaster 共有」ウインドウの詳細設定について」を参照 してください。 名前を設定する デフォルトでは、コンピュータはネットワーク上でコンピュータ名（「システム 環境設定」の「共有」で入力した名前）によって認識されます。これは Apple Qmaster 分散処理システムでコンピュータを識別するための名前なので、 必要であればもっと分かりやすいものに変更することもできます。QuickCluster を構成する場合、この名前は「Compressor」の「クラスタ」ポップアップメニュー または「Apple Qmaster」の「実行クラスタ」ポップアップメニューに表示されま す。管理クラスタコントローラを構成する場合、この名前は 「Apple Qadministrator」の「コントローラ」ポップアップメニューに表示されま す。 QuickCluster 用の名前を入力するには µ 「この QuickCluster の定義」フィールドにクラスタ用の新しい名前を入力しま す。 Apple Qadministrator で使用するクラスタコントローラ用の名前を入力するには 1 「詳細設定」をクリックして「詳細設定」パネルを開きます。 2 「Apple Qadministrator に登録するコンピュータ名」フィールドに新しい名前を入 力します。 非管理サービス QuickCluster では非管理サービスを有効にできます。詳細については、「管理サー ビス 非管理サービス」を参照してください。 パスワードを設定する パスワード入力を必須にするには、「パスワードを要求」チェックボックスを選 択します。 • QuickCluster を設定する場合： ほかのユーザはパスワードを入力しないとこの コンピュータに要求を送れなくなります。 • 「Apple Qadministrator」で使用するクラスタを設定する場合： 管理者はパス ワードを入力しないとこのコンピュータをクラスタに追加できなくなります。 408 第 29 章 Apple Qmaster と分散処理詳細については、「コンピュータをクラスタに入れるためのサービスパスワード を設定する」を参照してください。（コンピュータをクラスタコントローラと サービスノードの両方として設定した場合、パスワードは両方について有効で す。） クラスタストレージを設定する 「詳細設定」パネルから、このコンピュータで発生する処理のための、デフォル トの保存用ディスクの場所を変更できます。詳細については、「クラスタスト レージを使用する」を参照してください。 管理サービス 非管理サービス 「Compressor」または「Apple Qmaster」を使った分散処理では、クラスタを柔軟 に構成できます。処理サービスを設定する場合、それらを管理サービスにするか 非管理サービス（デフォルト）にするかを選択できます。 管理サービス 管理サービスは、特定のクラスタコントローラ 1 つだけに割り当てられます。割 り当てられた管理サービスは、Apple Qadministrator アプリケーションで削除され るまで、そのクラスタ専用のサービスとして機能します。QuickCluster は、拡張 ノードクラスタの場合を除いて、ほかのノードから管理サービスを使用できませ ん。詳細については、「Apple Qadministrator ユーザーズマニュアル」を参照して ください。拡張ノードクラスタの詳細については、「 Apple Qmaster ユーザーズ マニュアル 」を参照してください。 非管理サービス 非管理サービスは、非管理サービスサポートが有効になった最初に利用可能な 「このコンピュータプラス」クラスタまたは QuickCluster に自動的に割り当てら れます。QuickCluster は非管理サービスの宣言を確認し、マークしたり記録した りして後でその非管理サービスを使用します。非管理サービスが一定の「このコ ンピュータプラス」クラスタまたは QuickCluster 専用となっているのは、その時 点のジョブが完了するまでです。その時点のジョブが完了すると、非管理サービ スは再び「開放」され、使用可能であることをすべての「このコンピュータプラ ス」クラスタおよび QuickCluster に対して宣言します。 メモ: 管理クラスタ（「Apple Qadministrator」で作成したクラスタ）も非管理サー ビスを使用できます。「管理」クラスタで非管理サービスが有効になっている場 合、クラスタは使用可能な非管理サービスを、管理サービスに自動で追加します （「Apple Qadministrator」を使って明示的に追加されます）。 第 29 章 Apple Qmaster と分散処理 409QuickCluster で非管理サービスを有効にする 以下のステップに従って、QuickCluster で非管理サービスを有効にします。 QuickCluster で非管理サービスを有効にするには 1 「Compressor」で「Apple Qmaster」＞「このコンピュータを共有」と選択しま す。 2 「このコンピュータを共有」チェックボックスと「サービス付きの QuickCluster として」ボタンを選択し、QuickCluster を作成します。 3 「ほかのコンピュータからの非管理サービスを含める」を選択します。 4 「OK」をクリックします。 QuickClusters 作成の詳細については、「QuickCluster を使ったクイックスタート」 を参照してください。 管理クラスタで非管理サービスを有効にする 以下のステップに従って、管理クラスタで非管理サービスを有効にします。 管理クラスタで非管理サービスを有効にするには 1 「Apple Qadministrator」で、「クラスタ」リストからクラスタを選択するか、追 加（＋）ボタンをクリックして新しいクラスタを追加します。 2 「非管理サービスの使用を許可」を選択します。 管理クラスタ作成の詳細については、「「Apple Qadministrator」でクラスタを作 成する」を参照してください。 処理サービスを管理する クラスタ内のコンピュータの処理サービスを管理するには、以下の手順に従いま す。 重要： 既存の設定を変更する場合で、このコンピュータがすでに処理サービス を提供しているときは、「OK」をクリックするとこのコンピュータのサービス が直ちにリセットされます。このコンピュータがクラスタコントローラでもある 場合は、その時点のジョブはすべて終了します。 管理処理サービスを設定するには 1 「Compressor」で「Apple Qmaster」＞「このコンピュータを共有」と選択しま す。 410 第 29 章 Apple Qmaster と分散処理2 以下のいずれかの操作を行います： • 「これらのサービスを管理対象クラスタ内でのみ使用することを要求」チェッ クボックスを選択して、このコンピュータを管理クラスタでのみ使用します。 • このコンピュータを管理クラスタだけでなく非管理クラスタでも使用する場合 は、「これらのサービスを管理対象クラスタ内でのみ使用することを要求」 チェックボックスの選択を解除します。 3 「OK」をクリックします。 処理サービスをオフにするには 1 「Compressor」で「Apple Qmaster」＞「このコンピュータを共有」と選択しま す。 2 「サービス」セクションで、以下のいずれかの操作を行います： • Compressor サービスをオフにするには： 「Compressor」チェックボックスの選 択を解除します。 • Apple Qmaster サービスをオフにするには： 「レンダリング」チェックボック スの選択を解除します。 3 「OK」をクリックします。 クラスタコントローラサービスをオンにする／オフにする 「Compressor」の「Apple Qmaster 共有」ウインドウにある「サービス」領域を 使って、特定のコンピュータのクラスタコントローラのオン／オフを切り替えま す。 クラスタコントローラのサービスをオンにするには 1 「Compressor」で「Apple Qmaster」＞「このコンピュータを共有」と選択し、 「Apple Qmaster 共有」ウインドウを開きます。 2 「このコンピュータを共有」チェックボックスを選択してから、以下のいずれか のボタンを選択します： • サービス付きの QuickCluster として： 非管理サービスによる「インスタント」 クラスタを作成するには、このオプションを選択します。 • サービスおよびクラスタコントローラとして： 「Apple Qadministrator」でクラ スタを作成するには、このオプションを選択します。（詳細については、 「「Apple Qadministrator」でクラスタを作成する」を参照してください。） 詳細については、「管理サービス 非管理サービス」も参照してください。 3 「サービス」領域で「レンダリング」、「Compressor」チェックボックスの両方 またはいずれかを選択します。 4 「OK」をクリックします。 クラスタが有効になり、コンピュータがクラスタコントローラになります。 第 29 章 Apple Qmaster と分散処理 411クラスタコントローラのサービスをオフにするには 1 「Compressor」で「Apple Qmaster」＞「このコンピュータを共有」と選択し、 「Apple Qmaster 共有」ウインドウを開きます。 2 「このコンピュータを共有」チェックボックスの選択を解除し、「OK」をクリッ クします。 重要： 既存の設定を変更する場合で、このコンピュータがすでに処理サービス を提供しているときは、「OK」をクリックするとこのコンピュータのサービス が直ちにリセットされます。このコンピュータがクラスタコントローラでもある 場合は、その時点のジョブはすべて終了します。 コントローラをオフにすれば、ノードを単なるサービスノードにすることができ ます。サービスノードとしてのみ使うには、「このコンピュータを共有」セク ションの「サービスのみとして」を選択します。 マルチコアコンピュータを最大限に活用するためにバーチャルクラ スタを使う 個々のコンピュータ上にバーチャルクラスタを作成して、処理サービスのインス タンス数を調整することができます。プロセッサの負荷が大きな作業では、処理 アプリケーションによってはインスタンス数が多いほどスピードと効率が向上し ます。ただし、インスタンスが多すぎると、スピードと効率が低下する可能性が あります。 インスタンス数を選択する場合は、一般的に各インスタンスに 2 GB のメモリを 割り当てます。8 GB のメモリがあるコンピュータでポップアップメニューに 8 イ ンスタンスまで表示される場合、良好な結果を得るために 4 インスタンスを選択 してください。ただし、この数字はこのコンピュータが他の処理にも使用されて いるかどうかによって大幅に変動する可能性があります。 メモ: デフォルトでは、Apple Qmaster システムはプロセッサごとにレンダリング サービスのインスタンスを 1 つずつ作成します。レンダリングサービスは、 「Shake」（および「Apple Qmaster」）、「Autodesk Maya」、およびほかの UNIX コマンドラインプログラムで使われます。「Compressor」の分散処理にのみ使わ れる Compressor サービスとは対照的です。プロセッサを個別に使用するべきか どうかについては、各アプリケーションのマニュアルを参照してください。 コンピュータ上の処理サービスのインスタンス数を変更するには 1 「Compressor」で「Apple Qmaster」＞「このコンピュータを共有」と選択しま す。 2 「サービス」セクションで「Compressor」または「レンダリング」を選択し、 「オプション」ボタンをクリックします。 412 第 29 章 Apple Qmaster と分散処理3 表示されるダイアログのポップアップメニューからインスタンスの数を選択し、 「OK」をクリックします。 Choose the number of instances from the pop-up menu. 4 「Apple Qmaster 共有」ウインドウで「OK」をクリックします。 メモ: サービスのオプションのダイアログを使用してクラスタに拡張ノードを追 加することもできます。詳細については、「 Apple Qmaster ユーザーズマニュア ル」を参照してください。 コンピュータをクラスタに入れるためのサービスパスワードを設定 する 特定のサービスノードまたはクラスタコントローラをクラスタに含めることので きるユーザを制限したい場合は、コンピュータにサービスパスワードと呼ばれる パスワードを設定します。 メモ: サービスパスワードはユーザのキーチェーンに保存できます。 サービスパスワードを設定する／変更するには 1 サービスノードまたはクラスタコントローラとして指定したコンピュータで、 「Compressor」を開き、「Apple Qmaster」＞「このコンピュータを共有」と選択 します。 2 以下のいずれかの操作を行います： • パスワードを要求するには： 「パスワードを要求」を選択します。 • 既存のパスワードを変更するには： 「パスワードを変更」をクリックします。 第 29 章 Apple Qmaster と分散処理 413パスワード入力用ダイアログが表示されます。 3 パスワードを入力して確認し、「OK」をクリックします。 4 「Apple Qmaster 共有」ウインドウで「OK」をクリックし、変更を適用します。 重要： 既存の設定を変更する場合で、このコンピュータがすでに処理サービス を提供しているときは、「OK」をクリックするとこのコンピュータのサービス が直ちにリセットされます。このコンピュータがクラスタコントローラでもある 場合は、その時点のジョブはすべて終了します。 サービスの使用可能状態のスケジュールを設定する 非管理サービスを有効にした場合、カレンダーを開いて、分散処理システムで サービスが使用可能になる状況のスケジュールを設定できます。 動作スケジュール設定用ダイアログのカレンダーインターフェイスには、いくつ もの便利な機能が含まれています。 414 第 29 章 Apple Qmaster と分散処理以下のコントロールを使用して、非管理サービスが使用可能になる時間を曜日ご とに制限できます。 • 「オン／オフ」ポップアップメニュー： このポップアップメニューを使用し て、特定の曜日のサービスをオンまたはオフにします。 • オン： その曜日は 24 時間すべてサービスが使用可能であることを示しま す。（これはすべての曜日に対するデフォルト設定です。） • オフ： その曜日にサービスを使用不可能にします。 • オンの範囲： サービスが使用可能になる時間枠を入力できます。 • オフの範囲： サービスが使用不可能になる時間枠を入力できます。 • 開始時間フィード： 開始時間を入力します。 • 終了時間フィード： 終了時間を入力します。 動作スケジュール設定用ダイアログでのサービスの使用可能状態のスケジュール 設定 非管理サービスが使用可能になる状態のスケジュールを設定するには、以下の手 順に従います。 サービスの使用可能状態のスケジュールを設定するには 1 「Apple Qmaster」環境設定パネルにある「詳細」パネルの「サービスの詳細設 定」領域で、「設定」をクリックします。 動作スケジュール設定用のダイアログが表示されます。 2 サービスが使用可能になる時間を制限するには、特定の曜日の隣にあるポップ アップメニューから、いずれかのオプションを選択します。詳細については、 「サービスの使用可能状態のスケジュールを設定する」を参照してください。 3 該当する開始時間と終了時間のフィールドに制限の時間を入力してください。 メモ: 有効な日時を入力する必要があります。1 つのエントリーで 2 日間にまた がることはできません。範囲の終わりが午前 12 時以降になる場合は、エントリー を 2 つに分ける必要があります。詳細については、「日曜日の夜から月曜日の朝 までの使用可能状態を設定する」を参照してください。 4 「OK」をクリックして設定を保存し、ダイアログを閉じます。 5 「OK」をクリックして変更をこのコンピュータに適用します。 重要： 既存の設定を変更する場合で、このコンピュータがすでに処理サービス を提供しているときは、「OK」をクリックするとこのコンピュータのサービス が直ちにリセットされます。このコンピュータがクラスタコントローラでもある 場合は、その時点のジョブはすべて終了します。 第 29 章 Apple Qmaster と分散処理 415日曜日の夜から月曜日の朝までの使用可能状態を設定する 有効な日時を入力する必要があります。1 つのエントリーで 2 日間にまたがるこ とはできません。範囲の終わりが午前 12 時以降になる場合は、エントリーを 2 つに分ける必要があります。 たとえば、日曜日の午後 6時から月曜日の午前 8時までのサービスの使用可能状 態を設定する場合、以下の手順を実行します。 日曜日の夜から月曜日の朝までのサービスの使用可能状態を設定するには µ 以下の両方のエントリーを作成します： • 日曜日： 6:00 PM 〜 12:00 AM まではオン • 月曜日： 12:00 AM 〜 8:00 AM まではオン クラスタストレージを使用する デフォルトでは、Apple Qmaster 分散処理システムは一時処理ファイルを、クラ スタコントローラの「/ライブラリ/Application Support/Apple Qmaster/Storage」 ディレクトリに保存します。このスクラッチストレージ用にローカルディスク上 のほかの場所を選択することもできます。クラスタ内のコンピュータは必要に応 じてこの保存場所にアクセスします。 クラスタストレージの設定を調整する 以下のステップに従って、クラスタのスクラッチストレージの設定を変更しま す。 クラスタストレージの設定を変更するには 1 クラスタコントローラで、「Compressor」を開き、「Apple Qmaster」＞「このコ ンピュータを共有」と選択します。 2 「詳細設定」をクリックして「詳細設定」パネルを開きます。 3 以下の設定をオプションで行います： • クラスタストレージの場所を変更するには： 「ストレージの場所」設定ボタ ンをクリックし、ダイアログで目的のフォルダに移動して、「選択」をクリッ クします。 メモ: デフォルトの「このコンピュータ」という設定値を「クラスタ」ポップ アップメニュー（「Compressor」の「バッチ」ウインドウにあります）で選択 した状態で、書き出し先として「クラスタストレージ」を指定すると、出力 ファイルは「ソース」の場所にコピーされます。 416 第 29 章 Apple Qmaster と分散処理• クラスタストレージのファイルを削除する頻度を変更するには： 「ファイル を削除するまでの日数：N 日」フィールドに新しい数値を入力します。 Click Set to open a dialog for choosing a new storage folder. Enter a new number to change how often cluster storage files are deleted. 4 「OK」をクリックして変更を適用します。 重要： 既存の設定を変更する場合で、このコンピュータがすでに処理サービス を提供しているときは、「OK」をクリックするとこのコンピュータのサービス が直ちにリセットされます。このコンピュータがクラスタコントローラでもある 場合は、その時点のジョブはすべて終了します。 クラスタストレージの容量 起動ディスク上の使用可能なストレージ容量より大きなソース・メディア・ファ イルを処理する場合、そのディスク上のストレージ容量を使い果たすことがあり ます。この問題に対処するためにできることがいくつかあります。 • クラスタストレージの場所を空き容量の多いディスクに変更します。詳細につ いては、「クラスタストレージの設定を調整する」を参照してください。 • クラスタストレージ設定をより頻繁にファイルを削除するように変更します。 詳細については、「クラスタストレージの設定を調整する」を参照してくださ い。 • 「Compressor」のユーザは、「クラスタオプション」環境設定（「Compressor」 ＞「環境設定」と選択）を「ソースをクラスタにコピーしない」に設定できま す。詳細については、「Compressor の環境設定を行う」を参照してください。 第 29 章 Apple Qmaster と分散処理 417クラスタストレージをクリーンアップする クラスタストレージを使用していてエラーが発生する場合は、部分的なファイル がクラスタストレージ上の指定した場所に残されている可能性があります。クラ スタストレージ上の指定した場所をチェックして、部分的なメディアファイルが そこに残されていないことを確認してください。部分的なメディアファイルが見 つかった場合は、それを削除してもう一度ジョブを実行してください。 QuickTime 参照ムービー 参照ムービーで分散処理を実行する場合は、Apple Qmaster 分散処理システムに よって適切なメディアファイルが自動的に処理クラスタにコピーされます。最高 のパフォーマンスを得るため、参照ムービーで指定されているメディアファイル が Apple Qmaster クラスタの各ノードで使用可能であることを確かめることによっ て、このファイル転送のステップを回避することができます。 サービスアドバタイズのポートを定義する 「Apple Qmaster」がサービスのアドバタイズに使用するポートは、「Compressor」 の「Apple Qmaster 共有」ウインドウ内の「詳細」パネルの「ネットワーク」セ クションにある「有効にするポート範囲の開始番号」チェックボックスとテキス トフィールドで定義できます。 「Apple Qmaster」のサービスアドバタイズのポートを定義するには 1 「Compressor」で「Apple Qmaster」＞「このコンピュータを共有」と選択しま す。 2 「詳細設定」をクリックして「詳細設定」パネルを開きます。 3 「有効にするポート範囲の開始番号」を選択します。 4 「開始」フィールドに、50,000 〜 65,535 の整数値を入力して範囲の最初を設定 します。 5 「ポート数」フィールドに、範囲のサイズ（たとえば、1000）を入力します。 復旧機能およびエラーの通知機能 Apple Qmaster 分散処理システムには、問題が生じたときに復旧を試み、復旧時 にユーザに通知を送信するための、数多くの機能が組みこまれています。 復旧機能 Apple Qmaster 分散処理システムでエラーが発生すると、次で説明する復旧機能 が自動的に作動します。管理者がこの機能を有効にしたり設定したりする必要は ありません。 418 第 29 章 Apple Qmaster と分散処理サービスが異常終了した場合 あるサービスノードにて、クラスタコントローラサービスまたは処理サービスが 異常終了した場合、Apple Qmaster 分散処理システムはサービスを再起動します。 停止と再起動を延々と繰り返さないよう、システムがエラーのあったサービスを 再起動するのは 4回までに制限されます。はじめの 2回、システムはサービスを 即座に再起動します。サービスが 3回目または 4回目に異常終了した場合、シス テムは停止前に少なくとも 10 秒間動作していたサービスのみを再起動します。 バッチが途中で停止したら Apple Qmaster バッチの処理中にサービスが異常終了すると、クラスタコントロー ラは、サービス停止前に完了していたバッチセグメントの再処理を行わずに、中 断されたバッチを再実行します。クラスタコントローラはバッチの再開を、サー ビスとの接続が切れて約 1 分後に遅らせます。 バッチがエラーになったら サービスの実行中に 1 つのバッチの処理が失敗すると、サービスの例外が発生し ます。この状況では、クラスタコントローラは即座にバッチを再実行します。ク ラスタコントローラは、バッチを最高で 2 回再実行します。3 回目の実行時にも ジョブがエラーになると、分散処理システムはジョブの再実行を停止します。 「Share Monitor」でジョブの状況が「失敗しました」に設定されます。 エラーの通知 Apple Qmaster 分散処理システムは 2 種類の方法で問題に関する情報を通知しま す。 電子メール通知 処理サービスが異常終了した場合、「Apple Qmaster」は終了を通知する電子メー ルを、「Apple Qadministrator」のそのクラスタの「環境設定」ダイアログで入力 したアドレスに送信します。アドレスが入力されていない場合、電子メールは、 クラスタコントローラを有効にしたコンピュータのインターネット設定にあるア ドレスに送信されます。 メモ: 現在、「Apple Qmaster」は、認証を必要とする SMTP サーバをサポートし ていません。 個々のジョブまたはバッチのログ 特定のバッチまたはジョブでエラーが出た場合、エラーについて説明したログ ファイルが生成されます。このログファイルの名前と場所は、「Share Monitor」 でバッチまたはジョブを選択し、「情報を表示」アイコンをクリックし、「ログ を表示」ボタンをクリックすると分かります。 通知ラベルとログラベル 以下の表には、電子メール通知とログで使われるサービスラベルを示します。 第 29 章 Apple Qmaster と分散処理 419処理サービスのタイプ 通知ラベル ローカルの Compressor サービ servicecontroller:com.apple.stomp.transcoder ス Compressor の分散サービス servicecontroller:com.apple.stomp.transcoderx Apple Qmaster の分散サービス servicecontroller:com.apple.qmaster.executor 「Apple Qadministrator」でクラスタを作成する 管理サービスノードとクラスタコントローラのいずれかを設定すると、 「Apple Qadministrator」に表示され、これらを使用して Apple Qmaster クラスタ の作成と修正ができます。 「Apple Qadministrator」では 2 つの基本的なステップで管理クラスタを作成でき ます。まず、新しいクラスタを作成し、クラスタコントローラを選択します。次 に、クラスタにサービスノードを追加します。 • ステージ 1: 新しいクラスタを作成します • ステージ 2: サービスノードを割り当てます ステージ 1: 新しいクラスタを作成します 以下の手順を使用して、「Apple Qadministrator」でクラスタを作成します。詳細 については、「 Apple Qadministrator ユーザーズマニュアル」を参照してくださ い。 新しいクラスタを作成するには 1 「Compressor」で、「Apple Qmaster」＞「クラスタを管理」と選択して 「Apple Qadministrator」を開き、以下の操作を行います： a 追加（＋）ボタンをクリックします。 b 名称未設定のクラスタを選択し、新しい名前を付けます。 ... then rename the Untitled Cluster. Click the Add button... 420 第 29 章 Apple Qmaster と分散処理2 「コントローラ」ポップアップメニューから、ネットワークで使用可能なクラス タコントローラを選択します。 Use this pop-up menu to choose a cluster controller. メモ: 「Apple Qmaster 共有」ウインドウでクラスタコントローラにパスワードを 設定している場合、パスワード認証ダイアログが表示されます。 3 また、「セキュリティ」タブをクリックして、使用したいパスワードを入力し て、クラスタパスワードを作成することもできます。 • 管理者パスワード： このパスワードを作成すると、管理者がこのクラスタを 修正し、クラスタのバッチを「Share Monitor」でモニタリングする際にパス ワードが必要になります。 • ユーザパスワード： このパスワードを作成すると、ユーザがこのクラスタで バッチを実行し、それらのバッチを「Share Monitor」でモニタリングする際に パスワードが必要になります。 ステージ 2: サービスノードを割り当てます 以下の手順を使用して、クラスタにサービスノードを割り当てます。 クラスタにサービスノードを追加するには 1 Qmasterサービスブラウザが表示されていない場合、開閉用三角ボタンをクリッ クして表示します。 Click this disclosure triangle to see available nodes. 2 サービスノードを新しいクラスタに追加するには、ウインドウの下にある Qmaster サービスブラウザのリストから、クラスタのサービスノードのリストにドラッグ します。 閉じたカギのアイコンがコンピュータ名の隣にある場合、カギをクリックして 「Compressor」の「Apple Qmaster 共有」ウインドウでコンピュータに割り当て たパスワードを入力します。パスワードを入力できないと、サービスノードをク ラスタにドラッグできません。 第 29 章 Apple Qmaster と分散処理 421すでにほかのクラスタに割り当てられたサービスノードは表示されません。 Drag nodes to this list from the Service Browser list. Clicking this disclosure triangle displays each instance of the services set in the Apple Qmaster Sharing window for this node. メモ: 「名前」列の上位レベルのコンピュータ名は、設定に応じて次の 3 種類の 形式で表示されます：コンピュータ名（たとえば、Lemur node）、Apple ネット ワーキング名（たとえば、Lemur-node.local）、またはネットワークアドレス（た とえば、02030b-dhcp45.company.com）。 3 サービスノードを追加し終えたら、「適用」をクリックします。 クラスタがバッチを処理できる状態になりました。 メモ: これで、「Apple Qadministrator」で非管理サービスのクラスタを作成でき るようになりましたが、クラスタを有効にするには、Apple Qmaster、Compressor、 Share Monitor で表示できるクラスタに関する管理サービスが少なくとも 1 つは必 要です。 「Shake」を使ってパートタイム分散処理を設定する 必要なソースファイル（Shakeスクリプト、メディアファイル、など）すべてを 1つのクラスタから成るストレージボリュームに格納できない場合は、以下の手 順に従ってください。 • ステージ 1: 「Shake」の UNC 設定をオフにする • ステージ 2: 「パーソナルファイル共有」をオンにする • ステージ 3: メディア・ストレージ・ボリュームをマウントする • ステージ 4: サンプルのパートタイム分散処理構成でジョブを実行する 422 第 29 章 Apple Qmaster と分散処理• ステージ 5: メディアファイルの位置とスクリプトの位置を指定する ステージ 1: 「Shake」の UNC 設定をオフにする この構成での共有およびボリュームのマウントをスムーズに行うため、各コン ピュータで「Shake」の UNC 設定をオフにします。UNC設定はファイルのパス名 全体とネットワークアドレスを使って、 //＜コンピュータ名＞/＜ドライブ名＞/ ＜パス＞ではじまる名前に変換します。「Shake」がこのルールを使用すると、 構成で使用されるファイル共有およびボリュームのマウントとの間に矛盾が生じ てしまいます。 メモ: メディアボリュームの名前はすべて同じにしてください。 以下の 3 つのステップで、「Shake」のstartup.h ファイルに変更を加えます。 「Shake」のマニュアルで説明されているように、startupディレクトリに格納さ れたstartup.h ファイルは「Shake」の設定のカスタマイズに使用します（環境設 定を変更するのに似ています）。 UNC 設定をオフにするには、それぞれのコンピュータで以下の操作を行います 1 コンピュータで「Shake」を使うユーザとしてログインします。 2 「/アプリケーション/ユーティリティ/」にある「ターミナル」アイコンをダブル クリックして「ターミナル」ウインドウを開きます。 3 「ターミナル」ウインドウで以下の 2 行のコマンドラインを、ラインごとに Return キーを押しながら入力します： mkdir -p ~/nreal/include/startup/ echo 'script.uncFileNames = 0;' > ~/nreal/include/startup/UNC_off.h ステージ 2: 「パーソナルファイル共有」をオンにする 各コンピュータで、「パーソナルファイル共有」をオンにします。コンピュータ によるメディアファイルの共有が可能になります。 「パーソナルファイル共有」をオンにするには 1 「システム環境設定」を開きます。 2 「共有」をクリックします。 3 「ファイル共有」チェックボックスを選択します。 ステージ 3: メディア・ストレージ・ボリュームをマウントする クラスタ内のすべてのコンピュータがクラスタ内のすべてのメディアボリューム をマウントするように、以下の手順を実行します。 メディア・ストレージ・ボリュームをマウントするには 1 各コンピュータで、管理者としてログインします。（Mac OS X の設定時に最初に 作成したユーザアカウントが管理者のアカウントです。） 第 29 章 Apple Qmaster と分散処理 4232 グループ内の各コンピュータから、Finder の「移動」メニューにある「サーバに 接続」コマンドを使って、各メディアボリュームをマウントします。 3 「サーバに接続」ダイアログで、別のコンピュータ名を入力します。 4 マウントしたいボリュームとして、目的のメディアボリュームを選択します。 5 すべてのコンピュータがクラスタ内のすべてのメディアボリュームをマウントす るまで、1 〜 4 の手順を繰り返します。 ステージ 4: サンプルのパートタイム分散処理構成でジョブを実行 する ステージ 3: メディア・ストレージ・ボリュームをマウントする」の手順を完了 したら、これらのコンピュータのすべてをジョブの分散処理の実行に使用できる ようになります。 「Shake」を使ってパートタイム分散処理を設定する」に示す方法でアクセス権 を設定しているため、「Compressor」、Shake スクリプト、および 「Apple Qmaster」で指定しやすい、簡潔で一貫したパス名がすべてのファイルに 付けられます。ただし、以下の仮定が前提となっています： • ユーザはソースメディアをマウントしたメディアボリューム（いずれかの FireWire ドライブ）に保存する。 • ユーザは Shake スクリプトをマウントしたメディアファイルに保存する。 • 共有メディアボリュームにあるすべてのフォルダとファイルで、すべてのユー ザ（オーナー、グループ、その他）に対する読み書き両方のアクセス権が許可 されている。アクセス権を設定するには、フォルダまたはファイルを選んで、 「ファイル」＞「情報を見る」と選択します。 これら 3 つの仮定が重要なのは、これらによってすべてのコンピュータが、すべ てのソースファイルおよび出力先で読み書きを行うアクセス権を得るためです。 ステージ 5: メディアファイルの位置とスクリプトの位置を指定す る 「Shake」（または、その他の UNIX ベースのレンダリングアプリケーション）を 使用するすべてのユーザは、以下の設定ガイドラインにも従ってください： • Shake スクリプトでメディアファイルの位置を指定する： 「Shake」を使って パートタイム分散処理を設定する」に示されたステップに従うと、すべての Shake レンダリングスクリプトはソースメディア（File In）の場所と出力（File Out）の場所を、「/Volumes/MediaDiskName/」（たとえば、 「/Volumes/Media3/」）と指定します。 424 第 29 章 Apple Qmaster と分散処理• 「Apple Qmaster」で Shake スクリプトの位置を指定する： 「Shake」を使って パートタイム分散処理を設定する」に示されたステップに従うと、すべての Shake スクリプトの位置は Apple Qmaster で、 「/Volumes/MediaDiskName/ScriptFilename」（たとえば、 「/Volumes/Media3/Script.shk」）と指定されます。 第 29 章 Apple Qmaster と分散処理 425「Compressor」のキーボードショートカットを使うと、「Compressor」での作業 効率を最大限に高めることができます。 この付録では以下の内容について説明します： • Compressor の一般的なキーボードショートカット (ページ 427) • 「プレビュー」ウインドウのキーボードショートカット (ページ 428) Compressor の一般的なキーボードショートカット キーボードショートカット 機能 「履歴」ウインドウを前面に移動します。 1 「プレビュー」ウインドウを前面に移動します。 2 「設定」タブを前面に移動します。 3 「書き出し先」タブを前面に移動します。 4 現在のウインドウを閉じます。 shift W 「バッチ」ウインドウのツールバーを表示します／隠しま す。 option T 元のウインドウレイアウトに戻します。 shift control U , 「環境設定」ウインドウを開きます。 新しいバッチを作成します。無効にされていない限り、バッ チ・テンプレート・セレクタが表示されます。 N バッチ・テンプレート・セレクタが無効にされている場合で も、それを表示して新しいバッチを作成します。 shift N 現在のバッチを保存します。 S 427 キーボードショートカット A 付録キーボードショートカット 機能 現在のバッチを新しいバッチとして保存します。 shift S 保存されているバッチを開きます。 O 現在のバッチタブを閉じます。 W 現在のバッチを新しいテンプレートとして保存します。 option S ソース素材を読み込んで、バッチに新しいジョブを作成しま す。 I 現在のジョブのソースを置き換えるダイアログを開きます。 shift I バッチに新しいサラウンドサウンド・グループ・ジョブを作 成します。 control I バッチ内に新しいイメージ・シーケンス・ジョブを作成しま す。 option I 開いたドロップレットからバッチを実行します。 return 「バッチ」、「プレビュー」、または「書き出し先」ウイン ドウから、選択した項目を削除します。 delete バッチリスト、書き出し先リスト、設定リスト、およびフィ ルタリストのリスト項目を上に移動します。 バッチリスト、書き出し先リスト、設定リスト、およびフィ ルタリストのリスト項目を下に移動します。 すべてのパネルを対象に次のフィールドに移動します。 tab 「クラスタのストレージをマウント」ダイアログを開きま す。 shift M 「Compressor」のヘルプを開きます。 shift ? 「プレビュー」ウインドウのキーボードショートカット キーボードショートカット 機能 高速巻き戻しを開始します。 J 高速先送りを開始します。 L クリップを 1 フレームずつ戻します。 クリップを 1 フレームずつ先に進めます。 428 付録 A キーボードショートカットキーボードショートカット 機能 クリップ再生の開始／停止します。 space マーカーを追加または削除します。 M 再生ヘッドがマーカー上にある場合に、「マーカーの編集」 ダイアログを開きます。 E クリップにイン点を設定します。 I クリップにアウト点を設定します。 O 付録 A キーボードショートカット 429「Compressor」を使っていてトラブルが生じた場合は、ここで質問の答えを探し てください。 この付録では以下の内容について説明します： • 問題解決の手段 (ページ 431) • 一般的な問題の解決策 (ページ 432) • AppleCare サポートに連絡する (ページ 433) 問題解決の手段 「Compressor」で作業していて問題が生じた場合は、解決策を見つける手段がい くつかあります。 • この付録： この付録には、ユーザがよく経験する問題の一部に関する情報が 記載されています。 • リリースノート： リリースノートの書類は「ヘルプ」メニューから利用する ことができ、マニュアルに収録されなかった最新情報が記載されています。 「Compressor」をインストールまたはアップデートした際は、忘れずにすぐ、 この書類を参照してください。 • AppleCare サポート： AppleCare サポートでは、よくサポートを必要とされる問 題についてのデータベースを整備しています。このデータベースは、新しい種 類の問題が生じるのに応じてアップデート、拡張されます。これは、 「Compressor」ユーザのための優れた無償サービスです。「AppleCare サポー ト」は、http://www.apple.com/jp/supportの AppleCare サポートページからご利 用になれます。 • AppleCare サポート： 「Compressor」をお買い求めいただいたお客様には、さ まざまなサポートのオプションが用意されています。詳しくは、「Compressor」 のパッケージに同梱されている Apple サービス & サポートガイドを参照してく ださい。 431 問題を解決する B 付録一般的な問題の解決策 以下のヒントでは、いくつかの一般的な問題を扱います。 QuickTime 参照ムービー 参照ムービーで分散処理を実行する場合は、Apple Qmaster 分散処理システムに よって適切なメディアファイルが自動的に処理クラスタにコピーされます。最高 のパフォーマンスを得るため、参照ムービーで指定されているメディアファイル が Apple Qmaster クラスタの各ノードで使用可能であることを確かめることによっ て、このファイル転送のステップを回避することができます。詳細については、 「Apple Qmaster システムはどのようにバッチを分散するか」を参照してくださ い。 長時間のトランスコードセッション用のクラスタ設定 トランスコードセッションが最長で 7 日以上続くと予想される場合は、 「Apple Qmaster」環境設定パネルの「詳細」セクションで調整を行う必要があり ます。デフォルトでは、一時処理ファイルはクラスタのスクラッチ用の場所に 7 日間保持された後、自動的に削除されます。この値（日数）は、「Compressor」 の「Apple Qmaster 共有」ウインドウで増やすことができます。 クラスタストレージをクリーンアップする クラスタストレージを使用していてエラーが発生する場合は、部分的なファイル がクラスタストレージ上の指定した場所に残されている可能性があります。クラ スタストレージ上の指定した場所をチェックして、部分的なメディアファイルが そこに残されていないことを確認してください。部分的なメディアファイルが見 つかった場合は、それを削除してもう一度ジョブを実行してください。 NFS サーバで「Apple Qmaster」を使う デフォルトでは、「Apple Qmaster」は /etc/exports を使用してクラスタストレー ジの書き出しを定義します。ローカルの NetInfo データベースで NFS 書き出しを 定義した場合、これは矛盾の原因になることがあります。Apple Qmaster 2 以降を 使用してコントローラを有効にすると、「Apple Qmaster」は /etc/exports を使用 し、NetInfo データベースで定義したエントリーを使用しません。この問題を回 避するには、書き出しを /etc/exports に移動するか、コントローラを何も書き出 さないコンピュータに移動します。 Apple Qmaster 分散処理と Xsan ここでは、Xsan で Apple Qmaster 分散処理システムを使用する際のヒントを示し ます。 Apple Qmaster と Xsan を再起動する Xsanで前のバージョンの Apple Qmaster 分散処理を利用すると、Apple Qmaster 分 散処理クラスタコントローラを再起動するときにマウントの問題が起こることが あります。 432 付録 B 問題を解決する「Apple Qmaster」と Xsan コンピュータを再起動するときの順序 1 「Apple Qmaster 共有」ウインドウで「このコンピュータを共有」の選択を解除 して「OK」をクリックし、クラスタコントローラをオフにします。このウイン ドウは、「Compressor」の「Apple Qmaster」メニューから「このコンピュータを 共有」を選択すると開きます。 2 Apple Qmaster クラスタ・コントローラ・コンピュータを再起動します。 3 Xsan ボリュームがデスクトップにマウントされるまで待ちます。 4 「Apple Qmaster 共有」ウインドウで「このコンピュータを共有」を選択し、 「サービス付きの QuickCluster として」または「サービスおよびクラスタコント ローラとして」を選択して「OK」をクリックすると、コントローラが再起動さ れます。 Xsan の互換性 Xsan のメディアドライブをクラスタ（スクラッチ）ストレージ用に使用してい る場合、Xsan 1.3 は「Compressor」および Apple Qmaster 分散処理システムと互換 性がありません。Apple Qmaster 2.3 で Xsan を使用するには、Xsan 1.4 にアップ デートします。 Xsan 1.4 をダウンロードおよびインストールするには µ http://www.apple.com/jp/support/xsan にアクセスしてください。 Compressor のコマンドラインを使うにはログインする必要がある コマンドラインを使って Apple Qmaster の分散処理ネットワークを実行すること ができますが、「Compressor」の各サービスノード（「Compressor」の分散処理 サービスを提供する各コンピュータ）ですべての機能を使えるようにするにはロ グインする必要があります（Mac OS X のユーザ名とパスワードを使う）。 AppleCare サポートに連絡する Apple が提供するサポートのオプションに関する情報については、AppleCare サ ポートサイト（http://www.apple.com/jp/support/compressor）を参照してくださ い。 問題の種類にかかわらず、サポートで Appleにご連絡いただく場合は、以下の情 報がすぐ分かるようにご用意いただくことをお勧めします。サポート担当者にお 伝えいただける情報が多いほど、問題の処理を速く進めることができます。 • 問題が発生した時点までに実行した正確な手順に関する詳しいメモ。サポート 担当者が発生している状況を理解し再現できるようにするために、実行した手 順を 1つずつ説明することは大切です。表示された警告メッセージがある場合 は、その正確な内容を必ず含めてください。 • インストールされている Mac OS X のバージョン。これは、アップルメニュー から「この Mac について」を選ぶと表示できます。 付録 B 問題を解決する 433• インストールされている「Compressor」のバージョン（アップデート済みの場 合は、そのバージョンも含む）。バージョン番号を表示するには、 「Compressor」>「Compressor について」と選択してください。 • お使いのコンピュータのモデル。 • お使いのコンピュータに搭載されている RAM のサイズ、および「Compressor」 で使用可能なメモリサイズ。アップルメニューから「この Mac について」を選 ぶと、搭載している RAM の大きさが確認できます。 • 何らかのメディアファイル（ビデオ、オーディオ、写真）を操作していた場合 は、そのフォーマットと仕様。 • コンピュータに接続またはインストールされている他社製ハードウェア、およ びその製造元。ハードディスク、グラフィックカードなども含みます。 • 「Compressor」と共にインストールされている他社製のプラグインやソフト ウェア。 • サポートへのお問い合わせ時にはコンピュータのシリアル番号をお手元にご用 意ください。コンピュータのシリアル番号は、サポート担当者がお客様のシス テムのプロファイルを確認するために必要です。この情報は、Apple メニュー から「この Mac について」を選択し、「詳しい情報」をクリックすると表示で きます。「システムプロファイラ」の「ファイル」メニューから「Apple に送 信」を選択すると、この情報を Apple に通知できます。 AppleCare サポートは、http://www.apple.com/jp/support/compressorの Web サイト からご利用になれます。 「ヘルプ」メニューにも、直接 AppleCareの Webサイトにアクセスできる項目が あります。 「Compressor」から AppleCare の Web サイトにアクセスするには µ 「ヘルプ」＞「サービスとサポート」と選択します。 434 付録 B 問題を解決するターミナルシェルでの作業に慣れている場合や、アプリケーションインターフェ イスをなるべく使わずにコマンドラインから「Compressor」を実行したい場合に は、この付録をお読みください。 この付録では以下の内容について説明します： • Compressor のジョブを実行するシェルコマンド (ページ 435) Compressor のジョブを実行するシェルコマンド コマンドラインから Compressor アプリケーションを実行するには、Compressor コマンドを使います。このコマンドには、ジョブを実行するときに指定できる多 数のコマンドラインオプションが用意されています。 以下のコマンドラインの説明では、山かっこ（＜ ＞）でコマンドに必須の引数 を示し、角かっこ（[ ]）で省略可能な引数を示します。 構文 次に、クラスタでジョブを実行するコマンドの構文を示します。Compressorコマ ンドは、/Applications/Compressor.app/Contents/MacOS/ にあります。 Compressor [-clustername ][-clusterid ] [-batchfilepath ] [-batchname ] [-priority ] [-jobpath ] [-settingpath ] [-destinationpath ] [-info ] [-timeout ] [-help] [-show] この例で、-jobpath、-settingpath、-destinationpath は、この順番で、実行す るジョブの数だけ繰り返すことができます。 メモ: すべてのオプションが必要なわけではありません。たとえば、クラスタ は、-clustername または -clusterid のいずれかで指定できます。両方を指定す る必要はありません。両方指定すると、-clusterid のみが使われます。 また、-batchfilepath を指定した場合は、-jobpath、-settingpath、およ び-destinationpathを指定する必要はありません。以前に保存されたバッチファ イルにジョブ、設定、書き出し先に関する情報が含まれているためです。 435 コマンドラインを使う C 付録-batchfilepath の例： Compressor -clustername "This Computer" -batchfilepath "/Volumes/Hermione/SavedCompressorBatches/FreeChampagne.compressor" ジョブの実行が成功すると、バッチ ID（識別子）とジョブ ID（識別子）がシェ ルに表示されます。そのため、「Share Monitor」でバッチ処理の進行状況をモニ タすることができます。 コマンドのオプション 次の表で、ジョブを実行するためのコマンドオプションをそれぞれ説明します。 実行コマンドのオプション 説明 ジョブの送信先となるクラスタの名前を指定します。このク ラスタ名を使用して、「Compressor」がネットワーク上で目 的のクラスタを探します。 -clustername -clusterid または -clustername で指定したクラスタの ユーザパスワードです。 -password バッチの名前を指定し、「Share Monitor」で識別しやすくし ます。 -batchname また、-clusteridを使用してクラスタ ID（IPアドレス）お よびポート番号を指定し、-clusternameの代わりにするこ とができます。（クラスタ ID とポート番号を指定しておく と、ネットワーク上でクラスタを検索する時間が短縮されま す。）IP アドレスとポートは次のように指定します： "tcp://:" クラスタがパスワードを要求する場合には、「Compressor」 の「Apple Qmaster 共有」ウインドウで QuickCluster に設定し たパスワードか、「Apple Qadministrator」で手動で作成した クラスタに設定したパスワードを入力する必要があります。 フォーマットは、-clusterid [username:password]@: です。ユーザ名はチェックされないので 任意の名前でかまいませんが、パスワードは有効なものにす る必要があります。次のように、-passwordと-clusterid を組み合わせることもできます： -clusterid @: -password クラスタの IP アドレスとポート番号（clusterid） は、Compressor -show で確認できます。 -clusterid -priority ジョブの優先レベルを指定します。 -jobpath ソースファイルの場所を指定します。 -settingpath ジョブで使用する設定がある場所を指定します。 -destinationpath ジョブの書き出し先ファイルの URL を指定します。 -info バッチまたはジョブの詳細情報を指定します。 436 付録 C コマンドラインを使う実行コマンドのオプション 説明 「Compressor」がクラスタの検索を終了するまでの秒数を指 定します。デフォルト値は 30 です。この値を 0 にするとタ イムアウトの制限がなくなり、「Compressor」はクラスタを 探す必要がある限りネットワークの検索を続けます。 -timeout クラスタの ID 情報を表示します。情報が表示されるクラスタ は、-clustername または -clusterid で指定されたもの か、指定がなければすべてのクラスタになります。 -show Compressor コマンドに必要なパラメータに関する情報が表 示されます。 -help Compressor コマンドの例 ここでは、一般的な Compressor コマンドの例を示します。 ローカルネットワーク上のクラスタ名とクラスタ ID 次のコマンドでは、ローカルネットワーク上のすべてのクラスタ名およびクラス タ ID を表示します。 /Applications/Compressor.app/Contents/MacOS/Compressor -show -timeout 10 このコマンドには、以下の要素が含まれています： • 「Compressor」のある場所を示します（「Final Cut Pro」という文字列にスペー スが含まれているため引用符を使用）。 • 見つかったすべてのクラスタの名前と ID を表示します。 • コマンドのタイムアウトを 10 秒に設定します。 パスワードなしでのジョブの実行 次のコマンドでは、パスワードのない名前で識別されるクラスタでジョブを実行 します。 /Applications/Compressor.app/Contents/MacOS/Compressor -clustername MyCluster -batchname "My First Batch" -jobpath ~/Movies/MySource.mov -settingpath ~/Library/Application\ Support/Compressor/Settings/MPEG-4.setting -destinationpath ~/Movies/MyOutput.mp4 -timeout 5 このコマンドには、以下の要素が含まれています： • 「Compressor」のある場所を示します。 • このジョブを MyCluster という名前のクラスタに送信します。 • My First Batch というバッチ名を割り当てます（文字列にスペースが含まれてい るため引用符を使用）。 • 「~/ムービー/MySource.mov」でジョブの MySource.mov ファイルを検索しま す。 付録 C コマンドラインを使う 437• 「~/ライブラリ/Application\ Support/Compressor/Settings/MPEG-4.setting」にあ る MPEG-4 設定を使用します（文字「\」は、文字列「Application Support」に 含まれるスペースを維持するために使用）。 • MyOutput.mp4 という名前の出力ファイルを「~/ムービー」フォルダに書き込 みます。 • コマンドのクラスタの検索タイムアウトを 5 秒に設定します。 パスワードを使ったジョブの実行 次のコマンドでは、パスワードが設定された名前で識別されるクラスタでジョブ を実行します。 /Applications/Compressor.app/Contents/MacOS/Compressor -clustername MyCluster -password testpassword -batchname "My First Batch" -jobpath ~/Movies/MySource.mov -settingpath ~/Library/Application\ Support/Compressor/Settings/MPEG-4.setting -destinationpath ~/Movies/MyOutput.mp4 -timeout 5 このコマンドには、以下の要素が含まれています： • 「Compressor」のある場所を示します。 • このジョブを MyCluster という名前のクラスタに送信します。 • 「testpassword」というパスワードを入力します。 • My First Batch というバッチ名を割り当てます。 • 「~/ムービー/MySource.mov」でジョブの MySource.mov ファイルを検索しま す。 • 「~/ライブラリ/Application\ Support/Compressor/Settings/MPEG-4.setting」にあ る MPEG-4 設定を使用します。 • MyOutput.mp4 という名前の出力ファイルを「~/ムービー」フォルダに書き込 みます。 • コマンドのクラスタの検索タイムアウトを 5 秒に設定します。 クラスタ ID を使用しパスワードを使用しないジョブの実行 次のコマンドでは、パスワードのない IP アドレスで識別されるクラスタでジョ ブを実行します。 /Applications/Compressor.app/Contents/MacOS/Compressor -clusterid "tcp://192.168.1.148:62995" -batchname "My First Batch" -jobpath ~/Movies/MySource.mov -settingpath ~/Library/Application\ Support/Compressor/Settings/MPEG-4.setting -destinationpath ~/Movies/MyOutput.mp4 -timeout 5 このコマンドには、以下の要素が含まれています： • 「Compressor」のある場所を示します。 438 付録 C コマンドラインを使う• IP アドレス tcp://192.168.1.148 のポート 62995 にあるクラスタにこのジョブを 送信します。 • My First Batch というバッチ名を割り当てます。 • 「~/ムービー/MySource.mov」でジョブの MySource.mov ファイルを検索しま す。 • 「~/ライブラリ/Application\ Support/Compressor/Settings/MPEG-4.setting」にあ る MPEG-4 設定を使用します。 • MyOutput.mp4 という名前の出力ファイルを「~/ムービー」フォルダに書き込 みます。 • コマンドのクラスタの検索タイムアウトを 5 秒に設定します。 クラスタ ID およびインラインパスワードを使用したジョブの実行 次のコマンドでは、IP アドレスで識別されるクラスタに対し、ユーザ名とインラ インパスワードを指定してジョブを実行します。 /Applications/Compressor.app/Contents/MacOS/Compressor -clusterid "tcp://username:testpassword@192.168.1.148:62995" -batchname "My First Batch" -jobpath ~/Movies/MySource.mov -settingpath ~/Library/Application\ Support/Compressor/Settings/MPEG-4.setting -destinationpath ~/Movies/MyOutput.mp4 -timeout 5 このコマンドには、以下の要素が含まれています： • 「Compressor」のある場所を示します。 • このジョブをユーザ「username」、パスワード「testpassword」として IP アド レス tcp://192.168.1.148 のポート 62995 にあるクラスタに送信します。 • My First Batch というバッチ名を割り当てます。 • 「~/ムービー/MySource.mov」でジョブの MySource.mov ファイルを検索しま す。 • 「~/ライブラリ/Application\ Support/Compressor/Settings/MPEG-4.setting」にあ る MPEG-4 設定を使用します。 • MyOutput.mp4 という名前の出力ファイルを「~/ムービー」フォルダに書き込 みます。 • コマンドのクラスタの検索タイムアウトを 5 秒に設定します。 クラスタ ID およびパスワードを使用したジョブの実行 次のコマンドでは、IP アドレスで識別されるクラスタに対し、パスワードを使用 しますがユーザ名は指定しないでジョブを実行します。 付録 C コマンドラインを使う 439/Applications/Compressor.app/Contents/MacOS/Compressor -clusterid "tcp://192.168.1.148:62995" -password testpassword -batchname "My First Batch" -jobpath ~/Movies/MySource.mov -settingpath ~/Library/Application\ Support/Compressor/Settings/MPEG-4.setting -destinationpath ~/Movies/MyOutput.mp4 -timeout 5 このコマンドには、以下の要素が含まれています： • 「Compressor」のある場所を示します。 • このジョブをパスワード「testpassword」として IP アドレス tcp://192.168.1.148 のポート 62995 にあるクラスタに送信します。 • My First Batch というバッチ名を割り当てます。 • 「~/ムービー/MySource.mov」でジョブの MySource.mov ファイルを検索しま す。 • 「~/ライブラリ/Application\ Support/Compressor/Settings/MPEG-4.setting」にあ る MPEG-4 設定を使用します。 • MyOutput.mp4 という名前の出力ファイルを「~/ムービー」フォルダに書き込 みます。 • コマンドのクラスタの検索タイムアウトを 5 秒に設定します。 440 付録 C コマンドラインを使う iPod touch ユーザガイド5 第 1章：お使いになる前に 5 必要なもの 5 iPod touch を登録する 6 iTunesと同期する 10 メール、連絡先、およびカレンダーのアカウント 12 構成プロファイルをインストールする 13 iPod touch をコンピュータから接続解除する（取り外す） 14 第 2章：基本 14 iPod touch 各部の説明 16 ホーム画面 18 ボタン 20 タッチスクリーン 22 オンスクリーンキーボード 26 インターネットに接続する 26 バッテリー 28 iPod touch を清掃する 28 iPod touch を再起動する／リセットする 29 第 3章：音楽およびビデオ 29 音楽、ビデオ、その他のメディアを取り込む 31 音楽およびその他のオーディオ 36 ビデオ 39 スリープタイマーを設定する 39 ブラウズボタンを変更する 40 第 4章：iTunesとApp Store 40 iTunes Wi-Fi Music Store 45 App Store 50 購入したコンテンツを同期する 51 購入したものを確認する 51 アカウントをアップデートする 2 目次目次 3 52 第 5章：Safari 52 Web ページを表示する 55 Webを検索する 55 ブックマーク 56 Webクリップ 57 第 6章：メール 57 メールアカウントを設定する 57 メールを送信する 58 メールを確認する／読む 61 メールを整理する 63 第 7章：その他のアプリケーション 63 マップ 69 YouTube 72 写真 75 カレンダー 79 連絡先 80 株価 81 天気 82 メモ 83 計算機 85 時計 87 Nike + iPod 88 第 8章：設定 88 Wi-Fi 89 VPN 89 新しいデータを取得する 90 明るさ 90 一般 95 ミュージック 96 ビデオ 96 写真 97 メール、連絡先、カレンダー 100 Safari 101 Nike + iPod4 目次 102 付録 A：トラブルシューティング 102 一般 103 iTunesと同期 105 サウンド、音楽、およびビデオ 106 iTunes Store 106 Safari、メール、および連絡先 107 iPod touch のバックアップを作成する 109 iPod touchソフトウェアをアップデートする／復元する 110 iPod touch のユーザ補助機能 111 付録 B：その他の参考資料 111 安全性、ソフトウェア、およびサービスに関する情報 112 iPod touch 用ユーザガイド 112 廃棄とリサイクルに関する情報5 · 警告：負傷を避けるため、iPod touch をお使いになる前に、このガイドの操作方法、および www.apple.com/jp/support/manuals/ipodtouchにある「この製品についての重要なお知ら せ」の安全性に関する情報をよくお読みください。 必要なもの iPod touch を使うには、次のものが必要です：  USB 2.0ポートおよび以下の OSのいずれかを搭載している Macまたは PC：  Mac OS Xバージョン 10.4.10 以降  Windows XP Homeまたは Professional（SP 2）以降  Windows Vista Home Premium、Business、Enterprise、または Ultimateエディション  解像度が 1024 × 768以上に設定されたコンピュータディスプレイ  iTunes 8.0.2以降。www.itunes.com/jp/downloadからダウンロードできます  iTunes Storeアカウント（iTunes Wi-Fi Music Storeまたは App Storeで商品を購入するため に必要）  コンピュータのインターネット接続（ブロードバンドを推奨） iPod touch を登録する iPod touch の機能を使用するには、まず「iTunes」を使って iPod touch を設定する必要があります。 このとき、iPod touch を登録したり、iTunes Storeアカウント（一部の国で利用できます）をまだ持っ ていない場合は作成したりすることもできます。 iPod touch を登録する： 1 www.itunes.com/jp/downloadから最新バージョンの「iTunes」をダウンロードしてインストール します。 2 iPod touch に付属のケーブルを使って、iPod touch を Macまたは PCの USB 2.0ポートに接続 します。 1 お使いになる前に3 「iTunes」の画面に表示される指示に従って、iPod touch を登録し、iPod touch をコンピュータ 上の連絡先、カレンダー、およびブックマークと同期します。 iTunesと同期する iPod touch では、iTunesライブラリ内の音楽やビデオ、iTunesライブラリからダウンロードしたア プリケーション、およびその他の iTunesライブラリのコンテンツに簡単にアクセスすることができます。 「iTunes」を使用すれば、これらすべての情報や、連絡先、カレンダー、ブラウザのブックマークを iPod touch に同期できます。 同期を設定する 「iTunes」を設定して、次のいずれか、またはすべてを同期することができます：  音楽およびオーディオブック  ムービー  テレビ番組 Podcast   写真  連絡先̶名前、電話番号、住所、メールアドレスなど  カレンダー̶予定およびイベント  メールアカウント設定  Web ページのブックマーク  iTunes Storeから購入またはダウンロードしたアプリケーション iPod touch がコンピュータに接続されているときはいつでも同期の設定を変更することができます。 6 第 1章 お使いになる前に第 1章 お使いになる前に 7 音楽、オーディオブック、Podcast、ビデオコンテンツ、および購入したアプリケーションは、iTunes ライブラリから同期されます。「iTunes」内にコンテンツがない場合は、iTunes Store（一部の国で 利用できます）でコンテンツを簡単に購入または登録して「iTunes」にダウンロードできます。また、 お持ちの CDからiTunesライブラリに音楽を追加することもできます。「iTunes」および iTunes Storeについては、「iTunes」を開き、「ヘルプ」＞「iTunesヘルプ」と選択してください。 連絡先、カレンダー、および Web ページのブックマークは、お使いのコンピュータ上のアプリケー ション（次のセクションを参照してください）と同期されます。連絡先とカレンダーは、コンピュータと iPod touch の間で双方向で同期されます。iPod touch で新しく作成した項目や変更した内容はコ ンピュータに同期され、コンピュータからも同様に同期されます。Web ページのブックマークも双方 向で同期されます。写真は、アプリケーションまたはフォルダから同期できます。 メールアカウント設定の同期は、コンピュータのメールアプリケーションから iPod touch 方向にのみ 行われます。つまり、iPod touch 上でメールアカウントをカスタマイズしても、コンピュータ上のメー ルアカウント設定に影響を与えることはありません。 参考：iPod touch 上に直接メールアカウントを設定することもできます。10ページの「メール、連絡先、 およびカレンダーのアカウント」を参照してください。 iPod touch で iTunes Wi-Fi Music Storeまたは App Storeから購入した商品は、iTunesライブ ラリに同期されます。また、コンピュータで iTunes Storeから音楽やアプリケーションを直接購入ま たはダウンロードして、それらを iPod touch に同期することもできます。 必要に応じて、コンピュータ上の特定の項目だけを同期するように iPod touch を設定できます。たと えば、特定の音楽プレイリストだけを同期したり、まだ見ていないビデオ Podcastだけを同期したり できます。 重要：接続および同期できる iPod touch は一度に 1台のみです。すでに別の iPodが接続されてい るときは、先にそれを取り外してください。iPod touch を接続する前に、自分のコンピュータ・ユーザ・ アカウントを使ってログインしてください。PCで複数の iPod touch または iPodを同じユーザアカウ ントに同期する場合は、それぞれの装置で同じ同期設定を使用する必要があります。 「iTunes」との同期を設定する： 1 iPod touch をコンピュータに接続し、「iTunes」を開きます（自動的に開かない場合）。 2 「iTunes」のサイドバーで、iPod touch を選択します。 3 各設定パネルで同期の設定をします。 各パネルについては、次のセクションを参照してください。 参考：連絡先、カレンダー、またはブックマークを MobileMeまたは Microsoft Exchangeと同期 するように iPod touch を設定している場合、「iTunes」ではこれらの項目の同期が無効になります。 10 ページの「アカウントを設定する」を参照してください。 4 画面の右下にある「適用」をクリックします。 デフォルトでは、「この iPodの接続時に iTunesを開く」が選択されています。iTunesの iPod touch 設定パネル 以下のセクションでは、iPod touch の各設定パネルについて簡単に説明します。詳しいことを知りた いときは、「iTunes」を開き、「ヘルプ」＞「iTunesヘルプ」と選択してください。 「概要」パネル iPod touch をコンピュータに接続したときに自動的に「iTunes」を開いて同期したい場合は、「こ の iPodの接続時に iTunesを開く」を選択します。「iTunes」の「同期」ボタンをクリックしたとき のみ同期したい場合は、このオプションの選択を外します。自動的に同期しないようにする方法につい ては、10 ページの「自動的に同期しないようにする」を参照してください。 iTunesライブラリ内で個別にチェックマークを付けた項目だけを同期したい場合は、「チェックマーク のある曲とビデオだけを同期」を選択します。 「ミュージック」および「ビデオ」設定パネルで自動同期を切にする場合は、「音楽とビデオを手動で 管理する」を選択します。30ページの「コンテンツを手動で管理する」を参照してください。 「ミュージック」、「ムービー」、「テレビ番組」、および「Podcast」パネル これらのパネルでは、同期したいメディアを指定します。すべての音楽、ムービー、テレビ番組、およ び Podcastを同期するか、iPod touch に同期したいプレイリストおよび項目を選択することができ ます。 レンタルムービーを iPod touch で視聴したい場合は、「iTunes」の「ムービー」パネルを使ってそ れらを iPod touch に転送します。 指定したすべてのメディアを取り込むのに十分な空き領域が iPod touch にない場合は、特別 なプレイリストを作成するかどうかを尋ねられます。「iTunes」によってプレイリストが作成され、 iPod touchと同期するように設定されます。 8 第 1章 お使いになる前に第 1章 お使いになる前に 9 「写真」パネル Macでは iPhoto 4.0.3以降または「Aperture」、PCでは Adobe Photoshop Album 2.0 以降 または Adobe Photoshop Elements 3.0以降と写真を同期できます。コンピュータ上のフォルダの うち、画像が含まれるフォルダ内の写真を同期することもできます。 「情報」パネル 「情報」パネルでは、連絡先、カレンダー、メールアカウント、および Webブラウザの同期を設定で きます。  連絡先 Macでは Mac OS Xの「アドレスブック」、「Microsoft Entourage」、「Yahoo!アドレスブック」、 Google連絡先リスト、PCでは「Yahoo!アドレスブック」、Google連絡先リスト、「Windows アドレス帳」（「Outlook Express」）、Vista の「アドレス帳」、「Microsoft Outlook 2003」ま たは「Microsoft Outlook 2007」などのアプリケーションと連絡先を同期できます。（Macでは、 複数のアプリケーションと連絡先を同期できます。PCでは、一度に 1つのアプリケーションだけと アドレスデータを同期できます。） 「Yahoo!アドレスブック」と同期する場合に、同期を設定した後に Yahoo! IDまたはパスワードを 変更するときは、「設定」をクリックして新しいログイン情報を入力するだけです。  カレンダー Macでは「iCal」、「Microsoft Entourage」、PCでは「Microsoft Outlook 2003」、「Microsoft Outlook 2007」などのアプリケーションからカレンダーを同期できます。（Macでは、複数のアプ リケーションとカレンダーを同期できます。PCでは、一度に 1つのアプリケーションだけとカレンダー を同期できます。）  メールアカウント メールアカウント設定は、Macでは「Mail」から、PCでは「Microsoft Outlook 2003」または 「Microsoft Outlook 2007」あるいは「Outlook Express」から同期できます。アカウント設 定の転送は、コンピュータから iPod touch 方向にのみ行われます。iPod touch でメールアカウ ントに変更を加えても、コンピュータのアカウントには影響しません。 参考：Yahoo!メールアカウントのパスワードは、コンピュータには保存されません。そのため、同 期することはできず、iPod touch で入力する必要があります。「設定」で、「メール /連絡先 /カ レンダー」を選択し、Yahoo!アカウントをタップして、パスワードを入力します。  Webブラウザ Macでは「Safari」、PCでは「Safari」または Microsoft 社の「Internet Explorer」からブックマー クを同期できます。  詳細 これらのオプションを使って、次回の同期のときに iPod touch 上の情報をコンピュータ上の情報 に置き換えることができます。「アプリケーション」パネル 「アプリケーション」パネルでは、iPod touch にインストールしたい App Storeアプリケーションを 指定します。iPod touch に直接ダウンロードしたアプリケーションは、同期の際に自動的に iTunes ライブラリにバックアップが作成されます。iPod touch で手動でアプリケーションを削除した場合、そ のアプリケーションが同期済みであれば、このパネルから再インストールできます。 自動的に同期しないようにする いつも同期しているコンピュータ以外のコンピュータに iPod touch を接続するときに、iPod touch が自動的に同期されないようにすることができます。 iPod touch の自動同期を切にする： iPod touch をコンピュータに接続します。「iTunes」のサイ ドバーで iPod touch を選択して、「概要」タブをクリックします。「この iPodの接続時に iTunesを 開く」の選択を解除します。「同期」ボタンをクリックすることで、いつでも同期を行うことができます。 すべてのiPhonesおよびiPodsの自動同期を切にする：「iTunes」で、「iTunes」＞「環境設定」（Mac の場合）または「編集」＞「設定」（PCの場合）と選択し、「デバイス」をクリックして、「すべての iPhoneおよび iPodの自動同期を無効にする」を選択します。 このチェックボックスを選択すると、「概要」パネルで「この iPodの接続時に iTunesを開く」を選択 しても、iPod touch が自動的に同期されなくなります。 設定を変更せずに一時的に自動同期しないようにする：「iTunes」を開きます。次に、コマンド＋ Optionキー（Macの場合）または Shift ＋ Ctrlキー（PCの場合）を押したまま iPod touch をコ ンピュータに接続し、サイドバーに iPod touch が表示されるまでそのままにします。 手動で同期する：「iTunes」のサイドバーで iPod touch を選択して、ウインドウの右上にある「同期」 をクリックします。同期の設定を変更した場合は、「適用」をクリックします。 メール、連絡先、およびカレンダーのアカウント iPod touch では、MobileMe、Microsoft Exchange、およびよく利用される多くのメールシステ ムを利用できます。 アカウントを設定する MobileMeおよび Microsoft Exchangeでは、メールだけでなく、連絡先やカレンダー情報も提 供されます。これらは、iPod touch に自動的に無線同期できます。MobileMeでは、Macでは 「Safari」、PCでは「Safari」または Microsoft 社の「Internet Explorer」と iPod touch 上のブッ クマークを同期することもできます。MobileMe、Exchange、およびその他のメールアカウントは、 iPod touch で直接設定します。 iPod touch では、Exchange ActiveSyncプロトコルを使用して、次のバージョンの Microsoft Exchangeとメール、カレンダー、および連絡先が同期されます： Exchange Server 2003 Service Pack 2  Exchange Server 2007 Service Pack 1  よく利用される多くのメールシステムのアカウントについては、ほとんどの設定が iPod touch によっ て自動的に入力されます。 10 第 1章 お使いになる前に第 1章 お使いになる前に 11 メールアカウントをまだ持っていない場合は、www.yahoo.com、www.google.com、または www.aol.comで、無料のアカウントをオンラインで取得できます。また、MobileMeの 60日間有 効な無料のトライアルアカウントを取得することもできます。www.me.comにアクセスしてください。 iPod touch でアカウントを追加する： 1 iPod touch のホーム画面で、「設定」をタップします。 2 「メール /連絡先 /カレンダー」をタップして、「アカウントを追加」をタップします。 3 アカウントの種類をタップします： Microsoft Exchange  MobileMe   Googleメール  Yahoo!メール AOL   その他 4 アカウント情報を入力し、「保存」をタップします。 必要なアカウント設定については、ご利用のサービスプロバイダまたはシステム管理者に問い合わせ てください。 Exchangeアカウント： 完全なメールアドレス、ドメイン（オプション）、ユーザ名、パスワード、およ び説明を入力します。説明は自由に入力できます。 iPod touch は、Microsoft 社の Autodiscoveryサービスに対応しています。ユーザ名とパスワー ドを使用して、Exchangeサーバのアドレスが判断されます。サーバのアドレスを判断できない場合は、 入力を求められます。（「サーバ」フィールドに完全なアドレスを入力します。）Exchangeサーバに接 続すると、サーバで設定されているポリシーを満たすパスコードに変更するように求められることがあ ります。 5 Exchangeまたは MobileMeアカウントを設定する場合は、メール、連絡先、カレンダー、ブックマー ク（MobileMeのみ）から同期したい項目をタップします。Exchangeアカウントの場合は、何日分 のメールを iPod touchと同期したいかも選択できます。「保存」をタップします。 重要：Exchangeまたは MobileMeアカウントを使用して連絡先やカレンダーを同期する場合、 「iTunes」での連絡先やカレンダーの同期は無効になります。iPod touch 上の連絡先やカレンダー 情報は、Exchangeまたは MobileMeアカウントからの連絡先およびカレンダー情報に置き換えられ ます。プッシュアカウント MobileMe、Microsoft Exchange、およびYahoo!メール は、「プッシュ」アカウントと呼ばれます。メー ルメッセージが到着するなど、新しい情報が利用可能になると、iPod touch に情報が自動的に配信 （プッシュ）されます。（これとは対照的な「フェッチ」型のサービスでは、メールソフトウェアが定期 的にサービスプロバイダに接続して新しいメッセージが届いているかどうかを確認し、メッセージの配 信を要求する必要があります。）アカウント設定で連絡先、カレンダー、およびブックマーク（MobileMe のみ）を選択している場合は、MobileMeおよび Exchangeでもこれらの項目を同期するためにプッ シュが使用されます。 同期する情報はワイヤレス接続を介して自動的に転送されるので、iPod touch をコンピュータに接続 して同期する必要はありません。iPod touch がスリープ解除された状態になっているとき（画面がオ ンになっているか、iPod touch がコンピュータまたは電源アダプタに接続されているとき）にのみ、プッ シュされたデータを iPod touch に Wi-Fi接続で受信できます。 構成プロファイルをインストールする エンタープライズ環境で利用している場合は、構成プロファイルをインストールすることによって、 iPod touch にアカウントやその他の項目を設定できることがあります。構成プロファイルは、システ ム管理者が、会社、学校、または組織の情報システムと連携するようにユーザの iPod touch をすば やく設定するための仕組みです。たとえば、社内の Microsoft Exchangeサーバにアクセスするよう に iPod touch を設定して、iPod touch から各自の Exchangeメール、カレンダー、および連絡 先にアクセスできるようにすることができます。 構成プロファイルでは、iPod touch の複数の設定を一度に構成できます。たとえば、Microsoft Exchangeアカウント、VPNアカウント、および社内のネットワークや情報に安全にアクセスできるよ うにするための証明書などを設定できます。構成プロファイルによって、パスコードロックを有効にする こともできます。有効にした場合は、iPod touch を使用するためのパスコードの作成と入力が必要 になります。 システム管理者から、メールまたはセキュリティ保護された Web ページを通して、構成プロファイル が配布されることがあります。 構成プロファイルをインストールする： 1 iPod touch を使用して、システム管理者からのメールメッセージを開くか、指定された Webサイト から構成プロファイルをダウンロードします。 2 構成プロファイルが開いたら、「インストール」をタップします。 3 必要に応じて、パスワードおよびその他の情報を入力します。 重要：構成プロファイルが信頼できるものであるかどうかを尋ねられる場合があります。疑わしい場合 は、構成プロファイルをインストールする前にシステム管理者に問い合わせてください。 構成プロファイルによって提供された設定は変更できません。これらの設定を変更したい場合は、先 に構成プロファイルを取り除くか、アップデートされた構成プロファイルをインストールする必要があり ます。 12 第 1章 お使いになる前に第 1章 お使いになる前に 13 プロファイルを取り除く：「設定」で、「一般」＞「プロファイル」と選択し、構成プロファイルを選択して、 「削除」をタップします。 構成プロファイルを取り除くと、構成プロファイルによってインストールされた設定およびその他すべて の情報が iPod touch から削除されます。 iPod touch をコンピュータから接続解除する（取り外す） iPod touch がコンピュータと同期中でなければ、いつでも本体をコンピュータから接続解除すること ができます。 iPod touch がコンピュータと同期中の場合は、iPod touch に「同期作業が進行中」と表示され ます。同期が完了する前に iPod touch を接続解除すると、一部のデータが転送されないことがあり ます。iPod touch の同期が完了すると、「iTunes」に iPod touch の同期が完了しました。」と表 示されます。 同期をキャンセルする： iPod touch でスライダをドラッグします。14 iPod touch 各部の説明 スリープ／ スリープ解除ボタン 音量ボタン Dock コネクタ ヘッドフォンポート Wi-Fi アンテナ ホームボタン 内蔵スピーカー タッチスクリーン アプリケーションアイコン ステータスバー 2 基本第 2章 基本 15 iPod touch の付属アクセサリ ステレオヘッドフォン Dock コネクタ（USB ケーブル用） ポリッシングクロス iPod 部品 用途 ステレオヘッドフォン 音楽、オーディオブック、Podcast、ビデオを聴きます。 Dockコネクタ（USBケーブル用） iPod touch をコンピュータに接続して同期と充電を 行うとき、または電源アダプタに接続して充電するとき に、このケーブルを使用します。このケーブルはオプ ションの Dockで使用することができます。または直接 iPod touch に接続することもできます。 ポリッシングクロス iPod touch の画面を拭くのに使用します。 ステータスアイコン iPod touch についての情報を、画面上部のステータスバーにアイコンで表示します： ステータスアイコン 意味 Wi-Fi iPod touch が Wi-Fiネットワーク経由でインター ネットに接続されていることを示します。バーの本 数が多いほど、信号が強いことを示します。26ペー ジを参照してください。 ネットワーク操作 ネットワーク操作を実行中であることを示します。 他社製のアプリケーションでは、処理を実行中で あることを示すためにこのアイコンが使用されるこ ともあります。 VPN VPNを使ってネットワークに接続していることを示 します。91ページの「ネットワーク」を参照して ください。 ロック iPod touch がロックされていることを示します。 17ページを参照してください。 再生 曲、オーディオブック、または Podcastが再生中 であることを示します。31ページを参照してくだ さい。 アラーム アラームが設定されていることを示します。86ペー ジを参照してください。ステータスアイコン 意味 バッテリー バッテリーレベルまたは充電状況を示します。26 ページを参照してください。 ホーム画面 ホーム ボタンを押せば、いつでもホーム画面に移動して、iPod touch アプリケーションを表示で きます。アプリケーションアイコンをタップする（指で軽く叩く）とアプリケーションが開始します。 iPod touch アプリケーション iPod touch には次のアプリケーションが用意されています： ミュージック 曲、オーディオブック、および Podcastを聴くことができます。「On-The-Go」プレイリストを作成したり、 Genius機能を使用してライブラリから同じテイストの曲を集めてプレイリストを自動的に作成したりで きます。 ビデオ 購入またはレンタルしたムービー、ミュージックビデオ、ビデオ Podcast、およびテレビ番組をどこで も視聴できます。iPod touch をテレビに接続して大きな画面で視聴することもできます（テレビに接 続するには別売のケーブルが必要です）。 写真 コンピュータから転送した写真や画像、または iPod touch で保存した写真や画像を表示できます。 縦向き、横向き両方で表示することが可能です。写真を拡大して見ることができます。スライドショーを 見ることもできます。さらに、写真をメールで送ったり、MobileMeギャラリーに追加したり、連絡先 に割り当てたり、壁紙として使用したりすることもできます。 iTunes iTunes Wi-Fi Music Storeの音楽カタログを検索したり、ニューリリース、トップ 10ソング、トップ 10アルバムなどをブラウズ、プレビュー、および購入できます。Podcastをストリーム再生したり、ダ ウンロードしたりできます。Starbucksの一部の提携店舗で再生中の曲を探し出して、すぐに購入でき ます。おすすめの Starbucksコレクション以外の曲をブラウズ、プレビュー、および購入することもで きます。 App Store Wi-Fi接続を使用して、App Storeで iPod touch アプリケーションを検索し、購入またはダウンロー ドすることができます。気に入ったアプリケーションのレビューを読んだり書いたりすることもできます。 アプリケーションは、ホーム画面にダウンロードしてインストールできます。 Safari Wi-Fi経由で Webサイトをブラウズできます。iPod touch を横向きにすれば、ワイドスクリーンで表 示できます。ダブルタップで拡大／縮小することもできます。Web ページの列が自動的に iPod touch の画面いっぱいに表示されるので、内容が読みやすくなります。お使いのコンピュータ上の「Safari」 または Microsoft 社の「Internet Explorer」とブックマークを同期できます。Webクリップをホーム 画面に追加すれば、よく使うWebサイトにすばやくアクセスできます。さらに、Webサイトの画像をフォ トライブラリに保存することもできます。 カレンダー MobileMe、「iCal」、「Microsoft Entourage」、「Microsoft Outlook」、または Microsoft Exchange のカレンダーを表示できます。iPod touch でイベントを入力すれば、それらがコンピュー タ上のカレンダーに同期されます。イベント、約束、締め切りなどを知らせる通知を設定することもで きます。 メール iPod touch は、MobileMe、Microsoft Exchange、よく利用される多くのメールシステム（Yahoo! メール、Googleメール、AOLなど）、および業界標準のPOP3/IMAPメールシステムに対応しています。 PDFやその他の添付ファイルは「メール」内で表示できます。さらに、添付された写真や画像をフォト ライブラリに保存することもできます。 16 第 2章 基本第 2章 基本 17 連絡先 MobileMe、Mac OS Xの「アドレスブック」、「Yahoo!アドレスブック」、Google連絡先リスト、 「Windowsアドレス帳」（「Outlook Express」）、「Microsoft Outlook」、または Microsoft Exchangeから連絡先情報を同期できます。連絡先を追加、変更、または削除することもできます。 変更内容は、同期の際にコンピュータ上の連絡先情報に反映されます。 YouTube YouTubeのオンラインコレクションからビデオを再生できます。ビデオを検索するか、おすすめビデオ、 人気ビデオ、最近アップデートされたビデオ、またはトップレートのビデオをブラウズできます。 株価 関心のある株価を見ることができます。インターネットから自動的に最新の情報を入手できます。 マップ 世界中の市街地図、航空写真図、または地図＋写真を見ることができます。拡大すれば、より近づい て見ることができます。おおよその現在位置を確認することもできます。運転経路の詳細を表示したり、 高速道路の現在の渋滞状況を確認したりできます。周辺の店舗や企業を検索することもできます。 天気 現在の気象情報と6日分の予報を見ることができます。よく見る場所を追加して、いつでもすばやく天 気予報を見ることができます。 時計 世界の都市の時間を表示します。お気に入りの都市の時計を作成できます。1つまたは複数のアラー ムを設定することができます。ストップウォッチを使ったり、カウントダウンタイマーを設定することもで きます。 計算機 足し算、引き算、掛け算、および割り算ができます。iPod touch を横向きにすれば、高度な関数電 卓として使用できます。 メモ メモ、買い物リスト、ひらめいたアイデアをいつでも書き留めることができます。それらをメールで送信 できます。 設定 iPod touch のすべての設定を一括してここで操作します。音量制限を設定すれば、突然大音量になっ てしまうこともありません。壁紙、画面の明るさのほか、ネットワーク、メール、Web、音楽、ビデオ、 写真などの設定ができます。セキュリティのために、自動ロックおよびパスコードを設定することができ ます。露骨な内容（EXPLICIT）の iTunesコンテンツや特定のアプリケーションへのアクセスを制限す ることもできます。さらに、iPod touch をリセットすることもできます。 Nike + iPod Nike + iPodを「設定」で有効にすると、iPod touch がワークアウトのパートナーになります。ワー クアウトのペース、時間、および距離を管理したり、ルーチンを完了するための曲を選択したりできま す。（専用の NikeシューズとNike + iPodセンサーが必要です（別売）。第 1世代の iPod touchで は利用できません。） 参考：アプリケーションの機能は、iPod touch を購入および使用する国や地域によって異なる場合が あります。 ホーム画面をカスタマイズする ホーム画面のアイコン（画面下部にある Dockアイコンなど）のレイアウトをカスタマイズすることが できます。必要に応じて、複数のホーム画面の間で並べ替えることもできます。アイコンを並べ替える： 1 ホーム画面上にあるアイコンをタッチしたまま押さえていると、アイコンが波打ち始めます。 2 アイコンをドラッグして並べ替えます。 3 ホーム ボタンを押して配置を保存します。 よく使うWeb ページへのリンクをホーム画面に追加することもできます。56ページの「Webクリッ プ」を参照してください。 ホーム画面を追加する： アイコンを並べ替えるときに、アイコンを画面の右端までドラッグすると、新 しい画面が表示されます。フリックして（指で画面をはじく）元の画面に戻り、別のアイコンを新しい 画面にドラッグすることもできます。 最大 9つの画面を作成できます。「Dock」の上にある点は、画面の数と表示している画面を示します。 別のホーム画面に切り替える： 左または右にフリックするか、点の列の左または右をタップします。 最初のホーム画面を表示する： ホーム ボタンを押します。 ホーム画面をデフォルトのレイアウトにリセットする：「設定」＞「一般」＞「リセット」と選択し、「ホー ム画面レイアウトをリセット」をタップします。 ボタン いくつかの簡単なボタンを使って、手軽に iPod touch の電源の入／切を切り替えたり音量を調節し たりできます。 スリープ／スリープ解除ボタン iPod touch を使わないときは、ロックしておくことができます。 iPod touch がロックされているときは、画面に触れても操作できません。 デフォルトでは、1分間画面に触れないと、iPod touch が自動的にロックされます。 18 第 2章 基本第 2章 基本 19 スリープ／ スリープ解除ボタン iPod touch をロックする スリープ／スリープ解除ボタンを押します。 iPod touch のロックを解除する ホーム ボタン、またはスリープ／スリープ解除ボタン を押して、スライダをドラッグします。 iPod touch の電源を完全に切る スリープ／スリープ解除ボタンを数秒間、赤いスライダが 表示されるまで押し続け、スライダをドラッグします。 iPod touch の電源を入れる スリープ／スリープ解除ボタンを Appleロゴが表示される まで押し続けます。 iPod touch がロックされるまでの時間を変更する方法については、92ページの「自動ロック」を参 照してください。iPod touch のロックを解除するときにパスコードを入力するように設定する方法に ついては、「パスコードロック」ページの 92を参照してください。 音量ボタン 曲、ムービー、その他のメディアの再生中は、iPod touch の横にあるボタンを使って音量を調節でき ます。それ以外のときにこのボタンを使うと、通知音やその他のサウンド効果の音量が変更されます。 参考：音量ボタンは、第 1世代の iPod touchに付いていません。 警告：聴覚の損傷を避けるための重要な情報については、www.apple.com/jp/support/ manuals/ipodtouchにある「この製品についての重要なお知らせ」を参照してください。 音量を調節するには、iPod touch の横にあるボタンを使用します。 音量 を上げる 音量 を下げる iPod touch で音楽およびビデオを再生するときの音量制限を設定する方法については、95ページの 「ミュージック」を参照してください。タッチスクリーン iPod touch のタッチスクリーンの操作方法は、行っている作業によって変わります。 アプリケーションを開く アプリケーションを開く： アイコンをタップします。 ホーム画面に戻る： ディスプレイの下にあるホーム ボタンを押します 。 スクロールする スクロールするには、指で上下にドラッグします。Web ページなど、画面によっては左右にスクロール することもできます。 指で上下にドラッグしてスクロールしても、画面上では何も変更されたりアクティブになったりすること はありません。 20 第 2章 基本第 2章 基本 21 すばやくスクロールするには、フリックします。 スクロールが止まるまで待ちます。または画面に軽く触れるとすぐに止まります。画面に触れてスクロー ルを止めても、何も変更されたりアクティブになったりすることはありません。 リスト、Web ページ、またはメールの先頭まですばやくスクロールするには、ステータスバーをタップ します。 リストを操作する リスト表示のときに、右側にインデックスが表示されることがあります。 インデックス付きのリストで項目を探す： インデックスの文字をタップすると、その文字の最初の項目 にジャンプします。指でインデックスをドラッグすると、リスト内をすばやくスクロールすることができます。 インデックス 項目を選択する： リストで項目をタップします。 リストの内容によって、項目をタップしたときの動作が異なります。たとえば、項目をタップすると、新 しいリストが開いたり、曲が再生されたり、メールが開いたり、連絡先が表示されたりします。 前のリストに戻る： 左上の「戻る」ボタンをタップします。拡大／縮小する 写真、Web ページ、メール、またはマップを表示しているときに、拡大／縮小することができます。 ピンチ（2本の指で押し開くまたは閉じる）します。写真とWeb ページの場合は、ダブルタップ（す ばやく2回軽く叩く）すると拡大し、もう一度ダブルタップすると縮小します。マップの場合は、ダブル タップすると拡大し、2本の指で 1回タップすると縮小します。 オンスクリーンキーボード オンスクリーンキーボードを使って、連絡先、テキストメッセージ、Webアドレスなどのテキストを入 力できます。 入力する 使用しているアプリケーションによっては、このインテリジェントキーボードを使うと、入力中に自動的 に入力候補が表示されることがあります。これにより、単語のスペルミスを防ぐことができます。 テキストを入力する： 1 メモや新しい連絡先などのテキストフィールドをタップすると、キーボードが表示されます。 2 キーボードのキーをタップします。 はじめは人差し指だけで入力してみてください。慣れてきたら、2本の親指を使うとさらにすばやく入 力できます。 入力するたびに、入力した文字がキーの上に表示されます。間違ったキーをタッチした場合は、正し いキーに指をスライドさせます。キーから指が離れるまで文字は入力されません。 22 第 2章 基本第 2章 基本 23 大文字を入力する 文字を入力する前にシフト キーをタップします。 ピリオドやスペースをすばやく入力する スペースバーをダブルタップします。（「設定」＞「一般」 ＞「ネットワーク」でこの機能の入／切を切り替えること ができます。） Caps Lockを入にする Shift キーをダブルタップします。シフトキーが青に変 わり、すべての文字が大文字で入力されます。再びシフト キーをタップすると、Caps Lockが切になります。（「設定」 ＞「一般」＞「ネットワーク」でこの機能の入／切を切り 替えることができます。） 数字、句読点、または記号を表示する 数字 キーをタップします。記号 キーをタップする と、さらにほかの句読点や記号が表示されます。 キーボードに表示されない文字や記号を入力する 同類の文字または記号を押し続けてから、目的の文字まで スライドして選択します。 各国のキーボード iPod touch には、さまざまな言語でテキストを入力できるキーボードが用意されています。サポート されるキーボードの完全なリストについては、www.apple.com/jp/ipodtouch/specs.htmlを参 照してください。 ほかの言語のキーボードの入／切を切り替える： 1 「設定」で、「一般」＞「言語環境」＞「キーボード」と選択します。 2 使用したいキーボードを入にします。日本語や中国語など、複数の種類のキーボードがある言語の場 合は、利用可能なキーボード数が表示されます。目的の言語のキーボードをタップして選択します。複数のキーボードを入にした場合にキーボードを 切り替える をタップしてキーボードを切り替えます。タップすると、 アクティブになったキーボードの名前が少しの間表示され ます。 日本語テンキーを使用する テンキーを使って読みを入力します。ほかの読みを表示す るには、矢印キーをタップして、ウインドウから別の読み または単語を選択します。 日本語フルキーボードを使用する フルキーボードを使って読みをローマ字入力します。入力 中に読みの候補が表示されます。候補をタップして選択し ます。 韓国語を入力する 2-Set Koreanキーボードを使ってハングル文字を入力し ます。二重子音または複合母音を入力するには、文字を 押したまま、重ねる文字にスライドして選択します。 簡体字中国語のピンイン入力を使用する フルキーボードを使って漢字のピンインを入力します。入 力中に漢字の候補が表示されます。文字をタップして選択 するか、ピンインの入力を続けてほかの候補を表示します。 簡体字中国語または繁体字中国語の手書き入力を 使用する タッチパッドで指を使って漢字を入力します。入力中に iPod touch によってストロークが認識され、一致する文 字がリストに表示されます。最も近い候補が一番上に表示 されます。文字を選択すると、追加の候補として同類の文 字がリストに表示されます。 一部の複雑な文字は、2つ以上の文字を組み合わせて入 力できます。たとえば、魚を入力してから巤を入力すると、 文字リストに鱲（香港国際空港の名前の一部）が横に矢 印付きで表示されます。文字をタップして、入力した文字 を置き換えます。 簡体字中国語または繁体字中国語の手書き入力が入のときは、次の図に示すように指で漢字を入力で きます： 24 第 2章 基本第 2章 基本 25 辞書 iPod touch には、多くの言語の入力を支援する辞書が内蔵されています。サポートされるキーボー ドを選択すると、対応する辞書が自動的に有効になります。 サポートされる言語のリストについては、www.apple.com/jp/ipodtouch/specs.htmlを参照して ください。 iPod touch では、その有効になっている辞書を使用して、修正候補が表示されたり、入力中の単語 が補完されたりします。候補の単語を使用するために、入力を中断する必要はありません。 候補の単語 辞書による入力候補を使用または無視する：  候補の単語を無視するには、単語を最後まで入力し、次の単語を入力する前に「×」をタップして 候補を消します。その単語の候補を無視するたびに、タイプしたままの単語が iPod touch に表示 されるようになります。  候補の単語を使用するには、スペース、句読点、またはリターンを入力します。 自動修正の入／切を切り替える：「一般」＞「キーボード」と選択し、「自動修正」の入／切を切り 替えます。自動修正はデフォルトで入になっています。 参考：中国語または日本語を入力する場合は、候補のいずれかをタップします。 テキストを入力する： テキストをタッチしたまましばらく待って拡大鏡を表示し、挿入ポイントを目的の 位置までドラッグします。インターネットに接続する iPod touch では、Wi-Fi ネットワーク経由でインターネットに接続できます。iPod touch は、自宅、 職場、または世界中の Wi-Fiホットスポットの AirMacおよびその他の Wi-Fiネットワークに接続する ことができます。インターネットに接続された Wi-Fiネットワークに接続しているときは、iPod touch で「メール」、「Safari」、「YouTube」、「株価」、「マップ」、「天気」、App Store、または iTunes Wi-Fi Music Storeを使用すると、自動的にインターネットに接続されます。 Wi-Fiネットワークに接続する Wi-Fi設定を使って、Wi-Fiを入にしたりWi-Fiネットワークに接続したりできます。 Wi-Fiを入にする：「設定」＞「Wi-Fi」と選択し、Wi-Fiを入にします。 Wi-Fiネットワークに接続する：「設定」＞「Wi-Fi」と選択し、しばらく待ちます。iPod touch によっ て接続圏内にあるネットワークが検出されたら、ネットワークを選択します（Wi-Fiネットワークによっ ては接続料が必要な場合があります）。必要に応じてパスワードを入力し、「参加」をタップします（パ スワードが必要なネットワークには鍵 のアイコンが表示されます）。 Wi-Fiネットワークに一度手動で接続すれば、そのネットワークが接続圏内にあるときは、iPod touch からそのネットワークに自動的に接続されます。使用したことのあるネットワークが接続圏内に複数あ る場合は、iPod touch で最後に使用したネットワークに接続されます。 iPod touch が Wi-Fiネットワークに接続されているときは、画面上部のステータスバーに Wi-Fi アイコンが表示され、信号の強さが示されます。アイコンのバーの本数が多いほど、信号が強いこと を示します。 Wi-Fiの設定方法については、88ページの「Wi-Fi」を参照してください。 バッテリー iPod touch には、充電式バッテリーが内蔵されています。 バッテリーを充電する 警告：iPod touch の充電の安全性に関する重要な情報については、www.apple.com/jp/ support/manuals/ipodtouchにある「この製品についての重要なお知らせ」を参照してください。 バッテリーを充電して iPod touch を同期する： 付属の USBケーブルを使って、iPod touch をコン ピュータに接続します。 26 第 2章 基本第 2章 基本 27 重要：電源を切ったコンピュータ、またはスリープモードかスタンバイモードのコンピュータに iPod touch を接続すると、iPod touch のバッテリーが充電されずに消耗してしまうことがあります。 iPod touch は、FireWireを使用する電源アダプタからは充電できません。 画面の右上のアイコンは、充電の状態を示しています。 充電中 充電済み iPod touch を同期しながら、または使用しながら充電すると、充電に時間がかかる場合があります。 別売の Apple USB Power Adapter（Apple USB電源アダプタ）を使って iPod touch を充電す ることもできます。 重要：iPod touch のバッテリー残量が少なくなると、次のいずれかのイメージが表示されることがあ ります。これは、iPod touch を使用できるようになるまでに 10 分以上充電する必要があることを示 します。iPod touch の電池残量が極めて少なくなると、画面に何も表示されなくなり、約 2分後に 電池が少ないことを知らせる画像が表示されます。 または バッテリー寿命を最大限に延ばす iPod touch では、リチウムイオンバッテリーが使用されます。iPod touch の製品寿命やバッテリー 寿命を最大限に延ばす方法について詳しくは、www.apple.com/jp/batteriesを参照してください。バッテリーを交換する 充電式のバッテリーに充電できる回数は限られているため、その回数を超えた場合は、バッテリーを 交換する必要があります。iPod touch のバッテリーはユーザ自身では交換できません。交換できるの は、正規サービスプロバイダのみです。詳しくは、www.apple.com/jp/support/ipod/service/ batteryを参照してください。 iPod touch を清掃する iPod touch を清掃するときは、すべてのケーブルを取り外し、iPod touch の電源を切ってください （スリープ／スリープ解除ボタンを押したまま、画面に表示されたスライダをスライドします）。柔らか くけば立たない布を水で湿らせて使用してください。開口部に水が入らないように注意してください。 iPod touch を清掃するために、窓ガラス用洗剤、家庭用洗剤、スプレー式の液体クリーナー、有機溶剤、 アルコール、アンモニア、研磨剤は使用しないでください。 iPod touch を再起動する／リセットする 機能が正しく動作しない場合は、iPod touch を再起動またはリセットすると問題が解決することがあ ります。 iPod touch を再起動する： スリープ／スリープ解除ボタンを赤いスライダが表示されるまで押し続 けます。指でスライダをスライドして、iPod touch の電源を切ります。もう一度 iPod touch の電源 を入れるときは、スリープ／スリープ解除ボタンを Appleロゴが表示されるまで押し続けます。 iPod touch をリセットする： スリープ／スリープ解除ボタンとホームボタンを、Appleロゴが表示さ れるまで同時に 10 秒以上押し続けます。 問題の解決方法について詳しくは、102 ページの付録 A「トラブルシューティング」を参照してくだ さい。 28 第 2章 基本29 iPod touch をコンピュータ上の「iTunes」と同期して、iTunesライブラリに収集した曲、ビデオ、 およびその他のコンテンツを取り込むことができます。iTunesライブラリに音楽やその他のメディアを 追加する方法については、「iTunes」を開いて「ヘルプ」＞「iTunesヘルプ」と選択してください。 音楽、ビデオ、その他のメディアを取り込む 音楽、ビデオ、および Podcastを iPod touch に取り込むには、お使いのコンピュータでライブラリ 内のコンテンツを同期するように「iTunes」を設定するか、iPod touch に保存するメディアを手動 で管理する方法があります。 iTunesからコンテンツを同期する 「iTunes」のコンテンツを同期することによって、音楽、ビデオ、その他のメディアを iPod touch に 取り込むことができます。すべてのメディアを同期することも、特定の曲、ビデオ、および Podcastを 選択することもできます。 iPodのコンテンツを同期するように「iTunes」を設定する： 1 iPod touch をコンピュータに接続します。 2 「iTunes」のサイドバーで、iPod touch を選択します。 3 「ミュージック」、「ムービー」、「テレビ番組」、および「Podcast」タブで、iPod touch に転送した いコンテンツを選択します。たとえば、選択した音楽プレイリストやお気に入りのビデオ Podcastのこ こ 3回分のエピソードを同期するように「iTunes」を設定できます。 4 「適用」をクリックします。 iPod touch がサポートするフォーマットでエンコードされている曲やビデオのみが iPod touch に転 送されます。iPod touch が対応しているフォーマットについては、105 ページの「曲、ビデオ、その 他の項目が再生されない」を参照してください。 iTunesライブラリの曲が多すぎて、iPod touch に入らない場合は、特別なプレイリストを作成して iPod touchと同期する方法があります。ライブラリから自動的に選択された曲がプレイリストに追加 されます。このプレイリストから任意に曲を追加または削除して、再び同期させることができます。 3 音楽およびビデオ聞いている途中の Podcastまたはオーディオブックがある場合は、「iTunes」とコンテンツを同期す るときに、中断した位置も取り込まれます。それらを iPod touch で再生するときは、コンピュータの 「iTunes」で中断した位置を選択できます。これは、逆方向の同期でも同様になります。 「iTunes」を使って音楽やその他のメディアをコンピュータに取り込む方法について詳しくは、5ペー ジの「必要なもの」を参照してください。 コンテンツを手動で管理する 手動で管理する場合は、iPod touch に保存したい音楽、ビデオ、および Podcastだけを選択できます。 コンテンツを手動で管理するように iPod touch を設定する： 1 iPod touch をコンピュータに接続します。 2 「iTunes」のサイドバーで、iPod touch を選択します。 3 「概要」タブをクリックし、「音楽とビデオを手動で管理する」を選択します。 4 「適用」をクリックします。 iPod touch に項目を追加する： iTunesライブラリ内の曲、ビデオ、Podcast、またはプレイリスト をサイドバーの iPod touch にドラッグします。一度に複数の項目を選択して追加するときは、Shift キーまたはコマンドキーを押したままクリックします。 「iTunes」によってすぐにコンテンツが同期されます。「音楽とビデオを手動で管理する」の選択 を解除した場合、手動で追加したコンテンツは次回「iTunes」でコンテンツが同期されるときに iPod touch から取り除かれます。 iPod touch から項目を取り除く： iPod touch をコンピュータに接続した状態で、「iTunes」のサ イドバーで iPod touch のアイコンを選択します。アイコンの左にある開閉用三角ボタンをクリックし て、コンテンツを表示します。「ミュージック」や「ムービー」などのコンテンツ領域を選択し、削除 したい項目を選択して、キーボードの Deleteキーを押します。 iPod touch から項目を取り除いても、その項目は iTunesライブラリからは削除されません。 重要：「iTunes」から項目を削除した場合、その項目は次回の同期時に iPod touch からも削除さ れます。 音楽とPodcastをダウンロードする iPod touch で iTunes Wi-Fi Music Storeを使って曲やアルバムを購入して、iPod touch に直接 ダウンロードできます。オーディオ Podcastやビデオ Podcastのストリーム再生やダウンロードもで きます。40ページの「iTunes Wi-Fi Music Store」を参照してください。 購入したコンテンツを別のコンピュータに転送する iPod touch を使って、あるコンピュータで「iTunes」を使って購入したコンテンツを認証済みの別 のコンピュータの iTunesライブラリに転送できます。お使いの iTunesアカウントで、コンピュータが 認証されている必要があります。コンピュータを認証するには、そのコンピュータで「iTunes」を開き、 「Store」＞「コンピュータを認証」と選択します。 購入したコンテンツを転送する： iPod touch をほかのコンピュータに接続します。購入したコンテン ツを転送するかどうかを確認するメッセージが「iTunes」に表示されます。 30 第 3章 音楽およびビデオ第 3章 音楽およびビデオ 31 iPod touch 用にビデオを変換する iTunes Storeから購入したビデオ以外のビデオ、たとえば Macの「iMovie」で作成したビデオや インターネットからダウンロードして「iTunes」に追加したビデオなども、iPod touch に追加するこ とができます。 「iTunes」から iPod touch にビデオを追加しようとして、iPod touch にビデオを再生できないとい うメッセージが表示される場合は、ビデオの形式を変換することができます。 iPod touch で再生できるようにビデオを変換する： iTunesライブラリで変換したいビデオを選択し、 「詳細」＞「iPod／ Phoneバージョンを作成」と選択します。変換したビデオを iPod touch に 追加します。 音楽およびその他のオーディオ iPod touch の高解像度マルチタッチディスプレイで、音楽を映像と共に楽しむことができます。プレ イリストをスクロールしたり、Cover Flowでアルバムアートをブラウズすることができます。 オーディオは、内蔵スピーカー（第2世代のiPod touchのみ）、またはヘッドフォンポートに接続したヘッ ドフォンで聴くことができます。ヘッドフォンを接続すると、スピーカーから音が聞こえなくなります。 警告：聴覚の損傷を避けるための重要な情報については、www.apple.com/jp/support/ manuals/ipodtouchにある「この製品についての重要なお知らせ」を参照してください。 曲を再生する コレクションをブラウズする：「プレイリスト」、「アーティスト」、または「曲」をタップします。「その他」 をタップして、「アルバム」、「オーディオブック」、「コンピレーション」、「作曲者」、「ジャンル」、また は「Podcast」をブラウズします。 曲を再生する： 曲をタップします。 曲の再生を制御する 曲を再生しているときには、「再生中」画面が表示されます。次へ／早送り 再生／一時停止 戻る トラックリスト 前へ／巻き戻し 音量 曲を一時停止する をタップするか、iPod touch ヘッドセットのマイクボタ ンを押します。 再生を再開する をタップするか、iPod touch ヘッドセットのマイクボタ ンを押します。 音量を上げる／下げる 音量スライダをドラッグするか、iPod touch の横にある ボタンを使用します。 オーディオブックまたは Podcastの、曲またはチャプタを 再生する をタップします。 オーディオブックもしくは Podcastの、次または前の曲／ チャプタに移動する をダブルタップして前の曲に移動します。 をタップ するか、iPod touch ヘッドセットのマイクボタンをすばや く2回押して、次の曲に移動します。 巻き戻し／早送り または を押し続けます。長く押し続けるほど、曲 の巻き戻しまたは早送り速度が上がります。 iPodブラウズリストに戻る をタップします。または、アルバムカバーの上で右に 向かって指をさっと動かします。 再生中画面に戻る 「再生中」をタップします。 曲の歌詞を表示する 曲の再生中にアルバムカバーをタップします。（歌詞が表 示されるのは、「iTunes」で曲の情報ウインドウを使って 歌詞を曲に追加した場合だけです。） 音楽を聴いているときやほかのアプリケーションを使っているとき、または iPod touch がロックされ ているときでも、ホーム ボタンをダブルクリックすることによっていつでも再生コントロールを表示 できます。 アプリケーションを使っているときは、再生コントロールがアプリケーションの前面に表示されます。コ ントロールを使い終えたら、コントロールを閉じるか、「ミュージック」をタップして「再生中」画面に 移動できます。iPod touch がロックされているときは、画面にコントロールが表示され、使い終える と自動的に消えます。 32 第 3章 音楽およびビデオ第 3章 音楽およびビデオ 33 その他のコントロール 再生中画面で、アルバムカバーをタップします。 リピート、Genius、シャッフルコントロール、およびスクラブバーが画面に表示されます。経過時間、 残り時間、曲番号を見ることができます。「iTunes」で曲に歌詞を追加した場合には、曲の歌詞も表 示されます。 スクラブバー リピート 再生ヘッド Genius シャッフル 曲をリピートするよう iPod touch を設定する をタップします。 をもう一度タップすると、現在再 生中の曲だけをリピートするように iPod touch が設定さ れます。 が iPod touch に表示されているときは、現在再生中 のアルバムまたはリスト内のすべての曲がリピートされ ます。 が iPod touch に表示されているときは、現在再生 中の同じ曲が何度もリピートされます。 が iPod touch に表示されているときは、曲はリピー トされません。 曲の中の好きな場所に移動する スクラブバーの再生ヘッドを好きな場所にドラッグします。 Geniusプレイリストを作成する をタップします。Geniusプレイリストが表示されます。 35ページの「iPod touch で Geniusを使用する」を参 照してください。 曲をシャッフルするよう iPod touch を設定する をタップします。 をもう一度タップすると、順番通 りに曲を再生するように iPod touch が設定されます。 が iPod touch に表示されているときは、曲がシャッ フルされます。 が iPod touch に表示されているときは、曲が順番通 りに再生されます。 プレイリスト、アルバム、またはその他のリストの トラックをシャッフルする リストの一番上にある「シャッフル」をタップします。たと えば、iPod touch 内のすべての曲をシャッフルするには、 「曲」＞「シャッフル」と選択します。 iPod touch がシャッフルするように設定されていても、 いなくても、曲のリストの一番上の「シャッフル」をタップ すると、iPod touch はそのリストの曲をランダムに再生 します。 アルバムカバーを Cover Flowでブラウズする 音楽をブラウズするときは、iPod touch を横向きにしてiTunesコンテンツを Cover Flowで表示し、 アルバムアートワークで音楽をブラウズできます。コンテンツを Cover Flowで表示する iPod touch を横に回転させます。 アルバムカバーをブラウズする 左右にドラッグするか、フリックします。 アルバムのトラックを表示する アルバムカバーまたは をタップします。 任意のトラックを再生する 再生したいトラックをタップします。トラックのリストを上下 にドラッグします。 アルバムカバーに戻る タイトルバーをタップします。または をもう一度タップ します。 現在の曲を再生または一時停止する または をタップします。または、付属のステレオヘッ ドセットを使用している場合は、マイクボタンを押します。 アルバムのすべてのトラックを表示する 現在の曲が入っているアルバムのすべてのトラックを見る： 再生中画面で をタップします。任意の トラックをタップして再生します。アルバムカバーのサムネールをタップして、再生中画面に戻ります。 レートバー 再生中画面に戻る アルバムトラック 34 第 3章 音楽およびビデオ第 3章 音楽およびビデオ 35 トラックリスト表示で、曲にレートを付けることができます。「iTunes」のレートを使えば、最高のレー トを付けた曲が含まれるスマートプレイリストなど、条件に合わせて自動的にアップデートされるスマー トプレイリストを作成できます。 曲にレートをつける： 親指でレートバーをドラッグして、ゼロから5つまでの星を付けます。 iPod touch で Geniusを使用する Geniusでは、再生している曲と同じテイストの曲がライブラリから自動的に収集されてプレイリスト が作成されます。あなたのテイストをよく知っている DJが内蔵されていて、その DJが最適なミック スを作成してくれるようなものです。iPod touch で Geniusを使用するには、まず「iTunes」で Geniusを設定してから、iPod touch を「iTunes」に同期する必要があります。Geniusは無料の サービスですが、iTunes Storeアカウントが必要です。「iTunes」に Geniusプレイリストを作成して、 iPod touch に同期することができます。iPod touch 上で直接 Geniusプレイリストを作成すること もできます。 iPod touch 上で Geniusプレイリストを作成する： 1 「プレイリスト」をタップし、「Genius」をタップします。 2 リストで曲をタップします。その曲に基づいてほかの曲が収集されて、プレイリストが作成されます。 再生中の曲に基づいてGeniusプレイリストを作成することもできます。「再生中」画面からアルバム カバーをタップすると、別のコントロールが表示されるので、 をタップします。 Geniusプレイリストを保存する：プレイリストで「保存」をタップします。選択した曲のタイトルが付 いたプレイリストが、「プレイリスト」に保存されます。 Geniusプレイリストは好きな数だけ作成して保存できます。iPod touch で作成した Geniusプレイ リストを保存すると、次回「iTunes」に接続したときに同期されます。 Geniusプレイリストをリフレッシュする：プレイリストで「リフレッシュ」をタップします。 プレイリストをリフレッシュすると、選択した曲に基づいて異なる曲のプレイリストが作成されます。ど のような Geniusプレイリストでもリフレッシュできます。「iTunes」で作成して iPod touch に同期し たプレイリストでも、iPod touch 上で直接作成したプレイリストでもかまいません。 新しい曲に基づいてGeniusプレイリストを作成する：プレイリストで「新規」をタップしてから、新 しい曲を選択します。 保存済みの Geniusプレイリストを削除する： iPod touch 上に直接保存したプレイリストの場合は、 「編集」をタップしてから、「プレイリストを削除」をタップします。 Geniusプレイリストを「iTunes」に逆同期した場合は、それを iPod touch から直接削除すること はできません。「iTunes」を使用して、プレイリスト名を編集したり、同期を停止したり、削除したり できます。On-The-Goプレイリストを作成する On-The-Goプレイリストを作成する： 1 「プレイリスト」をタップし、「On-The-Go」をタップします。 2 画面の下にあるボタンを使って、曲をブラウズします。任意の曲またはビデオをタップして、プレイリス トに追加します。曲のリストの一番上にある「すべての曲を追加」をタップして、リストにあるすべて の曲を追加します。 3 完了したら、「完了」をタップします。 「On-The-Go」プレイリストを作成してから iPod touch をコンピュータと同期すると、プレイリストは iPod touchとiTunesライブラリに保存された後、iPod touch から削除されます。最初に作成し たプレイリストは「On-The-Go 1」、2番目に作成したリストは「On-The-Go 2」と作成するたびに 数字が上がります。プレイリストを iPod touch に戻すには、「iTunes」のサイドバーで iPod touch を選択し、「ミュージック」タブをクリックして、プレイリストを同期するように設定します。 「On-The-Go」プレイリストを編集する：「プレイリスト」をタップして、「On-The-Go」をタップし、「編 集」をタップした後、次の操作をします：  リストの中で曲の位置を変えるには、曲の隣にある をドラッグします。  プレイリストから曲を削除するには、曲の隣にある をタップしてから、「削除」をタップします。 「On-The-Go」プレイリストから曲を削除しても、iPod touch からは削除されません。  プレイリスト全体を消去するには、「プレイリストを消去」をタップします。  曲を追加するには、 をタップします。 ビデオ iPod touch を使って、ムービー、ミュージックビデオ、ビデオ Podcastなどのビデオコンテンツを見 ることができます。ビデオが複数のチャプタで構成される場合は、次のチャプタまたは前のチャプタに スキップしたり、リストを表示して選択したチャプタで再生を開始したりできます。ビデオにほかの言語 の機能が用意されている場合は、オーディオ言語を選択したり、字幕を表示したりできます。 ビデオを再生する ビデオを再生する：「ビデオ」をタップして、見たいビデオをタップします。 再生コントロールを表示する： コントロールを表示するには、画面をタップします。隠すときは、もう 一度タップします。 ビデオ再生を制御する ビデオは、ディスプレイの性能を最大限に利用してワイドスクリーンで再生されます。 36 第 3章 音楽およびビデオ第 3章 音楽およびビデオ 37 拡大／縮小 再生／一時停止 最初から再生／ 早送り 巻き戻し 再生ヘッド 音量 スクラブバー 「Run」（Gnarls Barkley）は、一部の国でのみ 「iTunes」で試聴できます ビデオを再生または一時停止する または をタップします。 音量を上げる／下げる 音量スライダをドラッグします。 ビデオの最初から再生する スクラブバーの再生ヘッドを左端までドラッグするか、ビデ オにチャプタがない場合は をタップします。 前または次のチャプタにスキップする（チャプタが ある場合） をタップして前のチャプタに移動します。 をタップ して次のチャプタに移動します。 特定のチャプタで再生を開始する（チャプタがある場合） をタップして、リストからチャプタを選択します。 巻き戻し／早送り または を押し続けます。 ビデオの中の好きな場所に移動する スクラブバーの再生ヘッドを好きな場所にドラッグします。 ビデオが最後まで再生される前にビデオを止める 「完了」をタップします。またはホーム ボタンを押します。 ビデオのサイズを調整して、ビデオをスクリーンに合わ せる、またはビデオ全体をスクリーンに表示する をタップして、ビデオをスクリーンに合わせます。 をタップして、ビデオ全体をスクリーンに表示します。 ビデオをダブルタップして、ビデオをスクリーンに合わせる かビデオ全体をスクリーンに表示するかを切り替えること もできます。 ビデオをスクリーンに合わせると、ビデオの端または上が 表示しきれない場合があります。ビデオ全体をスクリーン に表示すると、ビデオの両端または上下に黒い枠が表示さ れる場合があります。 ほかのオーディオ言語を選択する（ほかの言語が ある場合） をタップして、「オーディオ」リストから言語を選択し ます。 字幕の表示／非表示を切り替える（字幕がある場合） をタップして、「字幕」リストから言語を選ぶか「オフ」 を選択します。レンタルムービーを視聴する iTunes Storeからムービーをレンタルして、iPod touch で視聴できます。ムービーをレンタルして iPod touch に転送するときは、「iTunes」を使います。（レンタルムービーは、地域によっては利用 できないことがあります。） レンタルムービーを再生できる時間には制限があります。レンタルムービーをあとどのくらい視聴でき るかは、タイトルの近くに表示されます（この時間が経過すると、視聴できなくなります）。有効期限 が切れると、ムービーは自動的に削除されます。iTunes Storeでムービーをレンタルするときは、有 効期限を確認してください。 レンタルムービーを iPod touch に転送する： iPod touch をコンピュータに接続します。次に、 「iTunes」のサイドバーで iPod touch を選択し、「ムービー」をクリックして、転送したいレンタルムー ビーを選択します。お使いのコンピュータがインターネットに接続されている必要があります。 レンタルムービーを見る：「ビデオ」を選択し、ムービーを選択します。 ビデオをテレビで見る iPod touch をテレビに接続して、ビデオをより大きい画面で見ることができます。Apple Component AV Cable（AppleコンポーネントAVケーブル）、Apple Composite AV Cable （AppleコンポジットAVケーブル）、またはその他アップル認定の iPod touch 対応ケーブルを使用 します。これらのケーブルとApple Universal Dockを使って、iPod touch をテレビに接続するこ ともできます。（Apple Universal Dockには、離れた場所から再生を操作できるリモコンが付属して います。）アップル製のケーブルとDockは、www.apple.com/jp/ipodstoreから別途購入できます。 iPod touch からビデオを削除する 空き領域を増やすために、iPod touch からビデオを削除することができます。 ビデオを削除する： ビデオリストの項目の上で、左から右に指をさっと動かします。次に「削除」をタッ プします。 ビデオ（レンタルムービー以外）を iPod touch から削除しても、iTunesライブラリからは削除され ないので、後で iPod touch に再度同期することができます。ビデオを iPod touch に再度同期し たくない場合は、このビデオを同期しないように「iTunes」を設定します。5ページの「必要なもの」 を参照してください。 重要：レンタルムービーは、iPod touch から削除すると完全に削除され、コンピュータに戻すことは できなくなります。 38 第 3章 音楽およびビデオ第 3章 音楽およびビデオ 39 スリープタイマーを設定する 指定した時間後に iPod touch が音楽やビデオの再生を停止するように設定することができます。 スリープタイマーを設定する： ホーム画面から、「時計」＞「タイマー」と選択し、フリックして時間 と分を設定します。「タイマー終了時」をタップし、「iPodをスリープ」を選択し、「設定」をタップし ます。それから「開始」をタップして、タイマーを開始します。 タイマー終了時には、音楽やビデオの再生が停止し、開いているすべてのアプリケーションが閉じて、 iPod touch がロックされます。 ブラウズボタンを変更する 画面の下にある「プレイリスト」、「アーティスト」、「曲」、「ビデオ」のブラウズボタンを、自分が頻 繁に使う項目と置き換えることができます。たとえば、Podcastをよく聞き、ビデオはあまり見ない場 合は、「ビデオ」ボタンを「Podcast」に置き換えることができます。 ブラウズボタンを変更する：「その他」をタップして、「編集」をタップし、追加したいボタンを画面の 下の置き換えたいボタンの上にドラッグします。 下にあるボタンを左右にドラッグして、順序を入れ替えることができます。完了したら、「完了」をタッ プします。「その他」をタップすると、置き換えたボタンにいつでもアクセスできます。40 iTunes Wi-Fi Music Store iTunes Wi-Fi Music Storeで曲やアルバムをブラウズ、プレビュー、および購入して、iPod touch に直接ダウンロードできます。iTunes Wi-Fi Music Storeを使って、オーディオ Podcastやビデオ Podcastをインターネットからストリーム再生したり、iPod touch に直接ダウンロードして視聴したり できます。 iTunes Wi-Fi Music Storeで曲やアルバムを購入するには、インターネットに接続された Wi-Fiネッ トワークに iPod touch が接続されている必要があります。Podcastは、携帯電話回線とWi-Fi接 続のどちらでもストリーム再生およびダウンロードができます。26ページの「インターネットに接続す る」を参照してください。 また、Wi-Fi経由で曲を購入するときは、iTunes Storeアカウントも必要です（iTunes Wi-Fi Music Storeは一部の国のみで利用できます）。iTunes Storeアカウントをまだ持っていない場合は、お使 いのコンピュータで「iTunes」を開き、「Store」＞「アカウントを作成」と選択して、アカウントを 設定してください。 Podcastの再生やダウンロードに、iTunes Storeアカウントは必要ありません。 曲、アルバム、および Podcastを見つける ニューリリースや iTunes Wi-Fi Music Storeおすすめのコンテンツを見るときは、おすすめのセレク ションをブラウズします。いくつかのジャンルで人気のある上位の曲やアルバムを見るときは、トップ 10をブラウズします。おすすめの Podcastのリストを見るときは、「Podcast」をブラウズします。特 定の曲、アルバム、アーティスト、または Podcastを探すときは、検索機能を使います。 4 iTunesとApp Store第 4章 iTunesとApp Store 41 おすすめの曲やアルバムをブラウズする：「おすすめ」をタップし、画面上部でジャンルを選びます。 トップ 10 の曲やアルバムをブラウズする：「トップ 10」をタップし、ジャンルを選んで、「トップソング」 または「トップアルバム」をタップします。Podcastをブラウズする：「Podcast」をタップします。ビデオ Podcastは、 アイコンで示され ます。エピソードのリストを表示するときは、「Podcast」をタップします。 曲、アルバム、および Podcastを検索する：「検索」をタップし、検索フィールドをタップして語句を 入力してから、「検索」をタップします。検索結果は、アルバム、曲、および Podcastでグループ分 けされます。 アルバムの曲を表示する： アルバムをタップします。 曲が含まれているアルバムを表示する： 曲をダブルタップします。 Podcastのエピソード情報を表示する： Podcastのタイトルをタップします。 Starbucksセレクションをブラウズする Starbucksの一部の店舗（米国のみ）の Starbucks Wi-Fiネットワークに接続すると、画面下部の「お すすめ」の横に「Starbucks」アイコンが表示されます。この「Starbucks」アイコンをタップすると、 店内で流れている曲を調べたり、おすすめの Starbucksコレクションをブラウズしたりできます。 42 第 4章 iTunesとApp Store第 4章 iTunesとApp Store 43 対応している Starbucks店舗のリストについては、www.apple.com/itunes/starbucksを参照し てください。 現在流れている曲を調べる：「Starbucks」をタップします。画面上部に、現在流れている曲が表示 されます。曲をタップすると、その曲が含まれているアルバムと、そのアルバム内のほかの曲が表示さ れます。 最近流れたプレイリストやその他の Starbucksプレイリストを見る：「Starbucks」をタップして、 「Recently Played」または目的の Starbucksプレイリストを選びます。 曲やアルバムを購入する iTunes Wi-Fi Music Storeで気に入った曲やアルバムが見つかったら、購入して iPod touch にダ ウンロードできます。購入前に曲をプレビューして、曲の中身を確認することができます。Starbucks の一部の店舗（米国のみ）では、現在流れている曲やおすすめの Starbucksコレクションに含まれる 曲をプレビューおよび購入することもできます。 曲をプレビューする： 曲をタップします。 曲やアルバムを購入してダウンロードする： 1 価格をタップして、「今すぐ購入」をタップします。 iPod touch を最後に同期したときに、「iTunes」で iTunes Storeアカウントにサインインしていた 場合は、アカウントIDを入力する必要はありません。サインインしていなかった場合は、アカウント IDの入力を求められます。 2 パスワードを入力し、「OK」をタップします。 購入すると、iTunes Storeアカウントに請求が発生します。購入後 15分以内は、パスワードを入力 せずに続けて購入を行うことができます。 以前、同じアルバムに含まれる曲を 1つ以上購入したことがある場合は、メッセージが表示されます。 以前購入した曲が含まれるアルバム全体を購入したい場合は、「購入」をタップします。残りの曲を個々 に購入したい場合は、「キャンセル」をタップします。一部のアルバムにはボーナスコンテンツが含まれていて、これらはコンピュータ上の iTunesライブラ リにダウンロードされます。ボーナスコンテンツの中には、iPod touch には直接ダウンロードされな いものがあります。 曲やアルバムのダウンロード状況を表示する：「ダウンロード」をタップします。 ダウンロードを一時停止するには、 をタップします。 購入したものをダウンロード中に iPod touch の電源を切ったり、Wi-Fiの接続圏から出たりしても問 題ありません。インターネットに接続されている Wi-Fiネットワークに次回 iPod touch を接続したと きに、iPod touch によってダウンロードが再開されます。または、お使いのコンピュータで「iTunes」 を開くと、「iTunes」が iTunesライブラリへのダウンロードを完了します（お使いのコンピュータがイ ンターネットに接続されている場合）。 購入した曲は、iPod touch の「購入したもの」プレイリストに追加されます。「購入したもの」プレ イリストを削除しても、iTunes Wi-Fi Music Storeから商品を購入したときに新しいものが自動的に 作成されます。 Podcastをストリーム再生する／ダウンロードする オーディオ Podcastやビデオ Podcastを、iTunes Wi-Fi Music Storeからインターネット経由でス トリーム再生して視聴できます。オーディオ Podcastやビデオ Podcastを iPod touch にダウンロー ドすることもできます。iPod touch にダウンロードした Podcastは、iPod touch をコンピュータに 接続するときに iTunesライブラリと同期されます。 Podcastをストリーム再生する： Podcastのタイトルをタップします。オーディオ Podcastが、新し いウインドウに再生コントロール付きで表示されます。 ビデオ Podcastが、ワイドスクリーンに再生コントロール付きで表示されます。 Podcastをダウンロードする：「無料」ボタンをタップして、「ダウンロード」をタップします。ダウンロー ドした Podcastが、「ミュージック」の Podcastリストに表示されます。 44 第 4章 iTunesとApp Store第 4章 iTunesとApp Store 45 ダウンロードした Podcastを視聴する：「ミュージック」で、画面下部の「Podcast」をタップして（「そ の他」を最初にタップすることが必要な場合があります）、Podcastをタップします。ビデオPodcastは、 ビデオリストに表示されます。 ダウンロードした Podcastのエピソードをさらに入手する：「ミュージック」の Podcastリストで、 Podcastをタップして、「さらにエピソードを入手」をタップします。 Podcastを削除する：「ミュージック」のPodcastリストの項目上で、左また右に指をさっと動かします。 次に「削除」をタップします。 Podcastのダウンロード状況を表示する：「ダウンロード」をタップします。 ダウンロードを一時停止するには、 をタップします。 Podcastのダウンロード中に iPod touch の電源を切ったり、Wi-Fiの接続圏から出たりしても問題 ありません。インターネットに接続されている Wi-Fiネットワークに次回 iPod touch を接続したとき に、iPod touch によってダウンロードが再開されます。 App Store App Storeでアプリケーションをブラウズ、レビュー、および購入して、iPod touch に直接ダウンロー ドできます。iPod touch で App Storeからダウンロードおよびインストールしたアプリケーションに ついては、次回 iPod touch をコンピュータと同期するときに、iTunesライブラリにバックアップが作 成されます。また、お使いのコンピュータで「iTunes」を使ってアプリケーションを購入またはダウンロー ドし、iPod touchと同期する際にインストールすることもできます。 App Storeを使用するには、インターネットに接続された Wi-Fiネットワークに iPod touch が接続 されている必要があります。26ページの「インターネットに接続する」を参照してください。また、ア プリケーションをダウンロードするには、iTunes Storeアカウントも必要です（ほとんどの国で利用で きます）。iTunes Storeアカウントをまだ持っていない場合は、お使いのコンピュータで「iTunes」 を開き、「Store」＞「アカウントを作成」と選択して、アカウントを設定してください。 ブラウズする／検索する ニューリリースや App Storeおすすめのアプリケーションを見るときは、おすすめのセレクションをブ ラウズします。人気のあるアプリケーションを見るときは、トップ25をブラウズします。特定のアプリケー ションを探すときは、検索機能を使います。 おすすめのアプリケーションをブラウズする：「おすすめ」をタップし、画面上部でおすすめのジャンル を選びます。ジャンルでブラウズする：「カテゴリ」をタップして、ジャンルを選択します。ジャンル内で、並べ替え の方法を選択します。 トップ 25のアプリケーションをブラウズする：「トップ 25」をタップして、アプリケーションのリストを スクロールします。 46 第 4章 iTunesとApp Store第 4章 iTunesとApp Store 47 アプリケーションを検索する：「検索」をタップし、検索フィールドをタップして語句を入力してから、「検 索」をタップします。 「情報」画面 リストでアプリケーションをタップすると、価格やレビューなど、アプリケーションの詳細情報が表示さ れます。 そのアプリケーションがすでにインストールされている場合は、「情報」画面で価格の代わりに「インス トール済み」と表示されます。「iTunes」内のアプリケーションの「情報」ページへのリンクをメールで送信する：「情報」画面下 部にある、「友人に知らせる」をタップします。 レビューを読む：「情報」画面下部にある、「レビュー」をタップします。 問題を報告する：「情報」画面下部にある、「問題をレポート」をタップします。リストから問題を選 択するか、オプションのコメントを入力して、「レポート」をタップします。 アプリケーションをダウンロードする App Storeで欲しいアプリケーションを見つけたら、購入して iPod touch にダウンロードできます。 そのアプリケーションが無料の場合は、iTunesアカウント情報の入力後、支払いなしでダウンロード できます。 アプリケーションをダウンロードすると、すぐに iPod touch にインストールされます。 アプリケーションを購入してダウンロードする： 1 価格（または「無料」）をタップして、「今すぐ購入」をタップします。 iPod touch を最後に同期したときに、「iTunes」で iTunes Storeアカウントにサインインしていた 場合は、アカウントIDを入力する必要はありません。サインインしていなかった場合は、アカウント IDの入力を求められます。 2 パスワードを入力し、「OK」をタップします。 有料のダウンロードの場合は、iTunes Storeアカウントに請求が発生します。ダウンロード後 15分 以内は、パスワードを入力せずに続けてダウンロードを行うことができます。 アプリケーションのダウンロード状況を表示する： アプリケーションのダウンロードを開始すると、ホー ム画面にそのアプリケーションのアイコンが表示され、ダウンロードおよびインストールの状況が示さ れます。 48 第 4章 iTunesとApp Store第 4章 iTunesとApp Store 49 購入した曲のダウンロード中に iPod touch の電源を切ったり、ネットワークの接続圏から出たりして も問題ありません。インターネットに接続されているネットワークに次回 iPod touch を接続したとき に、iPod touch によってダウンロードが再開されます。 App Storeアプリケーションを削除する App Storeからインストールしたアプリケーションを削除できます。アプリケーションを削除すると、 そのアプリケーションを再インストールした場合でも、アプリケーションに関連付けられたデータは iPod touch で利用できなくなります。 コンピュータと同期することによってiTunesライブラリにアプリケーションのバックアップが作成されて いる場合は、アプリケーションおよび関連付けられたデータを再インストールできます。コンピュータに バックアップが作成されていないアプリケーションを削除しようとすると、警告メッセージが表示されま す。 App Storeアプリケーションを削除する： 1 ホーム画面で、アプリケーションのアイコンをタッチしたまま押さえ、アイコンが波打ち始めるまで待ち ます。 2 削除したいアプリケーションの隅にある「×」をタップします。 3 「削除」をタップしてからホーム ボタンを押すと、配置が保存されます。 アプリケーションに関連付けられたデータを上書きするには、iPod touch の設定で「すべてのコンテ ンツと設定を消去」を使用します。94ページの「iPod touch をリセットする」を参照してください。 レビューを書く iPod touch で直接、使用しているアプリケーションのレビューを書いて送信できます。 レビューを書く： 1 「情報」画面下部にある、「レビュー」をタップします。 2 「レビュー」画面で、「レビューを書く」をタップします。 3 アプリケーションのレートとして星の数（1～ 5）を選択し、レビューのタイトルとオプションのレビュー コメントを入力します。以前にレビューを書いたことがある場合は、ニックネームが自動的に入力され ます。書いたことがない場合は、レビュー者のニックネームを作成するかどうかを尋ねられます。 4 「送信」をタップします。 レビューを送信するには、iTunes Storeアカウントにサインインしておく必要があります。アプリケーションをアップデートする App Storeにアクセスすると常に、インストール済みのアプリケーションのアップデートが自動的に確 認されます。デフォルトでは、1週間おきにもアップデートが自動的に確認されます。App Storeのア イコンに、利用可能なアプリケーションアップデートの合計数が表示されます。 アップデートが利用可能な場合は、App Storeにアクセスするとすぐに「アップデート」画面が表示 されます。アプリケーションのアップデートは無料です。アップデートすることを選択すると、ダウンロー ド後に自動的にインストールされます。アプリケーションのアップグレードはニューリリース扱いになり、 iPod touch で App Storeから、またはコンピュータで iTunes Storeから、購入またはダウンロー ドできます。 アプリケーションをアップデートする： 1 画面下部の「アップデート」をタップします。 2 アップデートの詳細を確認するには、アプリケーションをタップします。 3 「アップデート」をタップします。 すべてのアプリケーションをアップデートする： 画面下部の「アップデート」をタップして、「すべてをアッ プデート」をタップします。 アップデートするアプリケーションが別のiTunes Storeアカウントで購入されていた場合は、アップデー トをダウンロードするために、そのアカウントの IDとパスワードの入力を求められます。 購入したコンテンツを同期する iPod touch をコンピュータに接続すると、iPod touch でダウンロードまたは購入した曲、アルバム、 Podcast、およびアプリケーションが iTunesライブラリに自動的に同期されます。これによって、ダウ ンロードしたものをコンピュータで聴くことができ、さらにアプリケーションまたは購入したコンテンツ を iPod touch から削除する場合のバックアップも作成できます。 曲は、「＜ iPod touch の名前＞上に購入」プレイリストに同期されます。このプレイリストが存在し ない場合は自動的に作成されます。また、コンピュータ上で購入したもののために使用される「購入 したもの」プレイリストがすでに存在し、iPod touchと同期するように設定されている場合は、この プレイリストにも同期されます。 ダウンロードした Podcastは、iTunesライブラリ内の Podcastリストに同期されます。 ダウンロードしたアプリケーションは、次回「iTunes」に同期するときにバックアップが作成されます。 それ以降は、「iTunes」に同期するときにアプリケーションデータのバックアップだけが作成されます。 アプリケーションは、iTunesライブラリの「アプリケーション」リストに同期されます。このリストが存 在しない場合は自動的に作成されます。 50 第 4章 iTunesとApp Store第 4章 iTunesとApp Store 51 購入したものを確認する 「iTunes」を使って、iTunes Wi-Fi Music Storeまたは App Storeから購入したすべての音楽、ビ デオ、アプリケーション、およびその他の項目が iTunesライブラリ内にあるかどうかを確認できます。 ダウンロードを中断した場合に確認しておくと安心です。 購入したものを確認する： 1 お使いのコンピュータがインターネットに接続されていることを確認します。 2 「iTunes」で、「Store」＞「ダウンロード可能なものがあるか確認」と選択します。 3 iTunes Storeアカウントの IDとパスワードを入力して、「確認」をクリックします。 購入したものの中にコンピュータにまだダウンロードされていないものがある場合は、ダウンロードさ れます。 「購入したもの」プレイリストには、購入したすべての項目が表示されます。ただし、このリスト内の 項目は追加したり取り除いたりできるので、必ずしも正確とは限りません。購入したすべての項目を確 認するには、アカウントにサインインし、「Store」＞「マイアカウント（＜アカウント名＞）を表示」 と選択して、「Purchase History」（購入履歴）をクリックしてください。 アカウントをアップデートする iPod touch では、iTunes Storeアカウントの情報が「iTunes」から取り込まれます。iTunes Storeアカウント情報は、コンピュータで「iTunes」を使って確認および変更できます。 iTunes Storeアカウント情報を確認および変更する：「iTunes」で、「Store」＞「マイアカウント（＜ アカウント名＞）を表示」と選択します。 iTunes Storeアカウントにサインインしておく必要があります。「Store」メニューに「マイアカウント（＜ アカウント名＞）を表示」が表示されない場合は、「Store」＞「サインイン」と選択します。 ほかの iTunes Storeアカウントから音楽またはアプリケーションを購入する： iTunes Wi-Fi Music Storeに接続するとき、または App Storeからアプリケーションを購入またはダウンロードするときに、 そのアカウントにサインインします。52 iPod touch 上の「Safari」では、コンピュータ上と同じように Webを閲覧したりWeb ページを表 示したりできます。iPod touch でブックマークを作成し、ブックマークをコンピュータと同期させるこ とができます。Webクリップを追加すると、よく使うサイトにホーム画面から直接すばやくアクセスで きます。 「Safari」を使用するには、インターネットに接続された Wi-Fiネットワークに iPod touch が接続さ れている必要があります。26ページの「インターネットに接続する」を参照してください。 Webページを表示する Web ページは縦向きまたは 横向きに表示できます。iPod touch を回転させるとWeb ページも回 転し、そのページが適切に表示されるように自動的に調整されます。 5 Safari第 5章 Safari 53 Web ページを開く Web ページを開く： アドレスフィールド（タイトルバーの左側にあります）をタップし、Webアドレス を入力して「Go」をタップします。アドレスフィールドが表示されていない場合は、画面上部のステー タスバーをタップするとWeb ページ上部のアドレスフィールドまですばやくスクロールします。 入力するたびに、入力した文字で始まる Webアドレスが表示されます。これらはブックマークに追加 したページまたは最近開いたページです。アドレスをタップするとそのページに移動します。リストに ない Webアドレスを入力したい場合は、入力を続けます。 アドレスフィールドのテキストを消去する： アドレスフィールドをタップして、 をタップします。 拡大する／スクロールする 拡大／縮小する： Web ページ上の列をダブルタップすると、その列が拡大されます。再びダブルタッ プすると元のサイズに戻ります。 ピンチして手動で拡大／縮小することもできます。 Web ページをスクロールする 上下左右にドラッグします。スクロールするときは、ページ 内のどこをタッチしてドラッグしてもかまいません。リンク があっても、リンク先に移動することはありません。 Web ページ上のフレーム内をスクロールする Web ページ上のフレーム内をスクロールするときは、2本 の指を使います。Web ページ全体をスクロールするとき は、1本の指を使います。 Web ページの一番上にすばやくスクロールする iPod touch 画面の上部にあるステータスバーをタップし ます。 Web ページをブラウズする Web ページ上のリンクは通常、Web 上の別の場所に関連付けられています。 Web ページにあるリンクを開く： リンクをタップします。 iPod touch 上のリンクを使って、「マップ」で場所を表示したり宛先があらかじめ入力されたメールメッ セージを作成したりすることもできます。リンクから別のアプリケーションを開いた後に「Safari」に戻 るときは、ホーム ボタンを押して「Safari」をタップします。リンク先のアドレスを確認する リンクをタッチしたまましばらく待ちます。指の横に、アド レスを示すポップアップが表示されます。イメージがリンク になっている場合は、イメージをタッチしたままにするとア ドレスが表示されます。 Web ページの読み込みを中止する をタップします。 Web ページを読み込み直す をタップします。 前または次のページに移動する 画面下部の または をタップします。 最近表示したページに戻る をタップして、「履歴」をタップします。履歴リストを 消去するときは、「消去」をタップします。 Web ページのアドレスをメールで送信する をタップしてから、「ここへのリンクをメール」をタップ します。 画像 または写真をフォトライブラリに保存する イメージを押したまま、「画像を保存」をタップします。 複数のページを開く 一度に最大 8ページを開くことができます。リンクによっては、現在のページが置き換わるのではなく、 自動的に新しいページが開くことがあります。 画面下部のページ アイコンに表示される数字は、開いているページの数を示します。中に数字が 表示されていないときは、1ページだけを開いていることを示します。たとえば、次のようになります： = 1ページ開いています = 3ページ開いています 新しいページを開く： をタップして、「新規ページ」をタップします。 別のページに移動する： をタップして、指で画面を左右にフリックします。表示したいページをタッ プします。 ページを閉じる： をタップして、 をタップします。開いているページが1ページだけのときは、ペー ジを閉じることはできません。 54 第 5章 Safari第 5章 Safari 55 テキストを入力する／フォームに入力する Web ページによっては、入力するためのテキストフィールドやフォームが用意されていることがあり ます。 キーボードを表示する テキストフィールド内をタップします。 ほかのテキストフィールドに移動する ほかのテキストフィールドをタップするか、「次へ」ボタン または「前へ」ボタンをタップします。 フォームを送信する フォームに入力し終えたら、「Go」または「検索」をタッ プします。ほとんどのページにはフォーム送信用のリンク が用意されているので、それをタップすることもできます。 フォームを送信せずにキーボードを閉じる 「完了」をタップします。 Webを検索する デフォルトでは、「Safari」で検索を行うときは Googleが使用されます。Yahoo!を使って検索する こともできます。 Webを検索する： 1 検索フィールド（タイトルバーの右側にあります）をタップします。 2 探したい内容の単語もしくはフレーズを入力して、「Google」をタップします。 3 検索結果のリストでリンクをタップして、Web ページを開きます。 Yahoo!を使って検索するように「Safari」を設定する： ホーム画面から、「設定」＞「Safari」＞「検 索エンジン」と選択して、「Yahoo!」を選択します。 ブックマーク 後でまた参照したい Web ページを ブックマークに追加することができます。 Web ページをブックマークに追加する： ページを開いて、 をタップします。次に、「ブックマークを 追加」をタップします。 ブックマークを保存するときに、そのタイトルを編集できます。デフォルトでは、ブックマークは「ブッ クマーク」の最上位に保存されます。別のフォルダを選ぶときは、「ブックマーク」をタップします。 Macで「Safari」を使っている場合、または PCで「Safari」か Microsoft 社の 「Internet Explorer」を使っている場合は、ブックマークをコンピュータ上の Webブラウザと同期できます。 ブックマークをコンピュータと同期する： 1 iPod touch をコンピュータに接続します。 2 「iTunes」のサイドバーで、iPod touch を選択します。 3 「情報」タブをクリックして、「Webブラウザ」の「…ブックマークを同期」を選択し、「適用」をクリッ クします。 6ページの「iTunesと同期する」を参照してください。ブックマークを MobileMeと同期する：iPod touch の「設定」で、MobileMeアカウントの「ブッ クマーク」を選択します。10 ページの「アカウントを設定する」を参照してください。 ブックマークに追加した Web ページを開く： をタップして、ブックマークを選択します。フォルダ 内のブックマークを表示するときは、フォルダをタップします。 ブックマークまたはブックマークのフォルダを編集する： をタップし、編集したいブックマークまた はフォルダが含まれるフォルダを選択して、「編集」をタップします。それから次のいずれかを行います：  新しいフォルダを作成するときは、「新規フォルダ」をタップします。  ブックマークまたはフォルダを削除するときは、 をタップしてから、「削除」をタップします。  ブックマークまたはフォルダの位置を変えるときは、 をドラッグします。  名前やアドレスを編集するとき、または別のフォルダに入れるときは、そのブックマークまたはフォ ルダをタップします。 完了したら、「完了」をタップします。 Webクリップ Webクリップをホーム画面に追加して、よく使うWebページにすばやくアクセスしましょう。Webクリッ プはホーム画面にアイコンとして表示され、ほかのアイコンと一緒に並べることができます。16 ページ の「iPod touch アプリケーション」を参照してください。 Webクリップを追加する： Webページを開いて、 をタップします。次に、「ホーム画面に追加」をタッ プします。 Webクリップを開くと、Webクリップを保存したときに表示されていた Web ページの領域まで自動 的に拡大／縮小およびスクロールされます。表示された領域は、その Web ページに独自のアイコン がある場合を除いて、ホーム画面上に Webクリップのアイコンを作成するときにも使用されます。 Webクリップを追加するときにその名前を編集できます。名前が長すぎる（約 10 文字を超える）場 合には、ホーム画面上で短縮されて表示されることがあります。 Webクリップはブックマークではないので、MobileMeまたは「iTunes」では同期されません。 Webクリップを削除する： 1 ホーム画面上のいずれかのアイコンをタッチしたまま押さえていると、アイコンが波打ち始めます。 2 削除したい Webクリップの隅にある「×」をタップします。 3 「削除」をタップしてからホーム ボタンを押すと、配置が保存されます。 56 第 5章 Safari57 「メール」は、MobileMe、Microsoft Exchange、よく利用される多くのメールシステム（Yahoo!メー ル、Googleメール、AOLなど）、および業界標準その他の POP3/IMAPメールシステムに対応して います。写真やグラフィックスを埋め込んで送受信したり、PDFやその他の添付ファイルを表示したり できます。 「メール」でメッセージをダウンロードしたり送信したりするには、インターネットに接続されたWi-Fiネッ トワークに iPod touch が接続されている必要があります。26ページの「インターネットに接続する」 を参照してください。 メールアカウントを設定する iPod touch のメールアカウントは、次のいずれかの方法で設定できます：  「iTunes」で、iPod touch の環境設定パネルを使ってコンピュータからメールアカウント設定を同 期します。6ページの「iTunesと同期する」を参照してください。  iPod touch でアカウントを直接設定します。10 ページの「アカウントを設定する」を参照してくだ さい。 メールを送信する メールメッセージは、メールアドレスを持っている人にならだれにでも送信できます。 メッセージを作成して送信する： 1 をタップします。 2 名前またはメールアドレスを「宛先」フィールドに入力するか、または をタップして、連絡先から 名前を追加します。 メールアドレスを入力していくと、連絡先リストから一致するメールアドレスが下に表示されます。アド レスをタップすると追加されます。名前を追加するときは、「Return」または をタップします。 6 メール参考：Microsoft Exchangeアカウントからメッセージを作成していて、会社のグローバルアドレス一 覧（GAL）にアクセスできる場合は、iPod touch 上の連絡先から一致するアドレスが最初に表示さ れてから、一致する GALアドレスが表示されます。 3 このメッセージをほかの人にコピーまたはブラインドコピーしたい場合、またはメッセージの送信元ア カウントを変更したい場合は、「Cc」、「Bcc」、または「差出人」をタップします。複数のメールアカ ウントがある場合は、「差出人」フィールドをタップして送信元アカウントを変更できます。 4 件名を入力してから、メッセージを入力します。 「Return」をタップすると、フィールド間を移動できます。 5 「送信」をタップします。 メッセージで写真を送信する 「写真」で写真を選び、 をタップしてから、「写真をメー ル」をタップします。 写真はデフォルトのメールアカウントを使って送信されます （98ページの「メール」を参照してください）。 メッセージの下書きを保存して後で完成させる 「キャンセル」をタップしてから、「保存」をタップします。メッ セージが「下書き」メールボックスに保存されます。 メッセージに返信する をタップします。差出人にだけ返信するときは「返信」 をタップし、差出人とすべての受信者に返信するときは「全 員に返信」をタップします。返信メッセージを入力してから、 「送信」をタップします。 最初のメッセージに添付されているファイルやイメージは 返信されません。 メッセージを転送する メッセージを開いて をタップしてから、「転送」をタッ プします。1つまたは複数のメールアドレスを追加し、メッ セージを入力してから、「送信」をタップします。 メッセージを転送するときに、元のメッセージに添付されて いるファイルやイメージを取り込むことができます。 メールを確認する／読む 「メール」アイコンには、すべての受信ボックス内の未開封メッセージの総数が表示されます。その他 のメールボックスにそれ以外の未開封メッセージが含まれている場合があります。 受信ボックス内の 未開封メールの数 アカウントの画面ごとに、各メールボックスの未開封メッセージの数が表示されます。 58 第 6章 メール第 6章 メール 59 未開封メッセージの数 タップすると、すべてのメール アカウントが表示されます メールボックスをタップすると、そのメッセージが表示されます。未開封メッセージの横には、青い点 が表示されます。 未開封メッセージ メールボックスを開いたときに、メッセージがまだ自動的に読み込まれていない場合は、「メール」設 定に指定されている数の最新メッセージが読み込まれます。（98ページの「メール」を参照してくだ さい。） 追加のメッセージを読み込む： メッセージリストの下部までスクロールし、「さらにメッセージを読み込 む」をタップします。 メッセージを読む： メールボックスをタップしてから、メッセージをタップします。メッセージ内で ま たは をタップすると、次のメッセージまたは前のメッセージが表示されます。 メッセージを部分的に拡大する メッセージの一部の領域をダブルタップすると拡大され ます。再びダブルタップすると元のサイズに戻ります。 テキスト列のサイズを画面に合うように変更する テキストをダブルタップします。 メッセージのサイズを手動で変更する ピンチして拡大／縮小します。 リンクをたどる リンクをタップします。 リンクになっているテキストは通常、下線が引かれ青字で 表示されます。イメージがリンクになっていることもよくあ ります。リンクをタップすると、Web ページが開いたり、 地図が開いたり、指定されているアドレスの新規メールメッ セージが開いたりします。 Webおよび地図のリンクをタップすると、iPod touch 上 で「Safari」または「マップ」が開きます。メールに戻る ときは、ホームボタンを押して「メール」をタップします。リンク先のアドレスを確認する リンクをタッチしたまましばらく待ちます。指の横に、アド レスを示すポップアップが表示されます。 iPod touch では、メールメッセージ内のほとんどのピクチャ添付ファイル（JPEG、GIF、および TIFF）は、 テキストと一緒にインライン表示されます。iPod touch では、多くのオーディオ添付ファイル（MP3、 AAC、WAV、AIFFなど）を再生できます。受信したメッセージに添付されているファイル（PDF、 Web ページ、テキスト、「Pages」、「Keynote」、「Numbers」、および Microsoft 社の「Word」、 「Excel」、「PowerPoint」の各書類）は、ダウンロードして表示することができます。 添付ファイルを開く： 添付ファイルをタップします。ファイルが iPod touch にダウンロードされて開 かれます。 添付ファイルをタップ するとダウンロードさ れます 添付ファイルは縦向きまたは横向きに表示できます。添付ファイルのフォーマットが、iPod touch が 対応していないフォーマットの場合には、ファイルの名前は表示されますが、開くことはできません。 iPod touch は次のタイプの書類に対応しています： .doc Microsoft Word .docx Microsoft Word（XML） .htm Web ページ .html Web ページ .key Keynote .numbers Numbers .pages Pages .pdf プレビュー、Adobe Acrobat .ppt Microsoft PowerPoint .pptx Microsoft PowerPoint（XML） .txt テキスト .vcf 連絡先情報 60 第 6章 メール第 6章 メール 61 .xls Microsoft Excel .xlsx Microsoft Excel（XML） 添付された写真をフォトライブラリに保存する： イメージを押したまま、「画像を保存」をタップします。 新着メッセージを確認する いつでも好きなときに、メールボックスを選択するか を タップできます。 メッセージのすべての受信者を確認する 「詳細」をタップします。 名前またはメールアドレスをタップすると、受信者の連絡 先情報が表示されます。その受信者に連絡するときは、メー ルアドレスまたはテキストメッセージをタップします。受信 者を隠すときは、「隠す」をタップします。 メール受信者を連絡先リストに追加する メッセージをタップします。必要に応じて「詳細」をタップ して、受信者を表示します。次に、名前またはメールアド レスをタップして、「新規連絡先を作成」または「既存の 連絡先に追加」をタップします。 メッセージを未開封にする メッセージを開き、「未開封にする」をタップします。 メールボックスリストのメッセージの横に青い点 が表示 されます。この青い点は再度メッセージを開いたときに消 えます。 会議の参加依頼を開く： 参加依頼をタップします。 主催者やほかの参加者の連絡先情報を入手したり、通知を設定したり、イベントにメモを追加したり、 主催者への返信メールに含めるコメントを追加したりできます。参加依頼を承認したり、仮承認したり、 拒否したりできます。76ページの「会議の参加依頼に返信する」を参照してください。 「プッシュ」の入／切を切り替える：「設定」で、「データの取得方法」を選択してから、「プッシュ」をタッ プします。89ページの「新しいデータを取得する」を参照してください。 メールを整理する メッセージを一度に 1つずつ削除したり、グループを選択して一度に全部削除したりできます。メッセー ジを別のメールボックスまたはフォルダに移動することもできます。 メッセージを削除する： メッセージを開いて、 をタップします。または、「編集」をタップしてから、メッ セージの横にある をタップします。 メールボックスのメッセージリストからメッセージを直接削除することもできます。それには、メッセー ジタイトル上で左から右に向かって指をさっと動かしてから、「削除」をタップします。「削除」ボタンを表示するには、 メッセージの上で左から右に 向かって指をさっと動かします。 複数のメッセージを削除する： メッセージのリストが表示されているときに、「編集」をタップし、削除 したいメッセージを選択してから、「削除」をタップします。 メッセージを別のメールボックスまたはフォルダに移動する： メッセージが表示されているときに、 をタップしてから、メールボックスまたはフォルダを選択します。 複数のメッセージを移動する： メッセージのリストが表示されているときに、「編集」をタップし、移動 したいメッセージを選択してから、「移動」をタップしてメールボックスまたはフォルダを選択します。 62 第 6章 メール63 マップ 「マップ」には、世界のさまざまな国の市街地図、航空写真、および地図＋航空写真が用意されています。 運転経路の詳細を表示したり、交通情報を確認したりすることもできます。おおよその現在位置を確認 して、現在の場所から別の場所（またはその逆）への運転経路を知ることもできます。1 「マップ」を使用するには、インターネットに接続された Wi-Fiネットワークに iPod touch が接続さ れている必要があります。26ページの「インターネットに接続する」を参照してください。 警告：安全な運転とナビゲーションに関する重要な情報については、www.apple.com/jp/ support/manuals/ipodtouchにある「この製品についての重要なお知らせ」を参照してください。 場所を探して表示する 場所を探して地図を表示する： 1 検索フィールドをタップして、キーボードを表示します。 2 住所、交差点名、地域名、目印となる建物、ブックマーク、連絡先、または郵便番号を入力します。 3 「検索」をタップします。 その場所にピンが表示されます。ピンをタップすると、その場所の名前または説明が表示されます。 1 地図、経路、および場所情報は、収集されるデータおよび他社から提供されるサービスに依存しています。これらのデータサービスは変更される 可能性があり、すべての地域で利用できるわけではないため、地図、経路、または場所情報が利用できなかったり、不正確であったり、不完全で あったりする可能性があります。詳細については、www.apple.com/jp/ipodtouchを参照してください。場所情報を提供するために、個人を 識別できない形式でデータが収集されます。このようなデータを収集されることを希望しない場合は、この機能を使用しないでください。この機 能を使用しなくても、iPod touchの機能には影響しません。 7 その他のアプリケーション　　をタップすると、その場所に関する 情報が表示されたり、経路が表示された り、ブックマークまたは連絡先リストに その場所が追加されたりします 地図の一部分を拡大する 2本の指で地図をピンチします。または、拡大したい部分 でダブルタップします。もう一度ダブルタップすると、さら に拡大されます。 縮小する 地図をピンチします。または、2本の指で地図をタップし ます。もう一度 2本の指でタップすると、さらに縮小され ます。 地図の別の部分にパンする／スクロールする 上、下、左、または右方向にドラッグします。 現在地を確認する： をタップします。 iPod touch では、位置情報サービスを使用しておおよその現在位置が特定されます。位置情報サー ビスでは、地域のWi-Fiネットワーク（Wi-Fiを入にしている場合）、から収集できる情報が使用されます。 情報が精密であるほど、より正確な現在地が示されます。この機能は、地域によっては利用できない ことがあります。 位置情報サービスが切になっている場合は、入にするように促すメッセージが表示されます。位置情報 サービスが切の場合は、現在地を確認することはできません。91ページの「位置情報サービス」を 参照してください。 おおよその現在地は円で示されます。円の大きさは、どれくらいの精度で現在地を決定できるかによっ て決まります。地図をドラッグしてもう一度 をタップすると、iPod touch の地図の中心が現在地に 戻ります。 参考：バッテリー寿命を節約するには、サービスを使用していないときに「位置情報サービス」をオ フにしてください。「設定」で、「一般」＞「位置情報サービス」と選択します。 64 第 7章 その他のアプリケーション第 7章 その他のアプリケーション 65 ドロップされたピンを使用する： をタップしてから、「ピンをドロップ」をタップします。 地図上にドロップされたピンは、そのあと好きな位置にドラッグできます。 ピンを現在の表示地域にすばやく移動する： をタップしてから、「ピンを置き換え」をタップします。 航空写真または地図＋航空写真を表示する： をタップしてから、「航空写真」をタップすると航空 写真だけが表示され、「地図＋航空写真」をタップすると市街地図と航空写真の組み合わせが表示さ れます。地図表示に戻るには、「マップ」をタップします。 連絡先リストに載っている人の住所の場所を表示する 検索フィールドで をタップしてから、「連絡先」をタッ プして連絡先を選択します。 この方法で住所を見つけるには、連絡先に少なくとも 1つ の住所が含まれている必要があります。連絡先に複数の住 所がある場合は、見つけたい住所を選択する必要がありま す。「連絡先」で住所を直接タップして、その住所の場所 を見つけることもできます。 連絡先リストに場所を追加する 場所を見つけて、その場所を指しているピンをタップし、 名前または説明の横にある をタップしてから「連絡先 に追加」をタップし、「新規連絡先を作成」または「既存 の連絡先に追加」をタップします。 場所をブックマークに追加する 後でまた参照したい場所をブックマークに追加することができます。 場所をブックマークに追加する： 場所を探して、そこを指しているピンをタップし、名前または説明の 横にある をタップしてから、「情報」画面下部にある「ブックマークに追加」をタップします。 ブックマークに追加した場所または最近表示した場所を表示する： 検索フィールドで をタップし てから、「ブックマーク」または「履歴」をタップします。 経路を表示する 目的地までの運転経路を区間ごとに順番に表示できます。 経路を表示する： 1 「経路」をタップします。 2 「出発」フィールドと「到着」フィールドに出発場所と到着場所を入力します。iPod touch では、現 在のおおよその場所（分かる場合）がデフォルトの出発場所になります。各フィールドで をタップし、 「ブックマーク」（現在のおおよその場所が分かる場合は、現在の場所とドロップされたピンを含みます）、 「履歴」、または「連絡先」で場所を選択します。 たとえば、友人の住所が連絡先リストに含まれている場合は、住所を入力する代わりに、「連絡先」を タップしてその友人の名前をタップしてもかまいません。 経路を逆にするときは、 をタップします。 3 「ルート」をタップします（場所を自分で入力した場合）。 66 第 7章 その他のアプリケーション第 7章 その他のアプリケーション 67 4 次のいずれかを行います：  経路を区間ごとに表示していくときは、「出発」をタップしてから をタップすると、次の経路が表 示されます。戻るときは、 をタップします。  すべての経路をリストで表示するときは、 をタップしてから「リスト」をタップします。リストでい ずれかの項目をタップすると、その経路の地図が表示されます。「ルートの概要」をタップして、概 要画面に戻ります。 画面の上部には、おおよその距離と運転時間が表示されます。渋滞状況データを入手できる場合は、 運転時間はそれに応じて調整されます。 地図で場所を見つけて、地図上でその場所を指しているピンをタップし、 をタップしてから、「ここ への道順」または「ここからの道順」をタップする方法で、経路を表示することもできます。 逆の経路を見るために出発地点と到着地点を切り替える： をタップします。 が表示されない場合は、「リスト」をタップしてから「編集」をタップします。 最近表示した経路を表示する： 検索フィールドで をタップしてから、「履歴」をタップします。 渋滞状況を表示する 渋滞状況を入手できる場合は、地図上に高速道路の渋滞状況を表示することができます。 渋滞状況を表示する／隠す： をタップしてから、「渋滞状況を表示」または「渋滞状況を隠す」をタッ プします。高速道路は、車の流れに従って次のように色分けされます： 灰色 = 現在データを入手できません 赤色 =時速 40km（25マイル）未満 黄色 =時速 40～80km（25～50マイル） 緑色 =時速 80km（50マイル）超 高速道路が色分けされない場合は、主要な道路が見えるレベルまで縮小する必要があるか、その地域 の渋滞状況を入手できない可能性があります。 店舗・企業を探して連絡する 地域の店舗・企業を探す： 1 場所（都市、都道府県、国、番地など）を探すか、地図を場所までスクロールします。 2 テキストフィールドに業種を入力し、「検索」をタップします。 一致する場所にピンが表示されます。たとえば、都市を見つけてから、「映画」と入力して「検索」を タップすると、都市の映画館にピンが表示されます。 店舗・企業の名前または説明を表示するときは、そのピンをタップします。 最初に場所を探すのではなく店舗・企業を探す： 次のように入力します：  レストラン サンフランシスコ カリフォルニア  アップル (株 ) ニューヨーク 店舗・企業に連絡する／経路を表示する： 店舗・企業のピンをタップしてから、名前の横にある をタップします。 経路を表示します Web サイトにアクセス します 　　をタップすると、 連絡先情報が表示されます 68 第 7章 その他のアプリケーション第 7章 その他のアプリケーション 69 ここから、次の操作を行うことができます：  メールを送信するときはメールアドレスを、Webサイトを表示するときは Webアドレスをタップし ます。  経路が必要な場合は、「ここへの道順」または「ここからの道順」をタップします。  その店舗・企業を連絡先リストに追加するときは、下方向にスクロールして「新規連絡先を作成」 または「既存の連絡先に追加」をタップします。 検索で見つかった店舗・企業のリストを表示する：「マップ」画面から「リスト」をタップします。 店舗・企業をタップすると、その場所が表示されます。店舗・企業の横にある をタップすると、そ の情報が表示されます。 YouTube YouTubeでは、世界中の人々が投稿した短いビデオを見ることができます。（一部の言語のみに対応 し、地域によっては利用できないことがあります。） 「YouTube」を使用するには、インターネットに接続された Wi-Fiネットワークに iPod touch が接 続されている必要があります。26ページの「インターネットに接続する」を参照してください。 ビデオを検索、再生する YouTube内をブラウズするか、見たいビデオを検索することができます。 ビデオをブラウズする： 「おすすめ」、「人気」、または「ブックマーク」をタップします。または、「そ の他」をタップして、「最新」「トップレート」または「履歴」をブラウズすることができます。  おすすめ：YouTubeスタッフによってレビューされたおすすめのビデオです。  人気：YouTubeユーザに最も視聴されたビデオです。「すべて」をタップして今までで最も視聴さ れたビデオを見るか、「今日」、「昨日」、または「今週」をタップしてその期間に最も視聴されたビ デオを見ることができます。  ブックマーク：ブックマークを付けたビデオが表示されます。  最新：YouTubeに送られた最新のビデオです。  トップレート：YouTubeユーザによって高いレートが付けられたビデオです。www.youtube.jp でビデオのレートを付けることができます。  履歴：最近見たビデオの履歴です。 ビデオを検索する： 1 「検索」をタップし、YouTube検索フィールドをタップします。 2 探したいビデオの単語もしくはフレーズを入力して、「検索」をタップします。ビデオタイトル、説明、タグ、 およびユーザ名を元に、検索結果を表示します。ビデオを再生する： ビデオをタップします。 iPod touch へのビデオのダウンロードが開始され、進行状況バーが表示されます。再生するのに十 分なビデオがダウンロードされると、再生が開始されます。 をタップして、ビデオを開始することも できます。 ビデオ再生を制御する ビデオの再生が開始されると、ビデオの再生の邪魔にならないようにコントロールが隠れます。 ビデオコントロールの表示／非表示を切り替える： 画面をタップします。 次へ／早送り 再生／一時停止 メール 拡大／縮小 ダウンロード進行状況 音量 前へ／巻き戻し ブックマーク 再生ヘッド スクラブバー ビデオを再生または一時停止する または をタップします。 音量を上げる／下げる 音量スライダをドラッグします。または、iPod touch の横 にある音量ボタンを使用します。 ビデオの最初から再生する をタップします。 次または前のビデオに移動する をダブルタップして前のビデオに移動します。 をタッ プして次のビデオに移動します。 巻き戻し／早送り または を押し続けます。 ビデオの中の好きな場所に移動する スクラブバーの再生ヘッドを好きな場所にドラッグします。 ビデオが最後まで再生される前にビデオを止める 「完了」をタップします。またはホーム ボタンを押します。 ビデオをスクリーンに合わせる／ビデオ全体を表示する ビデオをダブルタップします。 をタップして、ビデオを スクリーンに合わせます。または、 をタップして、ビ デオ全体をスクリーンに表示します。 70 第 7章 その他のアプリケーション第 7章 その他のアプリケーション 71 ビデオにブックマークを付ける ビデオタイトルの横にある をタップして、「ブックマー ク」をタップします。または、ビデオの再生を開始して、 をタップします。「ブックマーク」をタップして、ブック マークを付けたビデオを表示します。 ビデオへのリンクをメールで送信する ビデオの横にある をタップして、「共有」をタップしま す。または、ビデオの再生を開始して、 をタップします。 ビデオの詳細を表示して、関連のビデオをブラウズする ビデオをフルスクリーンで再生し、ビデオの再生中に「完 了」をタップします。または、リスト上のビデオの横にあ る をタップします。 iPod touch には、ビデオのレート、説明、追加日、その 他の情報が表示されます。また関連のビデオがリストで表 示され、ビデオをタップすると再生することができます。 ブラウズボタンを変更する 画面の下にある「おすすめ」、「人気」、「ブックマーク」、「検索」ボタンを、自分が頻繁に使う項目と 置き換えることができます。たとえば、トップレートビデオをよく見て、おすすめビデオはあまり見ない 場合は、「おすすめ」と「トップレート」を置き換えることができます。 ブラウズボタンを変更する：「その他」をタップして、「編集」をタップし、追加したいボタンを画面の 下の置き換えたいボタンの上にドラッグします。 下にあるボタンを左右にドラッグして、順序を入れ替えることができます。完了したら、「完了」をタッ プします。 ビデオをブラウズするときに、表示されていないブラウズボタンを使いたいときは、「その他」をタップ します。自分のビデオを YouTubeに追加する YouTubeにビデオを追加する方法については、www.youtube.jpのサイトで「ヘルプ」をタップし ます。 写真 iPod touch に写真を入れて持ち歩き、家族や友人などに見せることができます。 写真をコンピュータと同期する 「iTunes」では、次のアプリケーションから写真を同期できます：  Mac：iPhoto 4.0.3以降、または「Aperture」  PC：Adobe Photoshop Album 2.0 以降、または Adobe Photoshop Elements 3.0以降 5ページの「必要なもの」を参照してください。 写真を見る コンピュータから同期した写真は「写真」アプリケーションで見ることができます。 写真を見る： 1 「写真」で、次のいずれかの操作を行います：  「フォトライブラリ」をタップして、すべての写真を表示します。  フォトアルバムをタップします。 アルバムをタップするとその写真だけが表示されます。 2 サムネールをタップして、写真をフルスクリーンで表示します。 コントロールの表示／非表示を切り替える： コントロールを表示するときは、フルスクリーンの写真を タップします。隠すときは、もう一度タップします。 72 第 7章 その他のアプリケーション第 7章 その他のアプリケーション 73 写真を横向きに表示する： iPod touch を横に回転させます。写真の向きが自動的に変わり、横向き の写真の場合はスクリーン全体に表示されます。 写真の一部を拡大する： 拡大したい部分をダブルタップします。再びダブルタップすると元のサイズに 戻ります。ピンチして拡大／縮小することもできます。 写真をパンする： 写真をドラッグします。 次／前の写真を見る： 人差し指で画面を右、または左にフリックします。または、画面をタップしてコ ントロールを表示し、 または をタップします。スライドショー 写真をスライドショーで見ることができます。バックグラウンド音楽を付けることもできます。 写真をスライドショーで見る： フォトアルバムを選択して、 をタップします。 個々の写真を見ているときに をタップすることによって、スライドショーを開始することもできます。 が表示されない場合は、写真をタップしてコントロールを表示します。 スライドショーを停止する： 画面をタップします。 スライドショーを設定する：「設定」で、「写真」を選択し、次のオプションを設定します：  各スライドの表示時間を設定するには、「各スライドの再生時間」をタップして、時間を選択します。  写真が切り替わるときのトランジション効果を設定するには、「トランジション」をタップして、トラン ジションの種類を選択します。  スライドの繰り返しを入または切にするには、「リピート」を入または切にします。  写真をランダムにまたは順番に表示するには、「シャッフル」を入または切にします。 スライドショー中に曲を再生する：「iPod」で曲を再生してから、ホーム画面で「写真」を選択し、 スライドショーを開始します。 壁紙 iPod touch をロック解除すると、壁紙が表示されます。 写真を壁紙として設定する： 1 写真を選択し、 をタップして、「壁紙として使う」をタップします。 2 写真をドラッグしてパンしたり、写真をピンチして拡大／縮小したりして、写真の外観を調整します。 3 「壁紙に設定」をタップします。 また、ホーム画面から「設定」＞「壁紙」＞「壁紙」と選択して、iPod touch にあらかじめ用意さ れているいくつかの壁紙から選択することもできます。 メールメッセージまたは Web ページ内の画像を保存する メールメッセージに添付された画像または Web ページ内の画像をフォトライブラリに追加できます。 写真をフォトライブラリに追加する： 写真を押したまま、「画像を保存」をタップします。 画像がフォトライブラリに追加されます。iPod touch をコンピュータに接続することによって、写真を コンピュータ上のフォトアプリケーションにアップロードすることができます。 写真をメールで送信する 写真をメールで送信する： 写真を選択し、 をタップして、「写真をメール」をタップします。 iPod touch が、メールを送信できるように設定されていて、インターネットに接続された Wi-Fiネッ トワークに接続されている必要があります。57ページの「メールアカウントを設定する」を参照してく ださい。 74 第 7章 その他のアプリケーション第 7章 その他のアプリケーション 75 写真を MobileMeギャラリーに送信する MobileMeアカウントをお持ちの場合は、作成済みのギャラリーに iPod touch から写真を直接送信 できます。また、メール投稿が有効になっているほかの人の MobileMeギャラリーに写真を送信する こともできます。 写真を送信する前に、次の作業を行う必要があります：  iPod touch で MobileMeアカウントを設定します  MobileMeギャラリーを公開し、メールによる写真のアップロードを許可します  インターネットに接続された Wi-Fiネットワークに接続します ギャラリーの作成方法について詳しくは、MobileMeのヘルプを参照してください。 写真をギャラリーに送信する： 写真を選択し、 をタップして、「MobileMeに送信」をタップします。 写真を連絡先に割り当てる 写真を連絡先に割り当てることができます。 写真を連絡先に割り当てる： 1 iPod touch 上で写真を選んで、 をタップします。 2 「連絡先に割り当てる」をタップし、連絡先を選びます。 3 写真を好みの位置とサイズに調節します。 写真をドラッグしてパンしたり、ピンチして拡大／縮小します。 4 「写真を設定」をタップします。 「編集」をタップしてから写真アイコンをタップして、写真を連絡先に割り当てることもできます。 カレンダー 「カレンダー」では、イベントを連続リスト、日ごと、または月ごとに表示できます。お使いのコンピュー タ上のカレンダーと iPod touch を同期することができます。iPod touch 上で予定を作成、編集、 またはキャンセルした場合は、それらがコンピュータに同期されます。Microsoft Exchangeアカウン トを持っている場合は、会議の参加依頼を受信および返信することもできます。 カレンダーを同期する カレンダーは、次のいずれかの方法で同期できます：  「iTunes」の「iPod touch」環境設定パネルで、iPod touch をコンピュータに接続したときに、 Macの場合は「iCal」または「Microsoft Entourage」、PCの場合は「Microsoft Outlook 2003」または「Microsoft Outlook 2007」と同期するように設定します。6ページの「iTunes と同期する」を参照してください。 iPod touch の「設定」で、MobileMeまたは Microsoft Exchangeアカウントの「カレンダー」 を選択して、カレンダー情報を無線同期するように設定します。10 ページの「アカウントを設定す る」を参照してください。 カレンダーを同期するには、インターネットに接続された Wi-Fiネットワークに iPod touch が接続 されている必要があります。26ページの「インターネットに接続する」を参照してください。 カレンダーのイベントを iPod touch に追加する カレンダーのイベントを iPod touch で直接入力および編集することもできます。 イベントを追加する： をタップし、イベント情報を入力して、「完了」をタップします。 以下の項目を入力できます：  タイトル  場所  開始時刻と終了時刻（終日イベントの場合は「終日」を入にします）  繰り返し間隔̶なし、毎日、毎週、隔週、毎月、または毎年  通知時間̶イベントの 5分前から2日前まで 通知を設定する場合は、予備の通知を設定するオプションが表示されます。通知の時間になると、 iPod touch にメッセージが表示されます。また、音が鳴るように iPod touch を設定することも できます（下記を参照してください）。 重要：そのため、旅行中は iPod touch の通知が正しい現地時間で行われないことがあります。 手動で正しい時刻を設定するときは、93 ページの「日付と時刻」を参照してください。  メモ イベントを追加するカレンダーを選択するには、「カレンダー」をタップします。読み出し専用のカレン ダーはリストに表示されません。 イベントを編集する イベントをタップして、「編集」をタップします。 イベントを削除する イベントをタップし、「編集」をタップしてから、下方向に スクロールして「イベントを削除」をタップします。 会議の参加依頼に返信する iPod touch で Microsoft Exchangeアカウントを設定し、「カレンダー」を有効にしている場合 は、組織内の人から会議の参加依頼を受け取り、それに返信することができます。参加依頼を受け取 ると、カレンダーに会議が点線で囲まれて表示されます。画面右下にある アイコンは、新着の参 加依頼の合計数を示します。合計数は、ホーム画面の「カレンダー」のアイコンにも表示されます。 会議の参加依頼を受け取ってそれに返信するには、インターネットに接続された Wi-Fiネットワークに iPod touch が接続されている必要があります。 76 第 7章 その他のアプリケーション第 7章 その他のアプリケーション 77 会議の参加依頼の数 カレンダー内の参加依頼に返信する： 1 カレンダーで会議の参加依頼をタップするか、 をタップして「イベント」画面を表示してから参加 依頼をタップします。  会議主催者の連絡先情報を調べるには、「依頼元」をタップします。その主催者にメッセージを送 信するには、メールアドレスをタップします。  ほかに会議への参加を依頼されている人を確認するには、「参加者」をタップします。参加者の連 絡先情報を調べるには、名前をタップします。その参加者にメッセージを送信するには、メールアド レスをタップします。  会議の前に iPod touch で通知が鳴るように設定するには、「通知」をタップします。  会議主催者に返信するメールにコメントを追加するには、「コメントを追加」をタップします。コメン トは、自分の会議の「情報」画面にも表示されます。「メモ」は、会議主催者によって作成されます。 2 「了解」、「仮承諾」、または「拒否」をタップします。 参加依頼を了解、仮承諾、または拒否すると、追加したコメントを含む返信メールが主催者に送られ ます。 会議を了解または仮承諾した場合は、後で返事を変更することができます。コメントを変更したい場合 は、「コメントを追加」をタップします。 Exchangeの会議参加依頼は、メールメッセージでも送られます。この場合は、「メール」で会議の「情 報」画面を開くことができます。 メールメッセージの会議参加依頼を開く： 参加依頼をタップします。 通知音 カレンダーの通知音を設定する：「設定」で、「一般」＞「サウンド」と選択してから、「カレンダー の通知音」を入にします。「カレンダーの通知音」を切にした場合は、イベントの直前に音は鳴らず、 iPod touch にメッセージが表示されます。 参加依頼の通知音を設定する：「設定」で、「メール /連絡先 /カレンダー」を選択します。「カレンダー」 で、「新規参加依頼の通知音」をタップして入にします。 カレンダーを表示する カレンダーのイベントは、リスト、日ごと、または月ごとに表示できます。iPod touch では、同期さ れているすべてのカレンダーのイベントが同じカレンダーに表示されます。 表示を切り替える：「リスト」、「日」、または「月」をタップします。  リスト表示：スクロール可能なリストにすべての予定とイベントが表示されます。  日表示：上下にスクロールして1日のすべてのイベントを表示できます。 または をタップすると、 前の日または次の日のイベントが表示されます。  月表示：特定の日をタップすると、その日のイベントが表示されます。 または をタップすると、 前の月または次の月が表示されます。 78 第 7章 その他のアプリケーション第 7章 その他のアプリケーション 79 点が付いている日には 予定されたイベントが あります イベントを追加する 表示を切り替える 選択された日のイベント 今日に移動 カレンダー参加依頼に 応答する イベントの詳細を表示する： イベントをタップします。 連絡先 連絡先を読み込む／同期する 次の方法で、iPod touch に連絡先を追加できます：  「iTunes」で、お使いのコンピュータ上のアプリケーションと連絡先を同期します（6ページの「iTunes と同期する」を参照してください）  iPod touch で MobileMeまたは Microsoft Exchangeアカウントを設定して、「連絡先」を有 効にします（ 10 ページの「アカウントを設定する」を参照してください）  Exchangeアカウントを設定するプロファイルをインストールして、「連絡先」を有効にします（12ペー ジの「構成プロファイルをインストールする」を参照してください）  iPod touch で直接、連絡先を入力します 連絡先を検索する iPod touch の連絡先で名、姓、および会社名を検索できます。iPod touch で Microsoft Exchangeアカウントを設定した場合は、会社のグローバルアドレス一覧（GAL）で組織内の連絡先 を検索できることもあります。 検索情報を入力するときは、入力を開始すると同時に一致する連絡先が表示されます。 連絡先を検索する：「連絡先」で、連絡先リストの上部にある検索フィールドをタップし、名、姓、ま たは会社名を入力します。GALを検索する：「グループ」をタップし、リストの下部にある「ディレクトリ」をタップして、名、姓、 または会社名を入力します。 GALの連絡先は、編集したり iPod touch に保存したりできません。 iPod touch で連絡先を管理する iPod touch で連絡先を追加する： 「連絡先」をタップし、 をタップします。 連絡先を削除する 「連絡先」で、連絡先を選択して、「編集」をタップします。 下方向にスクロールして、「連絡先を削除」をタップします。 キーパッドから連絡先を追加する 「キーパッド」をタップし、番号を入力して、 をタッ プします。「新規連絡先を作成」をタップして情報を入力 するか、「既存の連絡先に追加」をタップして連絡先を選 択します。 連絡先情報を編集する 「連絡先」で、連絡先を選択して、「編集」をタップします。 項目を追加するには、 をタップします。項目を削除す るには、 をタップします。 番号にポーズを入れる をタップし、「一時停止」をタップします。番号を保 存すると、ポーズはカンマで表示されます。 写真を連絡先に割り当てる： 1 「連絡先」をタップし、連絡先を選択します。 2 「編集」をタップし、「写真を追加」をタップします。または既存の写真をタップします。 3 「写真を選択」をタップして写真を選択します。 4 写真をドラッグしてサイズを調整します。 5 「写真を設定」をタップします。 株価 「株価」では、選択した銘柄について入手できる最新の株式相場を確認できます。「株価」を使用する には、インターネットに接続された Wi-Fiネットワークに iPod touch が接続されている必要があり ます。26ページの「インターネットに接続する」を参照してください。 株式相場を表示する インターネットに接続されている状態で「株価」を開くと、そのたびに株式相場がアップデートされます。 株式相場がアップデートされるまでに、最大で 20分かかります。 株価リーダーに銘柄、指数、ファンドを追加する： 1 をタップしてから をタップします。 2 銘柄コード、会社名、指数、またはファンド名を入力してから、「検索」をタップします。 80 第 7章 その他のアプリケーション第 7章 その他のアプリケーション 81 3 検索リストで項目を選択します。 長期または短期の株価の推移を表示する： 銘柄コードをタップしてから、「1日」、「1週」、「1月」、「3月」、 「6月」、「1年」、または「2年」をタップします。グラフが調整されて、1日、1週、1カ月、3カ月、 6カ月、1年、または 2年間の推移が表示されます。 銘柄を削除する： をタップし、銘柄の横にある をタップしてから、「削除」をタップします。 銘柄を並べ替える： をタップします。次に、銘柄の横にある を新しい位置までドラッグします。 変動額または変動率を表示する： 変動を示す数字をタップします。元に戻すときは、もう一度タップし ます。または、 をタップして「%」または「株価」をタップします。 詳細情報を見る Yahoo.comで銘柄に関する情報を見る： 銘柄を選択して、 をタップします。 株価に関連するニュース、情報、Webサイトなどを見ることができます。 天気 「天気」では、世界中の 1つまたは複数の都市の現在の気温と6日分の予報を見ることができます。「天 気」を使用するには、インターネットに接続された Wi-Fiネットワークに iPod touch が接続されてい る必要があります。26ページの「インターネットに接続する」を参照してください。 天気概況を見る ホーム画面から「天気」をタップすると、選択した都市の現在の天気が表示されます。 6 日分の予報 現在の気温 現在の状況 今日の最高気温と最低気温 都市を追加したり 削除したりします 保存されている都市の数 気象表示板が明るい青の場合には、その都市は日中（午前 6時～午後 6時まで）です。気象表示板 が濃い紫色の場合には、夜間（午後 6時～午前 6時）です。 都市を追加する： 1 をタップしてから をタップします。 2 都市名または郵便番号を入力してから、「検索」をタップします。3 検索リストで都市を選択します。 別の都市に切り替える： 左または右にフリックするか、点の列の左または右をタップします。気象表示 板の下の点の数は、保存されている都市の数です。 都市を並べ替える： をタップしてから、都市の横にある をドラッグして、リスト内の別の場所に 移動します。 都市を削除する： をタップし、都市の横にある をタップしてから、「削除」をタップします。 気温を華氏または摂氏で表示する： をタップしてから、「°F」または「°C」をタップします。 天気の詳細情報を見る その都市に関連するより詳細な気象情報、ニュース、Webサイトなどを見ることができます。 Yahoo.comで都市に関する情報を見る： をタップします。 メモ メモを書く／読む メモは、追加された日付順に表示されます。つまり、最新のメモが一番上に表示されます。リストには、 各メモの最初の数単語が表示されます。 メモを追加する： をタップしてから、メモを入力して、「完了」をタップします。 メモを読む： メモをタップします。 または をタップすると、次の日または前の日が表示されます。 メモを編集する： メモのどこかをタップして、キーボードを表示します。 メモを削除する： メモをタップしてから、 をタップします。 メモをメールで送信する メモをメールで送信する： メモをタップしてから、 をタップします。 メモをメールで送信するには、メールを送信できるように iPod touch が設定されている必要があり ます。57ページの「メールアカウントを設定する」を参照してください。 82 第 7章 その他のアプリケーション第 7章 その他のアプリケーション 83 計算機 計算機を使用する 「計算機」では、数字や演算子をタップすることで、通常の計算機と同じように計算することができます。 「＋」、「－」、「×」、「÷」をタップすると、ボタンが白い線で囲まれるので、どの計算を行っている のかが分かります。iPod touch を横向きにすれば、高度な関数電卓になります。 標準のメモリ機能  C：タップすると、表示されている数字が消去されます。  MC：タップすると、メモリに保存された数字が消去されます。  M+：タップすると、表示されている数字が、メモリに保存された数字に足されます。メモリに保存 されている数字がない場合は、このボタンをタップすると、表示されている数字をメモリに保存しま す。  M-：タップすると、表示されている数字から、メモリに保存された数字が引かれます。  MR：タップすると、表示されている数字が、メモリに保存された数字に置き換えられます。ボタン が白い輪で囲まれている場合は、メモリに保存されている数字があります。 標準の計算機と関数電卓を切り替えても、メモリに保存されている数字は残ります。 関数電卓のキー iPod touch を横向きにすると、関数電卓が表示されます。 2nd 三角関数のボタン（sin、cos、tan、sinh、cosh、tanh）をそれぞれの逆関数（sin -1 、cos -1 、 tan -1 、sinh -1 、cosh -1 、tanh -1 ）に変更します。また、lnを log2に、e x を 2 x に変更します。「2nd」 をもう一度タップすると、元の関数に戻ります。 ( 括弧式を始めます。式は入れ子にすることができます。 ) 括弧式を終えます。% 百分率を計算し、値上を加算し、値引を減算します。百分率を計算するときは、乗算（×）キーを一 緒に使用します。たとえば、500の 8%を計算するには、次のように入力します。 500 x 8 % = 結果は 40になります。 値上を加算するとき、または値引を減算するときは、加算（＋）キーまたは減算（－）キーを一緒に 使用します。たとえば、総額 500ドルの商品に 8%の売上税を加算するときは、次のように入力します。 500 + 8 % = 結果は 540になります。 1/x 値の逆数を小数で返します。 x 2 値を 2乗します。 x 3 値を 3乗します。 y x 2つの値の間をタップし、1つ目の値を 2つ目の値で累乗します。たとえば、3 4 を計算するには、次の ように入力します。 3 y x 4 = 結果は 81になります。 x! 値の階乗を計算します。 √ 値の平方根を計算します。 x √ y 2つの値の間で使って、yの x乗根を計算します。たとえば、4 √ 81を計算するには、次のように入力 します。 81 x √ y 4 = 結果は 3になります。 log 値の対数（10を底）を返します。 sin 値の正弦を計算します。 sin -1 値の逆正弦を計算します。（「2nd」ボタンをタップしたときに利用できます。） cos 値の余弦を計算します。 cos -1 値の逆余弦を計算します。（「2nd」ボタンをタップしたときに利用できます。） tan 値の正接を計算します。 tan -1 値の逆正接を計算します。（「2nd」ボタンをタップしたときに利用できます。） ln 値の自然対数を計算します。 log2 2を底とする対数を計算します。（「2nd」ボタンをタップしたときに利用できます。） sinh 値の双曲線正弦を計算します。 sinh -1 値の逆双曲線正弦を計算します。（「2nd」ボタンをタップしたときに利用できます。） cosh 値の双曲線余弦を計算します。 cosh -1 値の逆双曲線余弦を計算します。（「2nd」ボタンをタップしたときに利用できます。） tanh 値の双曲線正接を計算します。 tanh -1 値の逆双曲線正接を計算します。（「2nd」ボタンをタップしたときに利用できます。） e x 値を入力した後でタップし、定数“e”（2.718281828459045...）をその値で累乗します。 84 第 7章 その他のアプリケーション第 7章 その他のアプリケーション 85 2 x 表示されている値で2を累乗します。たとえば、10 2 x =と入力すると、結果は1024になります。（「2nd」 ボタンをタップしたときに利用できます。） Rad 三角関数を弧度で表すモードに変更します。 Deg 三角関数を度で表すモードに変更します。 π 円周率の値（3.141592653589793...）を入力します。 EE 現在表示されている値に、次に入力した値で 10を累乗した値を乗算します。 Rand 0 ～ 1の間のランダムな数字を返します。 時計 「時計」では、さまざまな場所の時刻を表示したり、アラームを設定したり、ストップウォッチを使用し たり、タイマーを設定したりできます。 世界時計 世界のほかの主要都市および時間帯の時刻を表示する時計を追加できます。 時計を表示する：「世界時計」をタップします。 時計が白いときはその都市が昼間であることを示しています。時計が黒いときは夜間であることを示し ています。4つ以上の時計があるときは、フリックしてスクロールします。 時計を追加する： 1 「世界時計」をタップします。 2 をタップして、都市の名前を入力します。 入力に一致した都市名が下に表示されます。 3 都市名をタップして、その都市の時計を追加します。 探している都市が見つからないときは、同じ時間帯にある主要都市を入力してみてください。 時計を削除する： 「世界時計」をタップし、「編集」をタップします。次に、時計の横にある をタッ プし、「削除」をタップします。 時計を並べ替える：「世界時計」をタップし、「編集」をタップします。次に、時計の横にある を 新しい位置までドラッグします。アラーム 複数のアラームを設定することができます。各アラームについて、指定した日に繰り返し鳴るようにす るか、または 1回だけ鳴るようにするかを設定します。 アラームを設定する： 1 「アラーム」をタップして、 をタップします。 2 次の設定を調整します：  特定の日に繰り返し鳴るようにアラームを設定するには、「繰り返し」をタップして、日にちを選択 します。  アラームの時刻に鳴らす着信音を選択するには、「サウンド」をタップします。  アラームのスヌーズ機能を入／切にするには、「スヌーズ」を入または切にします。「スヌーズ」が 入のときに、アラームが鳴って「スヌーズ」をタップすると、アラームはいったん止まり、10 分後に 再び鳴ります。  アラームに説明を付けたいときは、「ラベル」をタップします。アラームが鳴るときに、iPod touch にラベルが表示されます。 少なくとも1つのアラームが設定されていて、入になっている場合は、iPod touch の画面上部のステー タスバーに が表示されます。 アラームを入または切にする： 「アラーム」をタップして、任意のアラームを入または切にします。ア ラームが切になっている場合は、もう一度入にしない限りはアラームが鳴りません。 アラームが 1度だけ鳴るように設定してある場合は、1度鳴った後に、自動的に切になります。再び 入にすると、有効にすることができます。 アラームの設定を変更する： 「アラーム」をタップして、「編集」をタップし、変更したいアラームの 横の をタップします。 アラームを削除する： 「アラーム」をタップして、「編集」をタップし、アラームの横にある をタッ プしてから、「削除」をタップします。 ストップウォッチ ストップウォッチで時間を計る： 1 「ストップウォッチ」をタップします。 2 「開始」を選択して、ストップウォッチを開始します。  ラップタイムを記録するには、各ラップの後に「ラップ」を選択します。  ストップウォッチを一時停止するには、「停止」をタップします。再開するときは「開始」をタップします。  ストップウォッチをリセットするには、ストップウォッチが一時停止のときに「リセット」をタップします。 ストップウォッチを開始して、iPod touch の別のアプリケーションに移動しても、ストップウォッチはバッ クグラウンドで動き続けます。 86 第 7章 その他のアプリケーション第 7章 その他のアプリケーション 87 タイマー タイマーを設定する： 「タイマー」をタップしてから、フリックして時間と分を設定します。「開始」を 選択して、タイマーを開始します。 サウンドを選択する：「タイマー終了時」をタップします。 スリープタイマーを設定する： タイマーを設定して「タイマー終了時」をタップして、「iPodをスリープ」 を選択します。 スリープタイマーを設定すると、タイマーの終了時に、iPod touch で音楽やビデオの再生が停止され ます。 タイマーを開始して、iPod touch の別のアプリケーションに移動しても、タイマーはバックグラウンド で動き続けます。 Nike + iPod Nike + iPodアプリケーションが「設定」で有効になっているときは、Nike + iPodセンサー（別売） を制御できるようにホーム画面に表示されます。Nike + iPodは、第 1世代の iPod touchでは使用 できません。Nike + iPodを有効にして使用するための手順については、Nike + iPodの製品ドキュ メントを参照してください。88 「設定」で、iPod touch のアプリケーションをカスタマイズしたり、日付と時刻を設定したり、ネットワー ク接続を構成したり、iPod touch のその他の環境設定を入力したりできます。 Wi-Fi Wi-Fi設定によって、iPod touch からインターネットに接続するときに地域の Wi-Fiネットワークを使 用するかどうかが決まります。 Wi-Fi接続のオン／オフを切り替える：「Wi-Fi」を選択し、Wi-Fiを入または切にします。 Wi-Fiネットワークに接続する： Wi-Fiネットワークを選択し、iPod touch が接続圏内にあるネット ワークを検出するまで待ち、ネットワークを選択します。必要な場合にはパスワードを入力してから、「参 加」をタップします。（パスワードが必要なネットワークには鍵 のアイコンが表示されます。） Wi-Fiネットワークに一度手動で接続すれば、その後は接続圏内にそのネットワークが見つかったとき に iPod touch が自動的にそのネットワークに接続されます。使用したことのあるネットワークが接続 圏内に複数ある場合は、iPod touch で最後に使用したネットワークに接続されます。 iPod touch が Wi-Fiネットワークに接続しているときは、Wi-Fiアイコン が画面上部のステータ スバーに表示され、アイコンで信号の強さを表示します。アイコンのバーの本数が多いほど、信号が 強いことを示します。 iPod touch が新しいネットワークに参加するときに確認するように設定する：「Wi-Fi」を選択し、「参 加を確認」を入または切にします。 「Safari」や「メール」などを使ってインターネットにアクセスしようとするときに、前回使用したWi-Fiネッ トワークの通信圏内にいない場合は、このオプションによって iPod touch は別のネットワークを探す ように設定されます。iPod touch が利用可能な Wi-Fネットワークをリストに表示し、利用したいネッ トワークを選択することができます。（パスワードが必要なネットワークには鍵のアイコンが表示され ます。）「接続を確認」がオフになっている場合に、前回使用したネットワークが利用できないときは、 手動でネットワークに接続してインターネットに接続する必要があります。 8 設定第 8章 設定 89 接続したネットワークを破棄して、iPod touch が自動的にそのネットワークに接続しないように設定 する：「Wi-Fi」を選択して、以前に接続したことのあるネットワークの横にある をタップします。 次に、「このネットワークを破棄」をタップします。 公開されていない Wi-Fiネットワークに接続する： Wi-Fiネットワークのリストに表示されない Wi-Fi ネットワークに接続するときは、「Wi-Fi」＞「その他」と選択して、ネットワーク名を入力します。ネッ トワークにパスワードが必要な場合は、「セキュリティ」をタップし、ネットワークで使用されているセキュ リティの種類をタップして、パスワードを入力します。 あらかじめネットワーク名、パスワード、および非公開ネットワークに接続するときのセキュリティの種 類を知っている必要があります。 一部の Wi-Fiネットワークは、クライアントIDや IPアドレスなどの追加の設定を要求する場合があり ます。使用する設定についてはネットワーク管理者に問い合わせてください。 Wi-Fiネットワークに接続する設定を調整する：「Wi-Fi」を選択し、ネットワークの横にある をタッ プします。 VPN この設定は、iPod touch 上に VPNを構成しているときに表示され、VPNのオン／オフを切り替え ることができます。91ページの「ネットワーク」を参照してください。 新しいデータを取得する この設定を使って、iPod touch 上に構成した MobileMe、Microsoft Exchange、「Yahoo!メー ル」、およびその他の「プッシュ」アカウントの「プッシュ」のオン／オフを切り替えることができます。 プッシュアカウントでは、サーバが新しい情報で更新されると、それらが iPod touch に自動的に配布 されます（少し遅れる可能性があります）。プッシュされたデータを取得または同期するには、インター ネットに接続された Wi-Fiネットワークに iPod touch が接続されている必要があります。メールやそ の他の情報が配布されることを中断したいとき、またはバッテリー寿命を節約したいときは、「プッシュ」 をオフにすることをお勧めします。 「プッシュ」がオフのときやアカウントがプッシュに対応していないときでも、データを「取得」するこ とはできます。つまり、サーバに新しい情報があるかどうかを iPod touch から確認することができ ます。どのくらいの頻度でデータを要求するかを決定するときは、「データの取得方法」設定を使用し ます。バッテリー寿命を最適化したい場合は、あまり頻繁に取得しないでください。 「プッシュ」をオンにする：「データの取得方法」をタップしてから、「プッシュ」をタップしてオンにします。 データを取得する間隔を設定する：「データの取得方法」をタップしてから、すべてのアカウントのデー タ取得頻度を選択します。 バッテリー寿命を節約したい場合は、取得頻度を低くします。 アカウントごとに取得またはプッシュの設定を行う：「データの取得方法」で、「詳細」をタップしてか らアカウントをタップします。「データの取得方法」画面で「プッシュ」を「オフ」に設定するか「フェッチ」を「手動」を設定すると、 これらの設定は各アカウントの設定より優先されます。 明るさ 画面の明るさはバッテリー寿命に影響します。iPod touch を充電するまでの時間を延ばすときは、画 面を暗くします。そうでないときは、「明るさの自動調節」を使用します。 画面の明るさを調整する：「明るさ」を選択し、スライダをドラッグします。 iPod touch が自動的に画面の明るさを調整するかどうかを設定する：「明るさ」を選択し、「明るさ の自動調節」を入または切にします。「明るさの自動調節」を入にすると、iPod touch に内蔵の環 境光センサーを使って、現在の光の状態に応じて画面の明るさが調整されます。 一般 「一般」設定には、日付と時刻、セキュリティ、ネットワークなどの、複数のアプリケーションに影響す る設定が含まれています。またここでは、お使いの iPod touch に関する情報を見たり、iPod touch をオリジナルの状態にリセットしたりすることができます。 情報 「一般」＞「情報」と選択して、iPod touch に関する情報を見ます。次の項目が表示されます：  曲、ビデオ、写真の数  合計保存容量  空き領域  ソフトウェアのバージョン  シリアル番号と機種番号  Wi-Fiアドレス  法的情報 壁紙 壁紙は iPod touch のロックを解除するときの画面に表示されます。iPod touch に用意されている イメージのいずれかを選択するか、コンピュータから iPod touch に同期した写真を使用することがで きます。 壁紙を設定する：「壁紙」を選択して、ピクチャを選びます。 サウンド 通知音の音量を調整する： 「一般」＞「サウンド」と選択し、スライダをドラッグします。曲またはビ デオを再生していない場合は、iPod touch の側面にある音量ボタンを使用します。 参考：第 1世代の iPod touchでは、「一般」＞「サウンド」と選択し、サウンド効果を鳴らす装置（内 蔵スピーカー、ヘッドフォン、またはその両方）を選びます。 通知音と効果音を設定する：「一般」＞「サウンド」と選択して、項目のオン／オフを切り替えます。 90 第 8章 設定第 8章 設定 91 次の状態のときに、常に音が鳴るように iPod touch を設定できます：  メールメッセージを受信したとき  メールメッセージを送信したとき  通知するように設定した予約があるとき  iPod touch をロックする  キーボードを使って入力したとき ネットワーク 「ネットワーク」設定を使用して、VPN（Virtual Private Network）接続を構成したり、Wi-Fi設定 にアクセスしたりします。 新しい VPN構成を追加する：「一般」＞「ネットワーク」＞「VPN」＞「VPN構成を追加」と選 択します。 組織の内部で VPNを使用するように構成することで、プライベートネットワークでないネットワークの ときにも機密情報を安全に送受信することができます。たとえば、iPod touch 上で職場のメールにア クセスするときに、VPNの構成が必要になります。 iPod touch からは、L2TP、PPTP、または Cisco IPSecプロトコルを使用する VPNに接続できます。 VPNは、Wi-Fi接続とパケット通信接続に対応しています。 どの設定を使用するかについては、ネットワーク管理者に問い合わせてください。ほとんどの場合、コ ンピュータ上に構成している VPN設定を、iPod touch でも使用できます。 VPN設定を入力すると、「設定」メニューの一番上に VPNスイッチが表示されるので、これを使って VPNのオン／オフを切り替えることができます。 VPN構成を変更する：「一般」＞「ネットワーク」＞「VPN」と選択して、アップデートしたい構成をタッ プします。 VPNのオン／オフを切り替える：「設定」をタップして、「VPN」のオン／オフを切り替えます。 VPN構成を削除する：「一般」＞「ネットワーク」＞「VPN」と選択して、構成名の右側にある青 い矢印をタップしてから、構成画面の下部にある「VPNを削除」をタップします。 Wi-Fiを使用する： 88ページの「Wi-Fi」を参照してください。 位置情報サービス 「位置情報サービス」を利用することで、「マップ」などのアプリケーションで自分がどこにいるかを示 すデータを収集して、それらを使用することができます。「位置情報サービス」で収集されたデータは、 個人を識別できる情報に関連付けられることはありません。現在のおおよその位置は、地域のWi-Fiネッ トワーク（Wi-Fiを入にしている場合）から収集できる情報を使って判断されます。 「位置情報サービス」を使用したくない場合は、オフにできます。「位置情報サービス」をオフにした 場合は、次回アプリケーションでこの機能を使用しようとするときに、もう一度オンに戻すことを求めら れます。 「位置情報サービス」の入／切を切り替える：「一般」＞「位置情報サービス」と選択し、位置情報サー ビスのオン／オフを切り替えます。バッテリー寿命を節約するには、サービスを使用していないときに「位置情報サービス」をオフにして ください。 自動ロック iPod touch をロックすると、バッテリーを節約するために画面の表示が消え、意図しない iPod touch の操作を防ぐことができます。 iPod touch がロックするまでの時間を設定する：「一般」＞「自動ロック」と選択して、ロックする までの時間を選択します。 パスコードロック デフォルトでは、iPod touch のロックを解除するためにパスコードを入力する必要はありません。 パスコードを設定する：「一般」＞「パスコードロック」と選択し、4桁のパスコードを入力してから、 確認のためにそのパスコードをもう一度入力します。iPod touch から、パスコードを入力してロック を解除するか、パスコードロックの設定を表示するように求められます。 パスコードロックをオフにする：「一般」＞「パスコードロック」と選択し、パスコードを入力してから「パ スコードをオフにする」をタップして、パスコードを再入力します。 パスコードを変更する：「一般」＞「パスコードロック」と選択し、パスコードを入力してから、「パスコー ドを変更」をタップします。パスコードを再入力してから、新しいパスワードを入力および再入力します。 パスコードを忘れてしまった場合は、iPod touchソフトウェアを復元する必要があります。109 ペー ジの「iPod touchソフトウェアをアップデートする／復元する」を参照してください。 パスコードを要求するまでの時間を設定する：「一般」＞「パスコードロック」と選択してから、パスコー ドを入力します。「パスコードを要求」をタップしてから、iPod touch の待機状態がどのくらい継続し たらロック解除するためのパスワードの入力を要求するかを選択します。 パスコードの入力に 10 回失敗したらデータを消去する：「一般」＞「パスコードロック」と選択し、 パスコードを入力してから、「データを消去」をタップしてオンにします。 パスコードの入力に 10 回失敗すると、iPod touch 上に保存されているデータを上書きすることで、 設定がデフォルトにリセットされ、iPod touch 上のすべての情報とメディアが取り除かれます。 重要：データが上書きされているときに、iPod touch は使用できません。この処理には、 iPod touch の記憶領域の容量によって異なりますが、1～ 4時間、またはそれ以上かかることがあ ります。 機能制限 iPod touch 上の一部のアプリケーションで使用される iPodコンテンツに制限を設定することができ ます。たとえば親の場合は、露骨な音楽がプレイリストで視聴されることを制限したり、YouTubeへ のアクセスを完全に無効にしたりできます。 92 第 8章 設定第 8章 設定 93 iTunes Storeから購入した音楽やビデオに含まれる露骨な内容（EXPLICIT）が隠されます。iTunes Storeから販売される露骨な内容には、コンテンツプロバイダがマーク（レコードレーベルなど）を付 けています。 「Safari」が無効になり、アイコンがホーム画面から削除されます。Webをブラウズしたり、Webクリッ プにアクセスすることができません。 YouTubeが無効になり、アイコンがホーム画面から削除されます。 iTunes Wi-Fi Music Storeが無効になり、アイコンがホーム画面から削除されます。コンテンツをプ レビュー、購入、およびダウンロードできません。 App Storeが無効になり、アイコンがホーム画面から削除されます。iPod touch にアプリケーション をインストールすることはできません。 機能制限を設定する： 1 「一般」＞「機能制限」と選択してから、「機能制限を設定」をタップします。 2 4桁のパスコードを入力します。 3 パスコードを再入力します。 4 各コントロールをタップしてオン／オフを切り替えることで、目的の機能制限を設定します。デフォルト では、すべてのコントロールがオンになっています（制限されていません）。特定の項目をオフにして 使用を制限するときは、その項目をタップします。 すべての機能制限をオフにする：「一般」＞「機能制限」と選択してから、パスコードを入力します。「機 能制限を解除」をタップして、パスコードを再入力します。 パスコードを忘れてしまった場合は、「iTunes」から iPod touchソフトウェアを復元する必要があり ます。109 ページの「iPod touchソフトウェアをアップデートする／復元する」を参照してください。 日付と時刻 日付と時刻の設定は、画面の上部に表示されるステータスバー、および世界時計とカレンダーに適用 されます。 iPod touch で 24時間表示、または 12時間表示のどちらを使用するか設定する：「一般」＞「日 付と時刻」を選択して、「24 時間表示」を入または切にします。（一部の国では利用できません。） 日付と時刻を設定する：「一般」＞「日付と時刻」と選択します。「時間帯」をタップして、その時間 帯に含まれる主要都市の名前を入力します。「日付と時刻」に戻るボタンをタップしてから、「日付と時 刻を設定」をタップして日付と時刻を入力します。 キーボード 自動修正の入／切を切り替える：「一般」＞「キーボード」と選択し、「自動修正」の入／切を切り 替えます。 デフォルトでは、選択した言語の既定のキーボードに辞書が内蔵されている場合、iPod touch は自 動的に修正候補を表示するか、入力に応じて文字を補完します。自動大文字入力のオン／オフを切り替える：「一般」＞「キーボード」と選択し、「自動大文字入力」 の入／切を切り替えます。 iPod touch では、文の終わりを示す句読点や改行文字を入力した後に入力した単語の先頭は、デフォ ルトで自動的に大文字に変換されるようになっています。 Caps Lockの入／切を切り替える：「一般」＞「キーボード」と選択して、「Caps Lockの使用」 の入／切を切り替えます。 Caps Lockを入にし、キーボードの Shift キーをダブルタップすると、入力する文字がすべて大文 字になります。Caps Lockが入のときは、Shiftキーが青色で表示されます。 ピリオドの簡易入力のオン／オフを切り替える：「一般」＞「キーボード」と選択し、「ピリオドの簡易 入力」の入／切を切り替えます。 ピリオドの簡易入力を入にすると、入力中にスペースバーをダブルタップすることで、ピリオドと空白を 入力できるようになります。この機能はデフォルトで入になっています。 ほかの言語のキーボードの入／切を切り替える：「一般」＞「キーボード」＞「各国のキーボード」 と選択して、使用したいキーボードを入にします。 複数のキーボードを入にした場合、入力中にキーボードを切り替えるには、 をタップします。タップ すると、アクティブになったキーボードの名前が少しの間表示されます。23 ページの「各国のキーボー ド」を参照してください。 言語環境 「言語環境」設定を使って、iPod touch で使用する言語、ほかの言語のキーボードの入／切、およ びお住まいの地域の日付、時刻、電話番号の書式を設定します。 iPod touch で使用する言語を設定する：「一般」＞「言語環境」＞「言語」と選択し、使用した い言語を選んで、「完了」をタップします。 ほかの言語のキーボードの入／切を切り替える：「一般」＞「言語環境」＞「キーボード」と選択し て、使用したいキーボードを入にします。 複数のキーボードを入にした場合、入力中にキーボードを切り替えるには、 をタップします。タップ すると、アクティブになったキーボードの名前が少しの間表示されます。23 ページの「各国のキーボー ド」を参照してください。 日付、時刻、および電話番号の書式を設定する：「一般」＞「言語環境」＞「地域に応じた書式」 と選択して、お住まいの地域を選びます。 iPod touch をリセットする すべての設定をリセットする：「一般」＞「リセット」と選択して、「すべての設定をリセット」をタッ プします。 すべての環境設定と設定がリセットされます。連絡先やカレンダーなどの情報および曲やビデオなどの メディアは削除されません。 すべてのコンテンツと設定を消去する： iPod touch をコンピュータまたは電源アダプタに接続します。 「一般」＞「リセット」と選択して、「すべてのコンテンツと設定を消去」をタップします。 この機能を実行すると、iPod touch 上に保存されているデータを上書きすることで、すべての設定が デフォルトにリセットされ、iPod touch 上のすべての情報とメディアが取り除かれます。 94 第 8章 設定第 8章 設定 95 重要：データが上書きされているときに、iPod touch は使用できません。この処理には、 iPod touch の記憶領域の容量によって異なりますが、1～ 4時間、またはそれ以上かかることがあ ります。 キーボード辞書をリセットする：「一般」＞「リセット」と選択して、「キーボード辞書をリセット」をタッ プします。 入力中に iPod touch に表示された入力候補を無視することで、単語がキーボード辞書に追加されま す。入力候補を無視して単語を辞書に追加するには、その単語をタップします。キーボード辞書をリセッ トすると、追加したすべての単語が消去されます。 ネットワーク設定をリセットする：「一般」＞「リセット」と選択して、「ネットワーク設定をリセット」をタッ プします。 ネットワーク設定をリセットすると、今までに使用したネットワークのリストとVPN設定が消去されます。 Wi-Fiがいったん切になり、接続していたネットワークから接続解除されてから、入に戻ります。Wi-Fi および「参加を確認」の設定は入のままです。 ホーム画面のレイアウトをリセットする：「一般」＞「リセット」と選択し、「ホーム画面レイアウトをリセッ ト」をタップします。 位置情報の警告をリセットする：「一般」＞「リセット」と選択して、「位置情報の警告をリセット」をタッ プします。 位置情報の警告とは、アプリケーション（「マップ」など）で「位置情報サービス」を利用するときに、 それらのアプリケーションによって行われる要求のことです。「OK」を 2回タップすると、iPod touch 上にアプリケーションの警告が表示されなくなります。警告を再開するときは、「位置情報の警告をリセッ ト」をタップします。 ミュージック 「ミュージック」設定は、曲、Podcast、およびオーディオブックに適用されます。 曲が同じサウンドレベルで再生されるように「iTunes」を設定する：「iTunes」で、「iTunes」＞「環 境設定」（Macの場合）、または「編集」＞「設定」（PCの場合）と選択し、「再生」をクリックし、「サ ウンドチェック」を選択します。 「iTunes」の音量設定（音量の自動調整）を使用するように iPod touch を設定する：「ミュージック」 を選択して、「音量の自動調整」を入にします。 オーディオブックを、時間を短縮して聞くために速度を普通より速めたり、はっきり聞き取れるように普 通より速度を遅く設定することができます。 オーディオブックの再生速度を設定する：「ミュージック」＞「オーディオブックの速度」と選択して、「遅 い」、「普通」、または「速い」を選びます。 特定のサウンドまたはスタイルに合うように、イコライザで iPod touch のサウンドを変更する：「ミュー ジック」＞「イコライザ」と選択して、設定を選びます。 音楽およびビデオの音量制限を設定する：「ミュージック」＞「音量制限」と選択し、スライダをドラッ グして最大音量を調節します。「音量制限をロック」をタップして、音量制限を変更できないように番号を設定することができます。 警告：聴覚の損傷を避けるための重要な情報については、www.apple.com/jp/support/ manuals/ipodtouchにある「この製品についての重要なお知らせ」を参照してください。 ビデオ レンタルムービーを含むビデオコンテンツには、ビデオ設定が適用されます。以前に途中まで見たビ デオを再度見るときの再生開始位置の設定、クローズドキャプションの入／切の切り替え、およびテレ ビでビデオを見るための iPod touch の設定ができます。 再生開始位置を設定する：「ビデオ」＞「再生開始」と選択して、以前に途中まで見たビデオを再度 見るときに最初から見るか続きから見るかを選びます。 クローズドキャプションの入／切を切り替える：「ビデオ」を選択し、「クローズドキャプション」の入 ／切を切り替えます。 テレビ出力 これらの設定を使って、iPod touch のビデオをテレビで見るときの設定を行います。iPod touch を 使ってテレビでビデオを見る方法について詳しくは、38ページの「ビデオをテレビで見る」を参照し てください。 ワイドスクリーンの入／切を切り替える：「ビデオ」を選択して、「ワイドスクリーン」の入／切を切り 替えます。 テレビ信号を NTSCまたは PALに設定する：「ビデオ」＞「テレビ信号」と選択して、「NTSC」ま たは「PAL」を選びます。 NTSCおよび PALは、テレビ放送の規格です。iPod touch は、コンポーネントケーブルを使ってテ レビに接続するときは NTSC 480p/PAL 576pで表示され、コンポジットケーブルを使用するときは NTSC 480i/PAL 576iで表示されます。お使いのテレビは、購入した地域によって、これらの規格の いずれかを使用しています。お使いのテレビで使用している規格が分からない場合は、テレビに付属 のマニュアルを確認してください。 写真 「写真」設定を使って、スライドショーで写真を表示する方法を指定します。 各スライドの表示時間を設定する：「写真」＞「各スライドの再生時間」と選択して、時間を選びます。 トランジションエフェクトを設定する：「写真」＞「トランジション」と選択して、トランジションエフェ クトを選びます。 スライドショーを繰り返し再生するかどうかを設定する：「写真」を選択して、「リピート」の入／切を 切り替えます。 写真をランダムに表示するか順番通り表示するかを設定する：「写真」を選択して、「シャッフル」の 入／切を切り替えます。 96 第 8章 設定第 8章 設定 97 メール、連絡先、カレンダー 「メール」、「連絡先」、「カレンダー」の設定を使用して、iPod touch のアカウントを設定およびカス タマイズします： Microsoft Exchange  MobileMe   Googleメール  Yahoo!メール AOL   その他の POPおよび IMAPメールシステム アカウント 「アカウント」セクションでは、iPod touch のアカウントを設定できます。表示される設定は、設定し ているアカウントの種類によって異なります。入力する必要のある情報については、ご利用のサービス プロバイダまたはシステム管理者に問い合わせてください。 アカウントの追加について詳しくは、10 ページの「アカウントを設定する」を参照してください。 アカウントの設定を変更する：「メール /連絡先 /カレンダー」を選択し、アカウントを選択してから、 必要な変更を行います。 アカウントの設定に変更を加えても、コンピュータには同期されません。つまり、コンピュータのアカウ ント設定に影響を与えずに、iPod touch のアカウントを構成できます。 アカウントの使用を停止する：「メール /連絡先 /カレンダー」を選択し、アカウントを選択してから、「ア カウント」をオフにします。 アカウントがオフになっている場合は、オンに戻すまでは、iPod touch にそのアカウントは表示されず、 そのアカウントからメールが送信されたり、そのアカウントからのメールがチェックされたり、ほかの情 報がそのアカウントと同期されることはありません。 詳細設定を調整する：「メール /連絡先 /カレンダー」を選択し、アカウントを選択してから、次のい ずれかの操作を行います：  下書き、送信済みメッセージ、および削除済みメッセージを iPod touch に保存するか、またはメー ルサーバにリモート保存するか（IMAPアカウントのみ）を設定するには、「詳細」をタップしてから、 「下書きメールボックス」、「送信済メールボックス」、または「削除済メールボックス」を選択します。 メッセージを iPod touch に保存する場合は、iPod touch がインターネットに接続されていない ときでもメッセージを表示できます。  iPod touch の「メール」からメッセージを完全に削除するまでの時間を設定するには、「詳細」をタッ プし、「削除」をタップしてから、「しない」、「1日後」、「1週間後」、または「1ケ月後」のいず れかを選択します。  メールサーバ設定を調整するには、「受信メールサーバ」または「送信メールサーバ」の下の「ホ スト名」、「ユーザ名」、または「パスワード」をタップします。正しい設定については、ネットワー ク管理者またはインターネット・サービス・プロバイダに問い合わせてください。 SSLとパスワードの設定を調整するには、「詳細」をタップします。正しい設定については、ネットワー ク管理者またはインターネット・サービス・プロバイダに問い合わせてください。 アカウントを iPod touch から削除する：「メール /連絡先 /カレンダー」を選択し、アカウントを選 択してから、下方向にスクロールして「アカウントを削除」をタップします。 アカウントを削除すると、それ以降は iPod touch からそのアカウントにアクセスできなくなります。 そのアカウントに同期されているすべてのメール、および連絡先、カレンダー、ブックマークの情報は、 iPod touch から削除されます。ただし、アカウントを削除しても、そのアカウントまたはアカウントに 関連付けられている情報はコンピュータから削除されません。 メール 「メール」設定は、特に説明がある場合を除いて、iPod touch 上に設定したすべてのアカウントに適 用されます。 新しいメールが届いたことまたはメールが送信されたことを通知する音の入／切を切り替えるには、 「一般」＞「サウンド」の設定を使用します。 iPod touch に表示するメッセージの数を設定する：「メール /連絡先 /カレンダー」＞「表示」と 選択してから、設定を選択します。 最新の 25、50、75、100、または 200件のメッセージを表示することを選択します。「メール」でそ れ以上のメッセージをダウンロードするときは、受信ボックスの一番下までスクロールし、「さらにメッ セージを読み込む」をタップします。 参考：Microsoft Exchangeアカウントの場合は、「メール /連絡先 /カレンダー」を選択し、 Exchangeアカウントを選択します。「同期するメール日付」をタップし、サーバと同期したいメール の日数を選択します。 メッセージリストのプレビューに表示するメッセージ行数を設定する：「メール /連絡先 /カレンダー」 ＞「プレビュー」と選択してから、設定を選択します。 最大でメッセージの 5行を表示することを選択できます。このように設定すれば、メールボックスのメッ セージリストをスキャンして各メッセージの概要を知ることができます。 メッセージの最小フォントサイズを設定する：「メール /連絡先 /カレンダー」＞「最小フォントサイズ」 と選択してから、「小」、「中」、「大」、「特大」、または「巨大」を選択します。 iPod touch のメッセージリストに宛先／ Ccラベルを表示するかどうかを設定する：「メール /連絡 先 /カレンダー」を選択してから、「宛先 /Ccラベルを表示」の入／切を切り替えます。 「宛先 /Ccラベルを表示」が入になっている場合は、リストの各メッセージの横にある To または Cc を見れば、自分に直接送信されたメッセージなのかまたはコピーを受信したのかが分かります。 メッセージを削除するかどうかを確認するように iPod touch を設定する：「メール /連絡先 /カレン ダー」を選択して、「削除前に確認」の入／切を切り替えます。 「削除前に確認」が入になっている場合は、メッセージを削除するときに、 をタップしてから「削除」 をタップして削除を確認する必要があります。 送信するすべてのメッセージのコピーを自分宛に送信するように iPod touch を設定する：「メール / 連絡先 /カレンダー」を選択してから、「常に Bccに自分を含める」の入／切を切り替えます。 98 第 8章 設定第 8章 設定 99 デフォルトのメールアカウントを設定する：「メール /連絡先 /カレンダー」＞「デフォルトアカウント」 と選択してから、アカウントを選択します。 この設定によって、別の iPod touch アプリケーションからメッセージを作成するとき（「写真」から写 真を送信する、「マップ」で店舗・企業のメールアドレスをタップするなど）に、どのアカウントからメッ セージが送信されるかが決まります。別のアカウントからメッセージを送信するときは、メッセージの「差 出人」フィールドをタップして、別のアカウントを選びます。 メッセージに署名を追加する：「メール /連絡先 /カレンダー」＞「署名」と選択してから、署名を 入力します。 よく使う引用句、自分の名前、役職、電話番号などの署名を、iPod touch から送信するすべてのメッ セージの下部に追加するように設定できます。 連絡先 連絡先の並べ替え方法を設定する：「メール /連絡先 /カレンダー」を選択してから、「連絡先」の下 にある「並べ替え順序」をタップして、次のいずれかの操作を行います：  名で並べ替えるときは、「名 , 姓」をタップします。  姓で並べ替えるときは、「姓 , 名」をタップします。 連絡先の表示方法を設定する：「メール /連絡先 /カレンダー」を選択してから、「連絡先」の下に ある「表示順序」をタップして、次のいずれかの操作を行います：  名を最初に表示するときは、「名 , 姓」をタップします。  姓を最初に表示するときは、「姓 , 名」をタップします。 カレンダー 会議の参加依頼を受け取ったときに通知音が鳴るように設定する：「メール /連絡先 /カレンダー」を 選択して、「カレンダー」の下にある「新規参加依頼の通知音」をタップしてオンにします。 iPod touch にどれくらい過去にさかのぼってカレンダーイベントを表示するかを設定する：「メール /連絡先 /カレンダー」＞「同期」と選択してから、期間を選択します。 「カレンダー」の時間帯サポートを入にする：「メール /連絡先 /カレンダー」＞「時間帯サポート」 と選択してから、「時間帯サポート」を入にします。カレンダーの時間帯を選択するには、「時間帯」をタッ プして主要都市の名前を入力します。 「時間帯サポート」が入のときは、カレンダーのイベントの日付と時刻が、選択した都市の時間帯で表 示されます。「時間帯サポート」が切のときは、カレンダーのイベントが、ネットワーク時間合わせで 決定される現在の場所の時間帯で表示されます。 重要：旅行中は、正しい現地時間に iPod touch のイベントが表示されなかったり、通知音が鳴らな かったりする場合があります。手動で正しい時刻を設定するときは、93 ページの「日付と時刻」を参 照してください。Safari 「Safari」設定では、インターネット検索エンジンを選択したり、セキュリティオプションを設定したり、 デベロッパの場合はデバッグをオンにしたりできます。 一般 インターネット検索を行うときは、Googleまたは Yahoo!を利用できます。 検索エンジンを選択する：「Safari」＞「検索エンジン」と選択し、使用したい検索エンジンを選びます。 セキュリティ 「Safari」では、ムービー、アニメーション、Webアプリケーションなどの Web 機能を表示できるように、 デフォルトで設定されています。インターネットで起こり得るセキュリティ上の危険から iPod touch を 守るために、これらの機能の一部を切にすることができます。 セキュリティ設定を変更する：「Safari」を選択して、次のいずれかを実行します：  JavaScriptを有効または無効にするには、「JavaScript」の入／切を切り替えます。 Web ページの作成者は、JavaScriptを使ってページの要素を操作できます。たとえば、 JavaScriptを使って、現在の日付と時刻を表示したり、リンク先のページを新しいポップアップペー ジとして表示したりできます。  プラグインを有効または無効にするには、「プラグイン」の入／切を切り替えます。プラグインを使うと、 「Safari」で特定のタイプのオーディオファイルやビデオファイルを再生したり、Microsoft Word ファイルや Microsoft Excel 書類を表示したりできるようになります。  ポップアップをブロックまたは許可するには、「ポップアップブロック」の入／切を切り替えます。ポッ プアップブロックでは、ページを閉じるときまたはアドレスを入力してページを開いたときに表示さ れるポップアップだけがブロックされます。リンクをタップしたときに表示されるポップアップはブロッ クされません。  「Safari」が Cookieを受け入れるかどうかを設定するには、「Cookieを受け入れる」をタップして、 「しない」、「訪問先のみ」、または「常に」を選びます。 Cookieは、同じ訪問者がアクセスしてきたときに Webサイト側でその訪問者を見分けられるよう にするために、Webサイトが iPod touch 内に保存する小さい情報です。これにより、訪問者が 設定した情報などに基づいて、訪問者に合わせてWeb ページをカスタマイズできるようになります。 ページによっては、Cookieを受け入れるように iPod touch を設定しないと、正しく機能しないこ とがあります。  訪問した Web ページの履歴を消去するには、「履歴を消去」をタップします。  「Safari」からすべての Cookieを消去するには、「Cookieを消去」をタップします。  ブラウザのキャッシュを消去するには、「キャッシュを消去」をタップします。 ブラウザのキャッシュには、同じページにアクセスしたときにページをよりすばやく表示できるよう にするために、ページの内容が保存されます。開いたページに新しい内容が表示されない場合は、 キャッシュを消去すると解決できることがあります。 100 第 8章 設定第 8章 設定 101 デベロッパ 「デバッグコンソール」を使うと、Web ページのエラーを解決するのに役立ちます。入の場合は、 Web ページのエラーが起きたときにコンソールが自動的に表示されます。 デバッグコンソールの入／切を切り替える：「Safari」＞「デベロッパ」と選択し、「デバッグコンソー ル」の入／切を切り替えます。 Nike + iPod Nike + iPodセンサー（別売）を有効にして設定を調整するときは、「Nike + iPod」設定を使用します。 Nike + iPodは、第 1世代の iPod touchでは使用できません。Nike + iPodを有効にして使用す るための手順については、Nike + iPodの製品ドキュメントを参照してください。 Nike + iPodのオン／オフを切り替える：「Nike + iPod」を選択して、Nike + iPodのオン／オフ を切り替えます。Nike + iPodがオンのときは、そのアイコンがホーム画面に表示されます。 Power Songを選択する：「Nike + iPod」＞「Power Song」と選択して、音楽ライブラリから 曲を選びます。 音声フィードバックのオン／オフを切り替える：「Nike + iPod」＞「音声フィードバック」と選択して、 ワークアウト中に聞こえる声を「男性」または「女性」から選択するか、または「オフ」を選択して 音声フィードバックをオフにします。 距離の環境設定を設定する：「Nike + iPod」＞「距離」と選択し、ワークアウトの距離を測定する ための単位を「マイル」または「キロメートル」から選択します。 体重の環境設定を設定する：「Nike + iPod」＞「体重」と選択してから、フリックして体重を入力します。 画面の向きを設定する：「Nike + iPod」＞「画面をロック」と選択して、画面の向きの環境設定を 選択します。 Nike + iPodセンサーを有効にする：「Nike + iPod」＞「センサー」と選択して、画面の指示に従っ てセンサー（別売）を有効にします。102 一般 バッテリー残量が少ないことを示すイメージが表示される iPod touch のバッテリー残量が少なくなっていて、使用できるようになるまでに 10 分以上充電する 必要があります。iPod touch の充電方法については、26ページの「バッテリーを充電する」を参照 してください。 または iPod touch が応答しない  iPod touch のバッテリー残量が少なくなっている可能性があります。iPod touch をコンピュータ または付属の電源アダプタに接続して充電してください。26ページの「バッテリーを充電する」を 参照してください。  画面の下にあるホーム ボタンを、使用していたアプリケーションが終了するまで 6秒以上押し続 けます。  上記の方法で解決しない場合は、iPod touch の電源を切って、もう一度入れます。iPod touch の上部にあるスリープ／スリープ解除ボタンを数秒間、赤いスライダが表示されるまで押し続けてか ら、スライダをドラッグします。それから、スリープ／スリープ解除ボタンを Appleロゴが表示され るまで押し続けます。  上記の方法で解決しない場合は、iPod touch をリセットします。スリープ／スリープ解除ボタンと ホーム ボタンを、Appleロゴが表示されるまで 10 秒以上押し続けます。 付 A 録 トラブルシューティング付録 A トラブルシューティング 103 iPod touch がリセット後も応答しない  iPod touch の設定をリセットします。ホーム画面から、「設定」＞「一般」＞「リセット」＞「す べての設定をリセット」と選択します。すべての環境設定がリセットされます。データおよびメディア は削除されません。  上記の方法で解決しない場合は、iPod touch 上のすべてのコンテンツを消去します。94ページの 「iPod touch をリセットする」を参照してください。  上記の方法で解決しない場合は、iPod touchソフトウェアを復元します。109 ページの 「iPod touchソフトウェアをアップデートする／復元する」を参照してください。 「このアクセサリは iPod touch に対応していません」と表示される 接続したアクセサリが iPod touch で動作しない可能性があります。Dockコネクタにゴミなどが詰まっ ていないことを確認します。 「iTunesに接続」画面が表示される iPod touch を「iTunes」に登録する必要があります。iPod touch をコンピュータに接続し、「iTunes」 が自動的に開かない場合は開きます。 iTunesと同期 iPod touch が「iTunes」に表示されない  iPod touch のバッテリーの再充電が必要な場合もあります。iPod touch の充電方法については、 26ページの「バッテリーを充電する」を参照してください。  お使いのコンピュータからほかの USB装置を取り外し、iPod touch をコンピュータ（キーボード ではありません）の別の USB 2.0ポートに接続します。  コンピュータを再起動し、iPod touch をコンピュータに接続し直します。  www.apple.com/jp/itunesから最新バージョンの「iTunes」をダウンロードしてインストール（ま たは再インストール）します。 同期されない  iPod touch のバッテリーの再充電が必要な場合もあります。iPod touch の充電方法については、 26ページの「バッテリーを充電する」を参照してください。  お使いのコンピュータからほかの USB装置を取り外し、iPod touch をコンピュータ（キーボード ではありません）の別の USB 2.0ポートに接続します。  コンピュータを再起動し、iPod touch をコンピュータに接続し直します。  プッシュアカウントの場合は、インターネットに接続された Wi-Fiネットワークに iPod touch が接 続されていることを確認してください。26ページの「インターネットに接続する」を参照してください。  www.apple.com/jp/itunesから最新バージョンの「iTunes」をダウンロードしてインストール（ま たは再インストール）します。104 付録 A トラブルシューティング 連絡先、カレンダー、またはブックマークが同期されない  www.apple.com/jp/itunesから最新バージョンの「iTunes」をダウンロードしてインストール（ま たは再インストール）します。  プッシュアカウントの場合は、インターネットに接続された Wi-Fiネットワークに iPod touch が接 続されていることを確認してください。26ページの「インターネットに接続する」を参照してください。  iPod touch で MobileMeまたは Microsoft Exchangeアカウントを設定した場合、 iPod touch の「情報」環境設定パネルで同期するように設定した連絡先、カレンダー、またはブッ クマークは、「iTunes」では同期されません。「iTunes」で同期したい項目は、MobileMeまた は Exchangeアカウントで無効にする必要があります。「設定」で、「メール /連絡先 /カレンダー」 をタップし、MobileMeまたは Exchangeアカウントをタップして、「iTunes」で同期したい項目 の選択を解除します。MobileMeアカウントとExchangeアカウントの両方を持っている場合は、 両方のアカウントでそれらの項目の選択を解除する必要があります。 参考：MobileMeまたは Exchangeアカウントで「連絡先」または「カレンダー」の選択を解除 すると、それらの連絡先またはカレンダー情報は iPod touch からアクセスできなくなります。 iPod touch 上の情報をコンピュータに同期したくない iPod touch 上の連絡先、カレンダー、メールアカウント、またはブックマークをコンピュータからの 情報に置き換えます。 iPod touch の情報を置き換える： 1 「iTunes」を開きます。 2 コマンド＋ Optionキー（Macの場合）または Shift ＋ Ctrlキー（PCの場合）を押したまま iPod touch をコンピュータに接続し、「iTunes」のサイドバーに iPod touch が表示されるまでその ままにします。これによって、iPod touch の自動同期を避けることができます。 3 「iTunes」のサイドバーで iPod touch を選択し、「情報」タブをクリックします。 4 「この iPod touch 上で置き換わる情報」で、「アドレスデータ」、「カレンダー」、「Mailアカウント」、 または「ブックマーク」を選択します。必要に応じて、複数の項目を選択できます。 5 「適用」をクリックします。 選択した種類の情報が iPod touch から削除され、コンピュータ上の情報に置き換わります。次回同 期するときは、iPod touch は通常通りに同期され、iPod touch で入力した情報がコンピュータに追 加され、逆方向にも同様に同期されます。 Yahoo!アドレスブックまたは Google連絡先リストが同期されない 「iTunes」からYahoo!または Googleに接続できない可能性があります。インターネットに接続さ れた Wi-Fiネットワークに iPod touch が接続されていることを確認してください。インターネットに 接続されていること、および「iTunes」で入力した IDとパスワードが正しいことを確認してください。 iPod touch をコンピュータに接続し、「iTunes」で「情報」タブをクリックして、「アドレスデータ」 セクションの「設定」をクリックしてから、現在の IDとパスワードを入力します。付録 A トラブルシューティング 105 iPod touch から削除した連絡先が Yahoo!アドレスブックに残っている 「Yahoo!アドレスブック」では、メッセンジャー IDが含まれる連絡先を同期操作で削除することはでき ません。メッセンジャー IDが含まれる連絡先を削除するには、Yahoo!アカウントにオンラインでログ インし、「Yahoo!アドレスブック」を使って連絡先を削除してください。 サウンド、音楽、およびビデオ 音が聞こえない  ヘッドセットを取り外して、もう一度接続します。コネクタがしっかりと差し込まれていることを確認 します。  音量が一番下まで下がっていないことを確認します。  iPod touch で音楽が一時停止されている可能性があります。ホーム画面で「ミュージック」をタッ プし、「再生中」をタップしてから、 をタップします。  音量制限が設定されていないかどうかを確認します。ホーム画面から、「設定」＞「iPod」＞「音 量制限」と選択します。詳しくは、95ページの「ミュージック」を参照してください。  最新バージョンの「iTunes」を使用していることを確認します（www.apple.com/jp/itunesに アクセスしてください）。  オプションの Dockのライン出力ポートを使用している場合は、外部スピーカーまたはステレオ装 置の電源が入っており、正常に動作していることを確認します。 曲、ビデオ、その他の項目が再生されない iPod touch が対応していない形式で曲がエンコードされている可能性があります。iPod touch は 次のオーディオファイルの形式に対応しています。これらはオーディオブックおよび Podcast用の形式 を含みます：  AAC（M4A、M4B、M4P、最大 320 kbps）  Appleロスレス（高品質の圧縮形式）  MP3（最大 320 kbps）  MP3可変ビットレート（VBR）  WAV  AA（audible.com の format 2、3、および 4の朗読ファイル）  AAX（audible.com Spoken Word、AudibleEnhancedフォーマット） AIFF  iPod touch は次のビデオファイルの形式に対応しています：  H.264（ベースラインプロファイル・レベル 3.0）  MPEG-4（シンプルプロファイル）106 付録 A トラブルシューティング Appleロスレス形式を使ってエンコードした曲のサウンド品質は CDと同等ですが、使用する容量は AIFF形式または WAV 形式を使ってエンコードした曲の約半分で済みます。AAC形式または MP3形 式でエンコードした場合は、さらに少ない容量で済みます。「iTunes」を使用してCDから音楽を読 み込む場合、デフォルトで AAC形式に変換されます。 Windowsで「iTunes」を使用する場合は、保護されていない WMAファイルを AAC形式または MP3形式に変換できます。これは、WMA形式でエンコードされた音楽のライブラリがある場合に便 利です。 iPod touch は、WMA、MPEG Layer 1、MPEG Layer 2のオーディオファイル、または audible. com のフォーマット1には対応していません。 iTunesライブラリに iPod touch が対応していない曲やビデオがある場合は、iPod touch が対応し ている形式に変換できます。詳しくは、「iTunesヘルプ」を参照してください。 iTunes Store iTunes Wi-Fi Music Storeが利用できない iTunes Wi-Fi Music Storeで曲やアルバムを購入するには、インターネットに接続された Wi-Fiネッ トワークに iPod touch が接続されている必要があります。26ページの「インターネットに接続する」 を参照してください。iTunes Wi-Fi Music Storeは、一部の国のみで利用できます。 音楽またはアプリケーションを購入できない iTunes Wi-Fi Music StoreまたはApp Storeを使用するには、インターネットに接続されたWi-Fiネッ トワークに iPod touch が接続されている必要があります。26ページの「インターネットに接続する」 を参照してください。 iTunes Wi-Fi Music Store（一部の国のみで利用できます）から曲を購入するとき、または App Storeからアプリケーションを購入するときは、iTunes Storeアカウントが必要です。お使いのコン ピュータで「iTunes」を開き、「Store」＞「アカウントを作成」と選択します。 Safari、メール、および連絡先 メールの添付ファイルが開かない 対応していないファイルタイプである可能性があります。iPod touch は、次のメール添付ファイル フォーマットに対応しています： .doc Microsoft Word .docx Microsoft Word（XML） .htm Web ページ .html Web ページ付録 A トラブルシューティング 107 .key Keynote .numbers Numbers .pages Pages .pdf プレビュー、Adobe Acrobat .ppt Microsoft PowerPoint .pptx Microsoft PowerPoint（XML） .txt テキスト .vcf 連絡先情報 .xls Microsoft Excel .xlsx Microsoft Excel（XML） メールが配信されない（ポート25タイムアウト） いずれかのメールアカウントの送信用メールサーバのポート設定を変更する必要がある可能性があり ます。詳しくは、www.apple.com/jp/support/ipodtouchにアクセスし、「iPod touch でメール を受信できるのに送信できない」で検索してください。 GALの連絡先が表示されない インターネットに接続された Wi-Fiネットワークに iPod touch が接続されていることを確認してくだ さい。Microsoft Exchangeの設定で、正しいサーバにアクセスしていることを確認します。「設定」で、 「メール /連絡先 /カレンダー」をタップし、設定を表示するアカウントを選択します。 「連絡先」で GALの連絡先を検索しようとしている場合は、「グループ」をタップし、リストの一番下 にある「ディレクトリ」をタップします。 iPod touch のバックアップを作成する 「iTunes」では、iPod touch 上の設定、ダウンロードしたアプリケーションとデータ、およびその他 の情報のバックアップが作成されます。バックアップを使用して、iPod touchソフトウェアの復元後に これらの項目を復元したり、情報を別の iPod touch に転送したりできます。 iPod touch のバックアップ作成またはバックアップからの復元は、コンテンツおよびその他の項目 （「iTunes」を使ってダウンロードした音楽、Podcast、着信音、写真、ビデオ、およびアプリケー ションなど）を iTunesライブラリと同期する操作とは異なります。バックアップには、iPod touch に 保存されている設定、ダウンロードしたアプリケーションとデータ、およびその他の情報が含まれます。 「iTunes」を使用してこれらの項目をバックアップから復元できますが、iTunesライブラリのコンテン ツの再同期も必要になることがあります。 App Storeからダウンロードしたアプリケーションは、次回「iTunes」に同期するときにバックアップ が作成されます。それ以降は、「iTunes」に同期するときにアプリケーションデータのバックアップだ けが作成されます。108 付録 A トラブルシューティング バックアップを作成する 次の方法でバックアップを作成できます：  特定のコンピュータと同期するように iPod touch を構成した場合は、「iTunes」によって、同期 の際に自動的にそのコンピュータ上に iPod touch のバックアップが作成されます。そのコンピュー タと同期するように構成されていない iPod touch のバックアップは、自動的には作成されません。 特定のコンピュータ上の「iTunes」と自動的に同期するように iPod touch を構成した場合は、 そのコンピュータに iPod touch を接続するたびにバックアップが作成されます。自動同期はデフォ ルトで有効になります。「iTunes」では、接続の解除中に同期を複数回実行した場合でも、1回の 接続につきバックアップは 1つしか作成されません。  iPod touch のソフトウェアをアップデートする場合は、そのコンピュータの「iTunes」と同期する ように iPod touch が構成されていないときでも、「iTunes」によって自動的にバックアップが作 成されます。  iPod touch のソフトウェアを復元する場合は、復元前に iPod touch のバックアップを作成するか どうかを尋ねられます。 バックアップから復元する 設定、ダウンロードしたアプリケーション、およびその他の情報をバックアップから復元できます。また、 この機能を利用して、これらの項目を別の iPod touch に転送することもできます。 バックアップから iPod touch を復元する： 1 普段同期しているコンピュータに iPod touch を接続します。 2 「iTunes」のサイドバーで iPod touch を選択して、「概要」タブをクリックします。 3 iPod touchソフトウェアを再インストールし、デフォルト設定を復元して、iPod touch に保存 されているデータを削除するには、「復元」をクリックします。「iTunes」を使用している場合は、 iPod touch に保存されているデータを削除せずにバックアップから復元することもできます。 削除されたデータは、iPod touch のユーザインターフェイスからはアクセスできなくなりますが、新 しいデータによって上書きされるまで、iPod touch から完全には消去されません。すべてのコンテン ツおよび設定を完全に消去する方法については、94ページの「iPod touch をリセットする」を参照 してください。 指示に従って、設定、ダウンロードしたアプリケーション、およびその他の情報をバックアップから復元 するためのオプションを選択し、使用したいバックアップを選択します。複数のバックアップが装置ごと に、新しい順に表示されます。最も新しい装置がリストの最初に表示されます。 バックアップを取り除く 「iTunes」では、iPod touch のバックアップのリストからバックアップを取り除くことができます。こ れは、ほかの人のコンピュータにバックアップが作成されてしまった場合などに便利です。 バックアップを取り除く： 1 「iTunes」で、「iTunes」の環境設定を開きます。  Windows：「編集」＞「設定」と選択します。  Mac：「iTunes」＞「環境設定」と選択します。付録 A トラブルシューティング 109 2 「デバイス」をクリックします（iPod touch を接続する必要はありません）。 3 取り除きたいバックアップを選択して、「バックアップを削除」をクリックします。 4 選択したバックアップを取り除いてよいかどうかを確認するメッセージが表示されたら、「バックアップ を削除」をクリックします。 5 「OK」をクリックして、「iTunes」の「環境設定」ウインドウを閉じます。 バックアップ、およびバックアップに保存される設定と情報について詳しくは、support.apple.com/ kb/HT1766?viewlocale=ja_JPを参照してください。 iPod touchソフトウェアをアップデートする／復元する 「iTunes」を使用して、iPod touchソフトウェアをアップデートまたは再インストールし、デフォルト 設定を復元して、iPod touch 上のすべてのデータを削除することができます。  アップデートを行う場合は、iPod touchソフトウェアがアップデートされますが、ダウンロードした アプリケーション、設定、および曲には影響しません。  復元を行う場合は、最新バージョンの iPod touchソフトウェアが再インストールされ、デフォルト 設定が復元されて、iPod touch に保存されたデータ（ダウンロードしたアプリケーション、曲、ビ デオ、連絡先、写真、カレンダー情報など）が削除されます。「iTunes」を使用している場合は、 iPod touch に保存されているデータを削除せずにバックアップから復元することもできます。 削除されたデータは、iPod touch のユーザインターフェイスからはアクセスできなくなりますが、新 しいデータによって上書きされるまで、iPod touch から完全には消去されません。すべてのコンテン ツおよび設定を完全に消去する方法については、94ページの「iPod touch をリセットする」を参照 してください。 iPod touch をアップデートまたは復元する： 1 お使いのコンピュータがインターネットに接続されていること、および最新バージョンの「iTunes」 （www.apple.com/jp/itunesからダウンロードできます）がインストールされていることを確認し ます。 2 iPod touch をコンピュータに接続します。 3 「iTunes」のサイドバーで iPod touch を選択し、「概要」タブをクリックします。 4 「アップデートを確認」をクリックします。新しいバージョンの iPod touchソフトウェアを入手できる 場合は、そのことを知らせるメッセージが表示されます。 5 「アップデート」（Mac OS Xの場合）または「更新」（Windowsの場合）をクリックして、最新バージョ ンのソフトウェアをインストールします。または、「復元」をクリックして、復元を行います。画面の説 明に従って復元操作を完了します。 iPod touchソフトウェアのアップデートと復元について詳しくは、support.apple.com/kb/ HT1414?viewlocale=ja_JPを参照してください。110 付録 A トラブルシューティング iPod touch のユーザ補助機能 次の機能は、操作が困難な場合に iPod touch を使いやすくするために役立ちます。 クローズドキャプション 使用できる場合は、ビデオのクローズドキャプションを入にできます。96 ページの「ビデオ」を参照し てください。 メールメッセージの最小フォントサイズ メールメッセージのテキストを読みやすくするときは、最小フォントサイズを「大」、「特大」、または「巨 大」に設定します。98ページの「メール」を参照してください。 拡大 Web ページ、写真、および地図をダブルタップするかピンチして拡大します。22ページの「拡大／ 縮小する」を参照してください。 Mac OS X のユニバーサルアクセス 「iTunes」を使って iPod touch に「iTunes」の情報や iTunesライブラリのコンテンツを同期する ときに、Mac OS Xのユニバーサルアクセス機能を利用します。「Finder」で、「ヘルプ」＞「Mac ヘルプ」と選択して、「ユニバーサルアクセス」を検索してください。 iPod touchとMac OS Xのユーザ補助機能について詳しくは、www.apple.com/jp/ accessibilityを参照してください。111 安全性、ソフトウェア、およびサービスに関する情報 次の表に、iPod touch の安全性、ソフトウェア、およびサービスに関する詳しい情報の参照先を示し ます。 知りたい内容 手順 iPod touch を安全に使用する 安全性と法規制の順守に関する最新情報については、 www.apple.com/jp/support/manuals/ipodtouch にある「この製品についての重要なお知らせ」を参照して ください。 iPod touch のサービスとサポート情報、使いかたの ヒント、フォーラム、およびアップルのソフトウェアダウン ロード www.apple.com/jp/support/ipodtouchを参照して ください。 iPod touch の最新情報 www.apple.com/jp/ipodtouchを参照してください。 「iTunes」を使用する 「iTunes」を開いて「ヘルプ」＞「iTunesヘルプ」と選 択します。「iTunes」のオンラインチュートリアル（一部 の地域でのみ利用可能です）については、www.apple. com/jp/support/itunesにアクセスしてください。 MobileMe www.me.comにアクセスしてください。 Mac OS Xで「iPhoto」を使用する 「iPhoto」を開き、「ヘルプ」＞「iPhotoヘルプ」と選 択します。 Mac OS Xで「アドレスブック」を使用する 「アドレスブック」を開き、「ヘルプ」＞「アドレスブックヘ ルプ」と選択します。 Mac OS Xで「iCal」を使用する 「iCal」を開き、「ヘルプ」＞「iCal ヘルプ」と選択します。 「Microsoft Outlook」、「Windowsアドレス帳」、 「Adobe Photoshop Album」、および「Adobe Photoshop Elements」 各アプリケーションに付属のマニュアルを参照してくだ さい。 付 B 録 その他の参考資料112 付録 B その他の参考資料 知りたい内容 手順 保証サービスを受ける まず、このガイドおよびオンライン参考情報に記載さ れている指示に従います。次に、www.apple.com/ jp/supportを参照するか、www.apple.com/jp/ support/manuals/ipodtouchにある「この製品につ いての重要なお知らせ」を参照してください。 バッテリー交換サービス www.apple.com/jp/support/ipod/service/battery を参照してください。 iPod touch をエンタープライズ環境で使用する www.apple.com/jp/iphone/enterpriseを参照してく ださい。 iPod touch 用ユーザガイド iPod touch 上で表示するために最適化された「iPod touch ユーザガイド」は、help.apple.com/ ipodtouchから入手できます。 iPod touch 上でガイドを見る：「Safari」で、 をタップしてから、「iPod touch ユーザガイド」ブッ クマークをタップします。 ガイドの Webクリップをホーム画面に追加する： ガイドを表示しているときに、 をタップしてから、 「ホーム画面に追加」をタップします。 廃棄とリサイクルに関する情報 お使いの iPodを廃棄する際は、地域法および条例に従って適切に処分してください。この製品には バッテリーが内蔵されているため、家庭廃棄物とは分けて廃棄する必要があります。お使いの iPodが 製品寿命に達した場合は、リサイクルの方法についてアップルまたは地方自治体にお問い合わせくだ さい。 アップルのリサイクルプログラムについては、次の Webサイトを参照してください：www.apple. com/jp/environment/recycling Deutschland: Dieses Gerät enthält Batterien. Bitte nicht in den Hausmüll werfen. Entsorgen Sie dieses Gerätes am Ende seines Lebenszyklus entsprechend der maßgeblichen gesetzlichen Regelungen. Nederlands: Gebruikte batterijen kunnen worden ingeleverd bij de chemokar of in een speciale batterijcontainer voor klein chemisch afval (kca) worden gedeponeerd. Taiwan:付録 B その他の参考資料 113 バッテリーの交換： iPod touch 内の充電式バッテリーの交換は、必ず正規サービスプロバイダに依頼してください。バッ テリー交換サービスについては、www.apple.com/jp/support/ipod/service/batteryを参照し てください European Union̶Disposal Information: This symbol means that according to local laws and regulations your product should be disposed of separately from household waste. When this product reaches its end of life, take it to a collection point designated by local authorities. Some collection points accept products for free. The separate collection and recycling of your product at the time of disposal will help conserve natural resources and ensure that it is recycled in a manner that protects human health and the environment. 環境向上への取り組み アップルでは、事業活動および製品が環境に与える影響をできる限り小さくするよう取り組んでいます。 詳しくは、www.apple.com/jp/environmentを参照してくださいK © 2008 Apple Inc. All rights reserved. Apple、Appleロゴ、Cover Flow、FireWire、iCal、iPhoto、 iPod、iTunes、Keynote、Mac、Macintosh、Mac OS、 Numbers、Pages、および Safariは、米国その他の国で登録さ れた Apple Inc.の商標です。 AirMac、Finder、Multi-Touch、および Shuπeは、Apple Inc.の商標です。商標「iPhone」は、アイホン株式会社の許諾 を受けて使用しています iTunes Storeは、米国その他の国で登録された Apple Inc.の サービスマークです。 MobileMeは、Apple Inc.のサービスマークです。 NIKEおよび Swoosh Designは、NIKE, Inc.およびその系列会 社の商標です。商標の使用は実施権に基づいています。Nike + iPod Sport Kitは、単独で使用するときにも Nike + iPod対応 の iPodメディアプレーヤーと一緒に使用するときにも、米国特許 番号 6,018,705、6,052,654、6,493,652、6,298,314、6,611,789、 6,876,947、および 6,882,955 の 1つ以上の特許によって保護さ れています。 Adobeおよび Photoshopは、米国その他の国における Adobe Systems Incorporatedの商標または登録商標です。 本書に記載のその他の社名、商品名は、各社の商標または登録 商標である場合があります。 本書に記載の他社商品名は参考を目的としたものであり、それら の製品の使用を強制あるいは推奨するものではありません。また、 Apple Inc.は他社製品の性能または使用につきましては一切の 責任を負いません。すべての同意、契約、および保証は、ベンダー と将来のユーザとの間で直接行われるものとします。本書には正 確な情報を記載するように努めました。ただし、誤植や制作上の 誤記がないことを保証するものではありません。 米国特許 番号 4,631,603、4,577,216、4,819,098および 4,907,093における装置クレームは限られた範囲での視聴目的に 限り使用許諾されています。 J019-1378/2008-11 Mac OS X Server Administrator’s Guide 034-9285.S4AdminPDF 6/27/02 2:07 PM Page 1K Apple Computer, Inc. © 2002 Apple Computer, Inc. All rights reserved. Under the copyright laws, this publication may not be copied, in whole or in part, without the written consent of Apple. The Apple logo is a trademark of Apple Computer, Inc., registered in the U.S. and other countries. Use of the “keyboard” Apple logo (Option-Shift-K) for commercial purposes without the prior written consent of Apple may constitute trademark infringement and unfair competition in violation of federal and state laws. Apple, the Apple logo, AppleScript, AppleShare, AppleTalk, ColorSync, FireWire, Keychain, Mac, Macintosh, Power Macintosh, QuickTime, Sherlock, and WebObjects are trademarks of Apple Computer, Inc., registered in the U.S. and other countries. AirPort, Extensions Manager, Finder, iMac, and Power Mac are trademarks of Apple Computer, Inc. Adobe and PostScript are trademarks of Adobe Systems Incorporated. Java and all Java-based trademarks and logos are trademarks or registered trademarks of Sun Microsystems, Inc. in the U.S. and other countries. Netscape Navigator is a trademark of Netscape Communications Corporation. RealAudio is a trademark of Progressive Networks, Inc. © 1995–2001 The Apache Group. All rights reserved. UNIX is a registered trademark in the United States and other countries, licensed exclusively through X/Open Company, Ltd. 062-9285/7-26-023 Contents Preface How to Use This Guide 39 What’s Included in This Guide 39 Using This Guide 40 Setting Up Mac OS X Server for the First Time 41 Getting Help for Everyday Management Tasks 41 Getting Additional Information 41 1 Administering Your Server 43 Highlighting Key Features 43 Ease of Setup and Administration 43 Networking and Security 44 File and Printer Sharing 44 Open Directory Services 45 Comprehensive Management of Macintosh Workgroups 45 High Availability 46 Extensive Internet and Web Services 46 Highlighting Individual Services 46 Directory Services 47 Open Directory 47 Password Validation 47 Search Policies 48 File Services 48 Sharing 48 Apple File Service 49 Windows Services 49 LL9285.Book Page 3 Tuesday, June 25, 2002 3:59 PM4 Contents Network File System (NFS) Service 49 File Transfer Protocol (FTP) 50 Print Service 50 Web Service 51 Mail Service 51 Macintosh Workgroup Management 52 Client Management 52 NetBoot 52 Network Install 53 Network Services 53 DHCP 54 DNS 54 IP Firewall 54 SLP DA 54 QuickTime Streaming Service 55 Highlighting Server Applications 56 Administering a Server From Different Computers 58 Server Assistant 58 Open Directory Assistant 58 Directory Access 59 Workgroup Manager 59 Opening and Authenticating in Workgroup Manager 59 Major Workgroup Manager Tasks 60 Server Settings 60 Server Status 61 Macintosh Manager 62 NetBoot Administration Tools 62 Network Install Administration Application 62 Server Monitor 62 Streaming Server Admin 63 Where to Find More Information 64 If You’re New to Server and Network Management 64 If You’re an Experienced Server Administrator 64 LL9285.Book Page 4 Tuesday, June 25, 2002 3:59 PMContents 5 2Directory Services 65 Storage for Data Needed by Mac OS X 66 A Historical Perspective 67 Data Consolidation 68 Data Distribution 69 Uses of Directory Data 70 Inside a Directory Domain 71 Discovery of Network Services 72 Directory Domain Protocols 73 Local and Shared Directory Domains 74 Local Data 74 Shared Data 75 Shared Data in Existing Directory Domains 78 Directory Domain Hierarchies 78 Two-Level Hierarchies 79 More Complex Hierarchies 81 Search Policies for Directory Domain Hierarchies 82 The Automatic Search Policy 83 Custom Search Policies 84 Directory Domain Planning 85 General Planning Guidelines 85 Controlling Data Accessibility 86 Simplifying Changes to Data in Directory Domains 86 Identifying Computers for Hosting Shared Domains 87 Open Directory Password Server 87 Authentication With a Password Server 88 Network Authentication Protocols 88 Password Server Database 88 Password Server Security 89 Overview of Directory Services Tools 89 Setup Overview 90 Before You Begin 91 Setting Up an Open Directory Domain and Password Server 92 Deleting a Shared Open Directory Domain 93 LL9285.Book Page 5 Tuesday, June 25, 2002 3:59 PM6 Contents Configuring Open Directory Service Protocols 93 Setting Up Search Policies 94 Using the Automatic Search Policy 95 Defining a Custom Search Policy 95 Using a Local Directory Search Policy 96 Changing Basic LDAPv3 Settings 97 Enabling or Disabling Use of DHCP-Supplied LDAPv3 Servers 97 Showing or Hiding Available LDAPv3 Configurations 97 Configuring Access to Existing LDAPv3 Servers 98 Creating an LDAPv3 Configuration 98 Editing an LDAPv3 Configuration 99 Duplicating an LDAPv3 Configuration 99 Deleting an LDAPv3 Configuration 100 Changing an LDAPv3 Configuration’s Connection Settings 100 Configuring LDAPv3 Search Bases and Mappings 101 Populating LDAPv3 Domains With Data for Mac OS X 103 Using an Active Directory Server 104 Creating an Active Directory Server Configuration 104 Setting Up an Active Directory Server 105 Populating Active Directory Domains With Data for Mac OS X 105 Accessing an Existing LDAPv2 Directory 106 Setting Up an LDAPv2 Server 106 Creating an LDAPv2 Server Configuration 106 Changing LDAPv2 Server Access Settings 107 Editing LDAPv2 Search Bases and Data Mappings 108 Using NetInfo Domains 110 Creating a Shared NetInfo Domain 110 Configuring NetInfo Binding 111 Adding a Machine Record to a Parent NetInfo Domain 113 Configuring Static Ports for Shared NetInfo Domains 113 Viewing and Changing NetInfo Data 114 Using UNIX Utilities for NetInfo 114 Using Berkeley Software Distribution (BSD) Configuration Files 115 Mapping BSD Configuration Files 115 LL9285.Book Page 6 Tuesday, June 25, 2002 3:59 PMContents 7 Setting Up Data in BSD Configuration Files 118 Configuring Directory Access on a Remote Computer 118 Monitoring Directory Services 119 Backing Up and Restoring Directory Services Files 119 3 Users and Groups 121 How User Accounts Are Used 122 Authentication 122 Password Validation 123 Information Access Control 124 Directory and File Owner Access 125 Directory and File Access by Other Users 125 Administration Privileges 125 Server Administration 125 Local Mac OS X Computer Administration 126 Directory Domain Administration 126 Home Directories 126 Mail Settings 127 Resource Usage 127 User Preferences 127 How Group Accounts Are Used 127 Information Access Control 127 Group Directories 128 Workgroups 128 Computer Access 128 Kinds of Users and Groups 128 Users and Managed Users 128 Groups, Primary Groups, and Workgroups 129 Administrators 129 Guest Users 129 Predefined Accounts 130 Setup Overview 132 Before You Begin 135 Administering User Accounts 137 Where User Accounts Are Stored 137 LL9285.Book Page 7 Tuesday, June 25, 2002 3:59 PM8 Contents Creating User Accounts in Directory Domains on Mac OS X Server 137 Creating Read-Write LDAPv3 User Accounts 138 Changing User Accounts 138 Working With Read-Only User Accounts 139 Working With Basic Settings for Users 139 Defining User Names 139 Defining Short Names 140 Choosing Stable Short Names 141 Avoiding Duplicate Names 141 Avoiding Duplicate Short Names 143 Defining User IDs 144 Defining Passwords 145 Assigning Administrator Rights for a Server 145 Assigning Administrator Rights for a Directory Domain 145 Working With Advanced Settings for Users 146 Defining Login Settings 146 Defining a Password Validation Strategy 147 Editing Comments 147 Working With Group Settings for Users 147 Defining a User’s Primary Group 148 Adding a User to Groups 148 Removing a User From a Group 149 Reviewing a User’s Group Memberships 149 Working With Home Settings for Users 149 Working With Mail Settings for Users 150 Disabling a User’s Mail Service 150 Enabling Mail Service Account Options 150 Forwarding a User’s Mail 151 Working With Print Settings for Users 151 Disabling a User’s Access to Print Queues Enforcing Quotas 152 Enabling a User’s Access to Print Queues Enforcing Quotas 152 Deleting a User’s Print Quota for a Specific Queue 153 Restarting a User’s Print Quota 153 Working With Managed Users 154 LL9285.Book Page 8 Tuesday, June 25, 2002 3:59 PMContents 9 Defining a Guest User 154 Deleting a User Account 154 Disabling a User Account 155 Administering Home Directories 155 Distributing Home Directories Across Multiple Servers 156 Setting Up Home Directories for Users Defined in Existing Directory Servers 157 Choosing a Protocol for Home Directories 160 Setting Up AFP Home Directory Share Points 160 Setting Up NFS Home Directory Share Points 160 Creating Home Directory Folders 161 Defining a User’s Home Directory 161 Defining No Home Directory 162 Defining a Home Directory for Local Users 162 Defining a Network Home Directory 163 Defining an Advanced Home Directory 163 Setting Disk Quotas 164 Defining Default Home Directories for New Users 165 Using Import Files to Create AFP Home Directories 165 Moving Home Directories 165 Deleting Home Directories 165 Administering Group Accounts 165 Where Group Accounts Are Stored 165 Creating Group Accounts in a Directory Domain on Mac OS X Server 165 Creating Read-Write LDAPv3 Group Accounts 166 Changing Group Accounts 167 Working With Read-Only Group Accounts 167 Working With Member Settings for Groups 167 Adding Users to a Group 168 Removing Users From a Group 168 Naming a Group 169 Defining a Group ID 170 Working With Volume Settings for Groups 170 Creating Group Directories 171 Automatically Creating Group Directories 171 LL9285.Book Page 9 Tuesday, June 25, 2002 3:59 PM10 Contents Customizing Group Directory Settings 172 Working With Group and Computer Preferences 173 Deleting a Group Account 173 Finding User and Group Accounts 173 Listing Users and Groups in the Local Directory Domain 174 Listing Users and Groups in Search Path Directory Domains 174 Listing Users and Groups in Available Directory Domains 174 Refreshing User and Group Lists 175 Finding Specific Users and Groups in a List 175 Sorting User and Group Lists 175 Shortcuts for Working With Users and Groups 176 Editing Multiple Users Simultaneously 176 Using Presets 176 Creating a Preset for User Accounts 176 Creating a Preset for Group Accounts 177 Using Presets to Create New Accounts 177 Renaming Presets 178 Deleting a Preset 178 Changing Presets 178 Importing and Exporting User and Group Information 178 Understanding What You Can Import 179 Using Workgroup Manager to Import Users and Groups 179 Using Workgroup Manager to Export Users and Groups 181 Using dsimportexport to Import Users and Groups 181 Using dsimportexport to Export Users and Groups 184 Using XML Files Created With Mac OS X Server 10.1 or Earlier 186 Using XML Files Created With AppleShare IP 6.3 186 Using Character-Delimited Files 187 Writing a Record Description 188 Using the StandardUserRecord Shorthand 189 Using the StandardGroupRecord Shorthand 189 Understanding Password Validation 189 Contrasting Password Validation Options 191 The Authentication Authority Attribute 192 LL9285.Book Page 10 Tuesday, June 25, 2002 3:59 PMContents 11 Choosing a Password 192 Migrating Passwords 193 Setting Up Password Validation Options 193 Storing Passwords in User Accounts 193 Enabling Basic Password Validation for a User 193 The Problem With Readable Passwords 194 Using a Password Server 195 Setting Up a Password Server 196 Enabling the Use of a Password Server for a User 196 Exporting Users With Password Server Passwords 197 Making a Password Server More Secure 197 Monitoring a Password Server 197 Using Kerberos 197 Understanding Kerberos 198 Integrating Mac OS X With a Kerberos Server 199 Enabling Kerberos Authentication for Mail 200 Enabling Kerberos Authentication for AFP 200 Enabling Kerberos Authentication for FTP 200 Enabling Kerberos Authentication for Login Window 200 Enabling Kerberos Authentication for Telnet 201 Solving Problems With Kerberos 201 Using LDAP Bind Authentication 201 Backing Up and Restoring Files 201 Backing Up a Password Server 201 Backing Up Root and Administrator User Accounts 202 Supporting Client Computers 202 Validating Windows User Passwords 202 Setting Up Search Policies on Mac OS X Client Computers 202 Solving Problems 202 You Can’t Modify an Account Using Workgroup Manager 202 A Password Server User’s Password Can’t Be Modified 203 Users Can’t Log In or Authenticate 203 You Can’t Assign Server Administrator Privileges 204 Users Can’t Access Their Home Directories 204 LL9285.Book Page 11 Tuesday, June 25, 2002 3:59 PM12 Contents Mac OS X User in Shared NetInfo Domain Can’t Log In 204 Kerberos Users Can’t Authenticate 204 4 Sharing 205 Privileges 205 Explicit Privileges 206 User Categories 206 Privileges Hierarchy 207 Client Users and Privileges 207 Privileges in the Mac OS X Environment 207 Network Globe Contents 207 Share Points in the Network Globe 208 Static Versus Dynamic Linking 208 Adding System Resources to the Network Library Folder 208 Setup Overview 208 Before You Begin 209 Organize Your Shared Information 210 Windows Users 210 Security Issues 210 Restricting Access by Unregistered Users (Guests) 210 Setting Up Sharing 211 Creating Share Points and Setting Privileges 211 Configuring Apple File Protocol (AFP) Share Points 212 Configuring Server Message Block (SMB) Share Points 212 Configuring File Transfer Protocol (FTP) Share Points 213 Sharing (Exporting) Items Using Network File System (NFS) 213 Automounting Share Points 214 Resharing NFS Mounts as AFP Share Points 215 Managing Sharing 215 Turning Sharing Off 216 Removing a Share Point 216 Browsing Server Disks 216 Viewing Share Points 216 Copying Privileges to Enclosed Items 217 Viewing Share Point Settings 217 LL9285.Book Page 12 Tuesday, June 25, 2002 3:59 PMContents 13 Changing Share Point Owner and Privilege Settings 217 Changing the Protocols for a Share Point 218 Deleting an NFS Client from a Share Point 218 Creating a Drop Box 218 Supporting Client Computers 219 Solving Problems 219 Users Can’t Access a CD-ROM Disc 219 Users Can’t Find a Shared Item 219 Users Can’t See the Contents of a Share Point 219 5 File Services 221 Before You Begin 221 Security Issues 222 Allowing Access to Registered Users Only 222 Client Computer Requirements 223 Setup Overview 223 Apple File Service 224 Automatic Reconnect 224 Find By Content 224 Kerberos Authentication 224 Apple File Service Specifications 224 Before You Set Up Apple File Service 225 Setting Up Apple File Service 225 Configuring Apple File Service General Settings 225 Configuring Apple File Service Access Settings 226 Configuring Apple File Service Logging Settings 227 Configuring Apple File Service Idle Users Settings 228 Starting Apple File Service 229 Managing Apple File Service 229 Viewing Apple File Service Status 229 Viewing Apple File Service Logs 230 Stopping Apple File Service 230 Starting Up Apple File Service Automatically 231 Changing the Apple File Server Name 231 Registering With Network Service Locator 231 LL9285.Book Page 13 Tuesday, June 25, 2002 3:59 PM14 Contents Enabling AppleTalk Browsing for Apple File Service 232 Setting Maximum Connections for Apple File Service 232 Turning On Access Logs for Apple File Service 232 Archiving Apple File Service Logs 233 Disconnecting a User From the Apple File Server 233 Disconnecting Idle Users From the Apple File Server 234 Allowing Guest Access to the Apple File Server 234 Creating a Login Greeting for Apple File Service 234 Sending a Message to an Apple File Service User 235 Windows Services 235 Windows Services Specifications 236 Before You Set Up Windows Services 236 Ensuring the Best Cross-Platform Experience 236 Windows User Password Validation 236 Setting Up Windows Services 237 Configuring Windows Services General Settings 237 Configuring Windows Services Access Settings 238 Configuring Windows Services Logging Settings 239 Configuring Windows Services Neighborhood Settings 239 Starting Windows Services 240 Managing Windows Services 240 Stopping Windows Services 240 Setting Automatic Startup for Windows Services 240 Changing the Windows Server Name 241 Finding the Server’s Workgroup Name 241 Checking Windows Services Status 241 Registering with a WINS Server 242 Enabling Domain Browsing for Windows Services 242 Setting Maximum Connections for Windows Services 242 Setting Up the Windows Services Log 243 Disconnecting a User From the Windows Server 243 Allowing Guest Access in Windows Services 243 Assigning the Windows Server to a Workgroup 244 File Transfer Protocol (FTP) Service 244 LL9285.Book Page 14 Tuesday, June 25, 2002 3:59 PMContents 15 Secure FTP Environment 244 User Environments 245 On-the-Fly File Conversion 247 Custom FTP Root 248 Kerberos Authentication 248 Before You Set Up FTP Service 248 Restrictions on Anonymous FTP Users (Guests) 249 Setup Overview 249 Setting Up File Transfer Protocol (FTP) Service 250 Configuring FTP General Settings 250 Configuring FTP Access Settings 251 Configuring FTP Logging Settings 251 Configuring FTP Advanced Settings 252 Starting FTP Service 252 Managing File Transfer Protocol (FTP) Service 252 Stopping FTP Service 252 Setting Up Anonymous FTP Service 253 Creating an Uploads Folder for Anonymous Users 253 Specifying a Custom FTP Root 253 Specifying the FTP Authentication Method 254 Configuring the FTP User Environment 254 Viewing FTP Logs 254 Displaying Banner and Welcome Messages to Users 255 Displaying Messages Using message.txt files 255 Using README Message 255 Network File System (NFS) Service 256 Before You Set Up NFS Service 256 Security Implications 256 Setup Overview 256 Setting Up NFS Service 257 Configuring NFS Settings 257 Managing NFS Service 258 Stopping NFS Service 258 Viewing NFS Service Status 258 LL9285.Book Page 15 Tuesday, June 25, 2002 3:59 PM16 Contents Viewing Current NFS Exports 258 Supporting Client Computers 259 Supporting Mac OS X Clients 259 Connecting to the Apple File Server in Mac OS X 259 Setting Up a Mac OS X Client to Mount a Share Point Automatically 260 Changing the Priority of Network Connections 260 Supporting Mac OS 8 and Mac OS 9 Clients 260 Connecting to the Apple File Server in Mac OS 8 or Mac OS 9 261 Setting up a Mac OS 8 or Mac OS 9 Client to Mount a Share Point Automatically 261 Supporting Windows Clients 261 TCP/IP 262 Using the Network Neighborhood to Connect to the Windows Server 262 Connecting to the Windows Server Without the Network Neighborhood 262 Supporting NFS Clients 262 Solving Problems With File Services 263 Solving Problems With Apple File Service 263 User Can’t Find the Apple File Server 263 User Can’t Connect to the Apple File Server 263 User Doesn’t See Login Greeting 263 Solving Problems With Windows Services 263 User Can’t See the Windows Server in the Network Neighborhood 263 User Can’t Log in to the Windows Server 264 Solving Problems With File Transfer Protocol (FTP) 264 FTP Connections Are Refused 264 Clients Can’t Connect to the FTP Server 265 Anonymous FTP Users Can’t Connect 265 Where to Find More Information About File Services 265 6 Client Management: Mac OS X 267 The User Experience 268 Logging In 268 Locating the Home Directory 268 Before You Begin 269 Designating Administrators 270 Setting Up User Accounts 270 LL9285.Book Page 16 Tuesday, June 25, 2002 3:59 PMContents 17 Setting Up Group Accounts 271 Setting Up Computer Accounts 271 Creating a Computer Account 272 Creating a Preset for Computer Accounts 273 Using a Computer Accounts Preset 273 Adding Computers to an Existing Computer Account 274 Editing Information About a Computer 274 Moving a Computer to a Different Computer Account 275 Deleting Computers From a Computer List 275 Deleting a Computer Account 276 Searching for Computer Accounts 276 Managing Guest Computers 277 Working With Access Settings 278 Restricting Access to Computers 278 Making Computers Available to All Users 279 Using Local User Accounts 279 Managing Portable Computers 280 Unknown Portable Computers 280 Portable Computers With Multiple Local Users 280 Portable Computers With One Primary Local User 280 Using Wireless Services 281 How Workgroup Manager Works With System Preferences 281 Managing Preferences 282 About the Preferences Cache 283 Updating the Managed Preferences Cache 283 Updating Cached Preferences Manually 283 How Preference Management Works 284 Preference Management Options 284 Managing a Preference Once 285 Always Managing a Preference 285 Never Managing a Preference 285 Managing User Preferences 285 Managing Group Preferences 286 Managing Computer Preferences 286 LL9285.Book Page 17 Tuesday, June 25, 2002 3:59 PM18 Contents Editing Preferences for Multiple Records 287 Disabling Management for Specific Preferences 287 Managing Applications Preferences 288 Applications Items Preferences 288 Creating a List of Approved Applications 288 Preventing Users From Opening Applications on Local Volumes 289 Managing Application Access to Helper Applications 289 Applications System Preferences 290 Managing Access to System Preferences 290 Managing Classic Preferences 291 Classic Startup Preferences 291 Making Classic Start Up After a User Logs In 291 Choosing a Classic System Folder 291 Classic Advanced Preferences 292 Allowing Special Actions During Restart 292 Keeping Control Panels Secure 292 Preventing Access to the Chooser and Network Browser 293 Making Apple Menu Items Available in Classic 293 Adjusting Classic Sleep Settings 294 Managing Dock Preferences 294 Dock Display Preferences 294 Controlling the User’s Dock 294 Dock Items Preferences 295 Adding Items to a User’s Dock 295 Preventing Users From Adding Additional Dock Items 296 Managing Finder Preferences 296 Finder Preferences 296 Keeping Disks and Servers From Appearing on the User’s Desktop 296 Controlling the Behavior of Finder Windows 297 Making File Extensions Visible 298 Selecting the User Environment 298 Hiding the Alert Message When a User Empties the Trash 298 Finder Commands Preferences 299 Controlling User Access to an iDisk 299 LL9285.Book Page 18 Tuesday, June 25, 2002 3:59 PMContents 19 Controlling User Access to Remote Servers 299 Controlling User Access to Folders 300 Preventing Users From Ejecting Disks 300 Hiding the Burn Disc Command in the Finder 301 Removing Restart and Shut Down Commands From the Apple Menu 301 Finder Views Preferences 302 Adjusting the Appearance and Arrangement of Desktop Items 302 Adjusting the Appearance of Finder Window Contents 303 Managing Internet Preferences 304 Setting Email Preferences 304 Setting Web Browser Preferences 304 Managing Login Preferences 305 Login Window Preferences 305 Deciding How a User Logs In 305 Helping Users Remember Passwords 306 Preventing Restarting or Shutting Down the Computer at Login 306 Login Items Preferences 307 Opening Applications Automatically After a User Logs In 307 Managing Media Access Preferences 308 Media Access Disc Media Preferences 308 Controlling Access to CDs and DVDs 308 Controlling the Use of Recordable Discs 309 Media Access Other Media Preferences 309 Controlling Access to Hard Drives and Disks 309 Ejecting Items Automatically When a User Logs Out 310 Managing Printing Preferences 311 Printer List Preferences 311 Making Printers Available to Users 311 Preventing Users From Modifying the Printer List 312 Restricting Access to Printers Connected to a Computer 312 Printer Access Preferences 313 Setting a Default Printer 313 Restricting Access to Printers 313 LL9285.Book Page 19 Tuesday, June 25, 2002 3:59 PM20 Contents 7 Print Service 315 What Printers Can Be Shared? 316 Who Can Use Shared Printers? 317 Setup Overview 317 Before You Begin 319 Security Issues 319 Setting Up Print Service 319 Starting Up and Configuring Print Service 319 Adding Printers 320 Configuring Print Queues 320 Adding Print Queues to Shared Open Directory Domains 321 Setting Up Print Quotas 322 Enforcing Quotas for a Print Queue 322 Setting Up Printing on Client Computers 323 Mac OS X Clients 323 Adding a Print Queue in Mac OS X Using AppleTalk 323 Adding a Print Queue in Mac OS X Using LPR 323 Adding a Print Queue From an Open Directory Domain 323 Mac OS 8 and Mac OS 9 Clients 324 Setting Up Printing on Mac OS 8 or 9 Client for an AppleTalk Printer 324 Setting Up Printing on Mac OS 8 or 9 Clients for an LPR Printer 324 Windows Clients 325 UNIX Clients 325 Managing Print Service 325 Monitoring Print Service 325 Stopping Print Service 326 Setting Print Service to Start Automatically 326 Managing Print Queues 326 Monitoring a Print Queue 326 Putting a Print Queue on Hold (Stopping a Print Queue) 327 Restarting a Print Queue 327 Changing a Print Queue’s Configuration 327 Renaming a Print Queue 328 Selecting a Default Print Queue 329 LL9285.Book Page 20 Tuesday, June 25, 2002 3:59 PMContents 21 Deleting a Print Queue 329 Managing Print Jobs 329 Monitoring a Print Job 329 Stopping a Print Job 330 Putting a Print Job on Hold 330 Restarting a Print Job 330 Holding All New Print Jobs 331 Setting the Default Priority for New Print Jobs 331 Changing a Print Job’s Priority 331 Deleting a Print Job 332 Managing Print Quotas 332 Suspending Quotas for a Print Queue 332 Managing Print Logs 332 Viewing Print Logs 333 Archiving Print Logs 333 Deleting Print Log Archives 334 Solving Problems 334 Print Service Doesn’t Start 334 Users Can’t Print 334 Print Jobs Don’t Print 334 Print Queue Becomes Unavailable 335 8 Web Service 337 Before You Begin 338 Configuring Web Service 338 Providing Secure Transactions 338 Setting Up Web Sites 338 Hosting More Than One Web Site 339 Understanding WebDAV 339 Defining Realms 339 Setting WebDAV Privileges 339 Understanding WebDAV Security 339 Understanding Multipurpose Internet Mail Extension (MIME) 340 Setting Up Web Service for the First Time 341 Managing Web Service 342 LL9285.Book Page 21 Tuesday, June 25, 2002 3:59 PM22 Contents Starting or Stopping Web Service 343 Starting Web Service Automatically 343 Modifying MIME Mappings 343 Setting Up Persistent Connections for Web Service 344 Limiting Simultaneous Connections for Web Service 344 Setting Up Proxy Caching for Web Service 345 Blocking Web Sites From Your Web Server Cache 345 Enabling SSL for Web Service 346 Setting Up the SSL Log for a Web Server 346 Setting Up WebDAV for a Web Server 346 Starting Tomcat 347 Checking Web Service Status 348 Viewing Logs of Web Service Activity 348 Setting Up Multiple IP Addresses for a Port 348 Managing Web Sites 349 Setting Up the Documents Folder for Your Web Site 349 Changing the Default Web Folder for a Site 349 Enabling a Web Site on a Server 350 Setting the Default Page for a Web Site 351 Changing the Access Port for a Web Site 351 Improving Performance of Static Web Sites 351 Enabling Access and Error Logs for a Web Site 352 Setting Up Directory Listing for a Web Site 352 Connecting to Your Web Site 353 Enabling WebDAV 353 Setting Access for WebDAV-Enabled Sites 354 Enabling a Common Gateway Interface (CGI) script 354 Enabling Server Side Includes (SSI) 355 Monitoring Web Sites 356 Setting Server Responses to MIME Types 356 Enabling SSL 357 Enabling PHP 357 WebMail 358 WebMail Users 358 LL9285.Book Page 22 Tuesday, June 25, 2002 3:59 PMContents 23 WebMail and Your Mail Server 359 WebMail Protocols 359 Enabling WebMail 359 Configuring WebMail 360 Setting Up Secure Sockets Layer (SSL) Service 361 Generating a Certificate Signing Request (CSR) for Your Server 361 Obtaining a Web Site Certificate 362 Installing the Certificate on Your Server 363 Enabling SSL for the Site 363 Solving Problems 364 Users Can’t Connect to a Web Site on Your Server 364 A Web Module Is Not Working as Expected 364 A CGI Will Not Run 364 Installing and Viewing Web Modules 365 Macintosh-Specific Modules 365 mod_macbinary_apple 365 mod_sherlock_apple 365 mod_auth_apple 365 mod_redirectacgi_apple 366 mod_hfs_apple 366 Open-Source Modules 366 Tomcat 366 PHP: Hypertext Preprocessor 366 mod_perl 366 MySQL 367 Where to Find More Information 367 9 Mail Service 369 Mail Service Protocols 370 Post Office Protocol (POP) 370 Internet Message Access Protocol (IMAP) 371 Simple Mail Transfer Protocol (SMTP) 371 SMTP Alternatives: Sendmail and Postfix 371 How Mail Service Uses SSL 372 How Mail Service Uses DNS 372 LL9285.Book Page 23 Tuesday, June 25, 2002 3:59 PM24 Contents Where Mail Is Stored 373 How User Account Settings Affect Mail Service 373 What Mail Service Can Do About Junk Mail 373 SMTP Authentication 374 Restricted SMTP Relay 374 SMTP Authentication and Restricted SMTP Relay Combinations 375 Rejected SMTP Servers 375 Mismatched DNS Name and IP Address 375 Blacklisted Servers 375 What Mail Service Doesn’t Do 376 Mail Service Configuration in the Local Directory 376 Overview of Mail Service Tools 376 Setup Overview 377 Overview of Ongoing Mail Service Management 379 Before You Begin 379 Working With General Settings for Mail Service 380 Starting and Stopping Mail Service 380 Starting Mail Service Automatically 380 Requiring or Allowing Kerberos Authentication 381 Adding or Removing Local Names for the Mail Server 381 Changing Protocol Settings for Mail Service 382 Monitoring and Archiving Mail 382 Working With Settings for Incoming Mail 382 Limiting Incoming Message Size 383 Deleting Email Automatically 383 Notifying Users Who Have New Mail 383 Working With Settings for Incoming POP Mail 384 Requiring Authenticated POP (APOP) 384 Changing the POP Response Name 384 Changing the POP Port Number 385 Working With Settings for Incoming IMAP Mail 385 Requiring Secure IMAP Authentication 385 Changing the IMAP Response Name 386 Using Case-Sensitive IMAP Folder Names 386 LL9285.Book Page 24 Tuesday, June 25, 2002 3:59 PMContents 25 Controlling IMAP Connections Per User 386 Terminating Idle IMAP Connections 387 Changing the IMAP Port Number 387 Working With Settings for Outgoing Mail 387 Sending Nonlocal Mail 388 Sending Only Local Mail 388 Suspending Outgoing Mail Service 388 Working With Settings for SMTP Mail 389 Requiring SMTP Authentication 389 Sending SMTP Mail via Another Server 389 Changing the SMTP Response Names 390 Changing the Incoming SMTP Port Number 391 Changing the Outgoing SMTP Port Number 391 Enabling an Alternate Mail Transfer Agent 391 Starting Sendmail 392 Working With the Mail Database 393 Converting the Mail Database From an Earlier Version 393 Changing Where Mail Is Stored 394 Configuring Automatic Mail Deletion 394 Allowing Administrator Access to the Mail Database and Files 394 Cleaning Up the Mail Files 395 Working With Network Settings for Mail Service 396 Specifying DNS Lookup for Mail Service 396 Updating the DNS Cache in Mail Service 397 Changing Mail Service Timeouts 397 Limiting Junk Mail 398 Restricting SMTP Relay 398 Rejecting SMTP Connections From Specific Servers 399 Checking for Mismatched SMTP Server Name and IP Address 399 Rejecting Mail From Blacklisted Senders 401 Allowing SMTP Relay for a Backup Mail Server 401 Filtering SMTP Connections 401 Working With Undeliverable Mail 402 Forwarding Undeliverable Incoming Mail 402 LL9285.Book Page 25 Tuesday, June 25, 2002 3:59 PM26 Contents Limiting Delivery Attempts in Mail Service 402 Sending Nondelivery Reports to Postmaster 403 Monitoring Mail Status 403 Viewing Overall Mail Service Activity 404 Viewing Connected Mail Users 404 Viewing Mail Accounts 404 Reviewing Mail Service Logs 404 Reclaiming Disk Space Used by Mail Service Logs 405 Supporting Mail Users 405 Configuring Mail Settings for User Accounts 405 Configuring Email Client Software 406 Creating Additional Email Addresses for a User 407 Performance Tuning 407 Backing Up and Restoring Mail Files 408 Where to Find More Information 408 Books 408 Internet 409 10 Client Management: Mac OS 9 and OS 8 411 The User Experience 412 Logging In 412 Logging In Using the All Other Users Account 413 Logging In Using the Guest Account 413 Locating the Home Directory 413 Finding Applications 414 Finding Shared Documents 414 Before You Begin 414 Client Computer Requirements 414 Administrator Computer Requirements 415 Using Update Packages 417 Choosing a Language for Macintosh Manager Servers and Clients 417 Changing the Apple File Service Language Script 418 Inside Macintosh Manager 418 Macintosh Manager Security 418 About the Macintosh Manager Share Point 419 LL9285.Book Page 26 Tuesday, June 25, 2002 3:59 PMContents 27 The Multi-User Items Folder 419 How the Multi-User Items Folder Is Updated 420 How Macintosh Manager Works With Directory Services 420 Where User Information Is Stored 421 How Macintosh Manager Works With Home Directories 422 How Macintosh Manager Works With Preferences 422 Where Macintosh Manager Preferences Are Stored 422 Using the MMLocalPrefs Extension 423 Using NetBoot With Macintosh Manager 423 Preparation for Using NetBoot 423 Setting Up Mac OS 9 or Mac OS 8 Managed Clients 424 Logging In to Macintosh Manager as an Administrator 425 Working With Macintosh Manager Preferences 426 Importing User Accounts 426 Applying User Settings With a Template 426 Importing All Users 427 Importing One or More Users 427 Collecting User Information in a Text File 428 Importing a List of Users From a Text File 428 Finding Specific Imported Users 429 Providing Quick Access to Unimported Users 429 Using Guest Accounts 429 Providing Access to Unimported Mac OS X Server Users 430 Setting Up a Guest User Account 431 Designating Administrators 431 About Macintosh Manager Administrators 431 Allowing Mac OS X Server Administrators to Use Macintosh Manager Accounts 432 About Workgroup Administrators 432 Creating a Macintosh Manager Administrator 432 Creating a Workgroup Administrator 432 Changing Your Macintosh Manager Administrator Password 433 Working With User Settings 433 Changing Basic User Settings 433 Allowing Multiple Logins for Users 434 LL9285.Book Page 27 Tuesday, June 25, 2002 3:59 PM28 Contents Granting a User System Access 434 Changing Advanced Settings 434 Limiting a User’s Disk Storage Space 435 Updating User Information From Mac OS X Server 435 Setting Up Workgroups 436 Types of Workgroup Environments 436 Creating a Workgroup 436 Using a Template to Apply Workgroup Settings 437 Creating Workgroups From an Existing Workgroup 437 Modifying an Existing Workgroup 438 Using Items Settings 438 Setting Up Shortcuts to Items for Finder Workgroups 438 Making Items Available to Panels or Restricted Finder Workgroups 439 Making Items Available to Individual Users 440 Using Privileges Settings 440 Protecting the System Folder and Applications Folder 440 Protecting the User’s Desktop 440 Preventing Applications From Altering Files 441 Preventing Access to FireWire Disks 441 Allowing Users to Play Audio CDs 441 Allowing Users to Take Screen Shots 442 Allowing Users to Open Applications From a Disk 442 Setting Access Privileges for Removable Media 442 Setting Access Privileges for Menu Items 443 Sharing Information in Macintosh Manager 443 Selecting Privileges for Workgroup Folders 444 Setting Up a Shared Workgroup Folder 444 Setting Up a Hand-In Folder 445 Using Volumes Settings 445 Connecting to AFP Servers 445 Providing Access to Server Volumes 446 Using Printers Settings 447 Making Printers Available to Workgroups 447 Setting a Default Printer 447 LL9285.Book Page 28 Tuesday, June 25, 2002 3:59 PMContents 29 Restricting Access to Printers 448 Setting Print Quotas 448 Allowing Users to Exceed Print Quotas 448 Setting Up a System Access Printer 449 Using Options Settings 449 Choosing a Location for Storing Group Documents 450 Making Items Open at Startup 450 Checking for Email When Users Log In 451 Creating Login Messages for Workgroups 451 Setting Up Computer Lists 451 Creating Computer Lists 451 Setting Up the All Other Computers Account 452 Duplicating a Computer List 452 Creating a Computer List Template 453 Disabling Login for Computers 453 Using Workgroup Settings for Computers 454 Controlling Access to Computers 454 Using Control Settings 454 Disconnecting Computers Automatically to Minimize Network Traffic 454 Setting the Computer Clock Using the Server Clock 455 Using a Specific Hard Disk Name 455 Creating Email Addresses for Managed Users 455 Using Security Settings for Computers 456 Keeping Computers Secure If a User Forgets to Log Out 456 Allowing Access to All CDs and DVDs 457 Allowing Access to Specific CDs or DVDs 457 Choosing Computer Security Settings for Applications 457 Allowing Specific Applications to Be Opened by Other Applications 458 Allowing Users to Work Offline 458 Allowing Users to Switch Servers After Logging In 459 Allowing Users to Force-Quit Applications 459 Allowing Users to Disable Extensions 459 Using Computer Login Settings 460 Choosing How Users Log In 460 LL9285.Book Page 29 Tuesday, June 25, 2002 3:59 PM30 Contents Creating Login Messages for Computers 460 Customizing Panel Names 460 Managing Portable Computers 461 Portable Computers With Network Users 461 Portable Computers With Local Users 461 Letting Users Check Out Computers 462 Using Wireless Services 462 Using Global Security Settings 462 Using Macintosh Manager Reports 463 Setting the Number of Items in a Report 463 Keeping the Administration Program Secure 463 Verifying Login Information Using Kerberos 464 Preventing Users From Changing Their Passwords 464 Allowing Administrators to Access User Accounts 464 Copying Preferences for Mac OS 8 Computers 464 Using Global CD-ROM Settings 465 Managing Preferences 466 Using Initial Preferences 466 Using Forced Preferences 467 Preserved Preferences 468 Solving Problems 470 I’ve Forgotten My Administrator Password 470 Administrators Can’t Get to the Finder After Logging In 470 Generic Icons Appear in the Items Pane 470 Selecting “Local User” in the Multiple Users Control Panel Doesn’t Work 471 Some Printers Don’t Appear in the Available Printers List 471 Users Can’t Log In to the Macintosh Manager Server 471 Users Can’t Log In as “Guest” on Japanese-Language Computers 471 A Client Computer Can’t Connect to the Server 471 The Server Doesn’t Appear in the AppleTalk List 472 The User’s Computer Freezes 472 Users Can’t Access Their Home Directories 472 Users Can’t Access Shared Files 472 Shared Workgroup Documents Don’t Appear in a Panels Environment 472 LL9285.Book Page 30 Tuesday, June 25, 2002 3:59 PMContents 31 Applications Don’t Work Properly or Don’t Open 472 Users Can’t Drag and Drop Between Applications 473 Users Can’t Open Files From a Web Page 473 Sometimes the Right Application Doesn’t Open for Users 473 Where to Find More Information 473 11 DHCP Service 475 Before You Set Up DHCP Service 475 Creating Subnets 476 Assigning IP Addresses Dynamically 476 Using Static IP Addresses 476 Locating the DHCP Server 476 Interacting With Other DHCP Servers 477 Assigning Reserved IP Addresses 477 Setting Up DHCP Service for the First Time 477 Managing DHCP Service 478 Starting and Stopping DHCP Service 478 Setting the Default DNS Server for DHCP Clients 479 Setting the LDAP Server for DHCP Clients 479 Setting Up Logs for DHCP Service 480 Deleting Subnets From DHCP Service 480 Changing Lease Times for Subnet Address Ranges 480 Monitoring DHCP Client Computers 481 Creating Subnets in DHCP Service 481 Changing Subnet Settings in DHCP Service 481 Setting DNS Options for a Subnet 482 Setting NetInfo Options for a Subnet 482 Disabling Subnets Temporarily 483 Viewing DHCP and NetBoot Client Lists 483 Viewing DHCP Log Entries 483 Solving Problems 484 Where to Find More Information 484 12NetBoot 485 Prerequisites 486 LL9285.Book Page 31 Tuesday, June 25, 2002 3:59 PM32 Contents Administrator Requirements 486 Server Requirements 486 Client Computer Requirements 487 Network Requirements 488 Capacity Planning 488 NetBoot Implementation 489 NetBoot Image Folder 489 Property List File 490 Boot Server Discovery Protocol (BSDP) 491 TFTP and the Boot ROM File 492 NetBoot Files and Directory Structure 493 Security 493 NetBoot and AirPort 493 Setup Overview 493 Setting Up NetBoot on a Mac OS X Server 496 Creating a Mac OS X Disk Image 496 Installing Classic (Mac OS 9) on a Mac OS X Disk Image 497 Installing the Mac OS 9 Disk Image 497 Modifying the Mac OS 9 Disk Image 498 Specifying the Default NetBoot Disk Image 500 Setting Up Multiple Disk Images 500 Configuring NetBoot on Your Server 501 Starting NetBoot on Your Server 501 Enabling NetBoot Disk Images 502 Managing NetBoot 502 Turning Off NetBoot 502 Disabling Disk Images 502 Updating Mac OS X Disk Images 503 Monitoring the Status of Mac OS X NetBoot Clients 503 Monitoring the Status of Mac OS 9 NetBoot Clients 503 Filtering NetBoot Client Connections 503 Load Balancing 504 Enabling Server Selection 504 Using Share Points to Spread the Load 505 LL9285.Book Page 32 Tuesday, June 25, 2002 3:59 PMContents 33 Supporting Client Computers 505 Updating the Startup Disk Control Panel 505 Setting Up “System-Less” Clients 506 Selecting a NetBoot Startup Image (from Mac OS X) 506 Selecting a NetBoot Startup Image (from Mac OS 9) 506 Starting Up Using the N Key 507 Solving Problems 507 A NetBoot Client Computer Won’t Start Up 507 You Are Using Macintosh Manager and a User Can’t Log In to a NetBoot Client 508 13 Network Install 509 Understanding Packages 509 Setup Overview 510 Setting Up Network Install 511 Creating a Network Install Disk Image 511 Creating Custom Packages for Network Install 512 Including Packages in an Installer Disk Image 512 Enabling Installer Disk Images 513 14 DNS Service 515 Before You Set Up DNS Service 516 DNS and BIND 516 Setting Up Multiple Name Servers 516 Using DNS With Mail Service 516 Setting Up DNS Service for the First Time 517 Managing DNS Service 518 Starting and Stopping DNS Service 518 Viewing DNS Log Entries 519 Viewing DNS Service Status 519 Viewing DNS Usage Statistics 519 Inside DNS Service (Configuring BIND) 520 What Is BIND? 520 BIND on Mac OS X Server 520 BIND Configuration File 520 Zone Data Files 521 LL9285.Book Page 33 Tuesday, June 25, 2002 3:59 PM34 Contents Practical Example 521 Setting Up Sample Configuration Files 521 Configuring Clients 522 Check Your Configuration 523 Load Distribution With Round Robin 523 Setting Up a Private TCP/IP Network 523 Where to Find More Information 524 15 Firewall Service 525 Before You Set Up Firewall Service 527 What Is a Filter? 527 IP Address 527 Subnet Mask 527 Using Address Ranges 528 IP Address Precedence 529 Multiple IP Addresses 529 Practical Examples 529 Block Access to Internet Users 529 Block Junk Mail 530 Allow a Customer to Access the Apple File Server 530 Setting Up Firewall Service for the First Time 530 Managing Firewall Service 531 Starting and Stopping Firewall Service 531 Setting Firewall Service to Start Automatically 531 Editing IP Filters 532 Creating an IP Filter 532 Searching for IP Filters 533 Viewing the Firewall Log 533 Configuring Firewall Service 533 Setting Up Logs for Firewall Service 534 Viewing Denied Packets 535 Filtering UDP Ports in Firewall Service 535 Blocking Multicast Services in Firewall Service 536 Allowing NetInfo Access to Certain IP Addresses 536 Changing the Any Port (Default) Filter 537 LL9285.Book Page 34 Tuesday, June 25, 2002 3:59 PMContents 35 Preventing Denial-of-Service Attacks 537 Creating IP Filter Rules Using ipfw 538 Reviewing IP Filter Rules 539 Creating IP Filter Rules 539 Deleting IP Filter Rules 539 Port Reference 540 Solving Problems 543 You Can’t Access the Server Over TCP/IP 543 You Can’t Locate a Specific Filter 543 Where to Find More Information 543 16 SLP DA Service 545 SLP DA Considerations 545 Before You Begin 545 Managing Service Location Protocol (SLP) Directory Agent (DA) Service 547 Starting and Stopping SLP DA Service 547 Viewing Scopes and Registered Services in SLP 547 Creating New Scopes in SLP DA Service 548 Registering a Service With SLP DA 548 Deregistering Services in SLP DA Service 549 Setting Up Logs for SLP DA Service 549 Logging Debugging Messages in SLP DA Service 549 Viewing SLP DA Log Entries 549 Using the Attributes List 550 Where to Find More Information 550 17 Tools for Advanced Users 551 Terminal 552 Using the Terminal Application 552 Understanding UNIX Command-Line Structure 553 Secure Shell (SSH) Command 553 Enabling and Disabling SSH Access 553 Opening an SSH Session 553 Executing Commands in an SSH Session 554 Closing an SSH Session 554 LL9285.Book Page 35 Tuesday, June 25, 2002 3:59 PM36 Contents Understanding Key Fingerprints 554 dsimportexport 555 Log Rolling Scripts 555 diskspacemonitor 556 diskutil 557 installer 558 Using installer 558 Full Operating System Installation 559 softwareupdate 561 systemsetup 561 Working With Server Identity and Startup 561 Working With Date and Time Preferences 562 Working With Sleep Preferences 562 networksetup 562 Reverting to Previous Network Settings 563 Retrieving Your Server’s Network Configuration 563 Configuring TCP/IP Settings 564 Configuring DNS Servers and Search Domains 564 Managing Network Services 564 Designating Proxy Servers 565 MySQL Manager 565 Simple Network Management Protocol (SNMP) Tools 566 diskKeyFinder 566 Enabling IP Failover 567 Requirements 567 Hardware 567 Software 567 Failover Operation 567 Enabling IP Failover 569 Configuring IP Failover 569 Notification Only 570 Pre And Post Scripts 570 LL9285.Book Page 36 Tuesday, June 25, 2002 3:59 PMContents 37 Appendix A Open Directory Data Requirements 573 User Data That Mac OS X Server Uses 573 Standard Data Types in User Records 574 Format of the MailAttribute Data Type 577 Standard Data Types in Group Records 580 Glossary 581 Index 591 LL9285.Book Page 37 Tuesday, June 25, 2002 3:59 PMLL9285.Book Page 38 Tuesday, June 25, 2002 3:59 PM39 P R E F A C E How to Use This Guide What’s Included in This Guide This guide consists primarily of chapters that tell you how to administer individual Mac OS X Server services: m Chapter 1, “Administering Your Server,” highlights the major characteristics of Mac OS X Server’s services and takes you on a tour of its administration applications. m Chapter 2, “Directory Services,” describes the services that Mac OS X computers use to find information about users, groups, and devices on your network. The Mac OS X directory services architecture is referred to as Open Directory. m Chapter 3, “Users and Groups,” covers user and group accounts, describing how to administer settings for server users and collections of users (groups), including Open Directory Password Server and other password authentication options. m Chapter 4, “Sharing,” tells you how to share folders, hard disks, and CDs among network users, as well as how to make them automatically visible after logging in to Mac OS X computers. m Chapter 5, “File Services,” describes the file services included in Mac OS X Server: Apple file service, Windows services, Network File System (NFS) service, and File Transfer Protocol (FTP) service. m Chapter 6, “Client Management: Mac OS X,” addresses client management for Mac OS X computer users. Client management lets you customize a user’s working environment and restrict a user’s access to network resources. m Chapter 7, “Print Service,” tells you how to share printers among users on Macintosh, Windows, and other computers. m Chapter 8, “Web Service,” describes how to set up and administer a Web server and host multiple Web sites on your server. m Chapter 9, “Mail Service,” describes how to set up and administer a mail server on your server.40 Preface m Chapter 10, “Client Management: Mac OS 9 and OS 8,” addresses client management for Mac OS 8 and 9 computer users, describing how to use Macintosh Manager to manage their day-to-day working environments. m Chapter 11, “DHCP Service,” describes Dynamic Host Configuration Protocol (DHCP) service, which lets you dynamically allocate IP addresses to the computers used by server users. m Chapter 12, “NetBoot,” describes the application that lets Macintosh Mac OS 9 and X computers boot from a network-based system image. m Chapter 13, “Network Install,” tells you how to use the centralized network software installation service that automates installing, restoring, and upgrading Macintosh computers on your network. m Chapter 14, “DNS Service,” describes Dynamic Name Service (DNS), a distributed database that maps IP addresses to domain names. m Chapter 15, “Firewall Service,” addresses how to protect your server by scanning incoming IP packets and rejecting or accepting these packets based on filters you create. m Chapter 16, “SLP DA Service,” describes Service Location Protocol Directory Assistant (SLP DA), which you can use to make devices on your network visible to your server users. m Chapter 17, “Tools for Advanced Users,” describes server applications, tools, and techniques intended for use by experienced server administrators. m Appendix A, “Open Directory Data Requirements,” provides information you’ll need when you must map directory services information needed by Mac OS X to information your server will retrieve from another vendor’s server. m The Glossary defines terms you’ll encounter as you read this guide. Using This Guide Review the first chapter to acquaint yourself with the services and applications that Mac OS X Server provides. Then read any chapter that’s about a service you plan to provide to your users. Each service’s chapter includes an overview of how the service works, what it can do for you, strategies for using it, how to set it up for the first time, and how to administer it over time. Also take a look at any chapter that describes a service with which you’re unfamiliar. You may find that some of the services you haven’t used before can help you run your network more efficiently and improve performance for your users. Most chapters end with a section called “Where to Find More Information.” This section points you to Web sites and other reference material containing more information about the service.How to Use This Guide 41 Setting Up Mac OS X Server for the First Time If you haven’t installed and set up Mac OS X Server, do so now. m Refer to Getting Started With Mac OS X Server, the document that came with your software, for instructions on server installation and setup. For many environments, this document provides all the information you need to get your server up, running, and available for initial use. m Review Chapter 1, “Administering Your Server,” in this guide to determine which services you’d like to refine and expand, to identify new services you’d like to set up, and to learn about the server applications you’ll use during these activities. m Read specific chapters to learn how to continue setting up individual services. Pay particular attention to the information in these sections: “Setup Overview,” “Before You Begin,” and “Setting Up for the First Time.” Getting Help for Everyday Management Tasks If you want to change settings, monitor services, view service logs, or do any other day-to-day administration task, you can find step-by-step procedures by using the online help available with server administration programs. While all the administration tasks are also documented in this guide, sometimes it’s more convenient to retrieve information in online help form while using your server. Getting Additional Information In addition to this document, you’ll find information about Mac OS X Server m in Getting Started With Mac OS X Server, which tells you how to install and set up your server initially m in Upgrading to Mac OS X Server, which provides instructions for migrating data to Mac OS X Server from existing Macintosh computers m at www.apple.com/macosx/server m in online help on your server m in Read Me files on your server CD43 C H A P T E R 1 1 Administering Your Server Mac OS X Server is a powerful server platform that delivers a complete range of services to users on the Internet and local network: m You can connect users to each other, using services such as mail and file sharing. m You can share system resources, such as printers and computers—maximizing their availability as users move about and making sure that disk space and printer usage remain equitably shared. m You can host Internet services, such as Web sites and streaming video. m You can customize working environments—such as desktop resources and personal files—of networked users. This chapter is a tour of Mac OS X Server capabilities and administration. The chapter begins by pointing out some of Mac OS X Server’s key features. Then it summarizes the services you can set up to support the clients you want your server to host. Finally, it introduces the applications you use to set up and administer your server. Highlighting Key Features Mac OS X Server has a wide range of features that characterize it as easy to use, yet robust and high performing. Ease of Setup and Administration From the time you first unpack your server throughout its initial setup and deployment, its ease of use is prominent. Setup assistants quickly walk you through the process of making basic services initially available. While your network users take advantage of the initial file sharing, mail, Web and other services, you can add on additional client support and manage day-to-day server operations using graphical administrative applications. From one administrator computer, you can set up and manage all the Mac OS X Servers on your network.44 Chapter 1 Networking and Security You can choose from several user authentication options, ranging from Kerberos or Lightweight Directory Access Protocol (LDAP) to Mac OS X Server’s Open Directory Password Server. Password Server lets you implement password policies and supports a wide variety of client protocols. The Password Server is based on a standard known as SASL (Simple Authentication and Security Layer), so it can support a wide range of network user authentication protocols that are used by clients of Mac OS X Server services, such as mail and file servers, that need to authenticate users. Kerberos authentication is available for file services—Apple Filing Protocol (AFP) and File Transfer Protocol (FTP)—as well as for mail services (POP, IMAP, and SMTP). External network communication requests can be controlled with built-in Internet Protocol (IP) firewall management. And data communications can be encrypted and authenticated with protocol-level data security provided with Secure Sockets Layer (SSL), Transport Layer Security (TLS), and Secure Shell (SSH). File and Printer Sharing File sharing offers flexible support for various native protocols as well as security and high availability: m It’s easy to share files with Macintosh, Windows, UNIX, Linux, and anonymous Internet clients. m You can control how much file space individual users consume by setting up mail and file quotas. Quotas limit the number of megabytes a user can use for mail or files. m Kerberos authentication is available for AFP and FTP file servers. m You can improve the security of NFS volumes by setting up share points on them that let users access them using the more secure AFP protocol. This feature is referred to as resharing NFS mounts. m AFP autoreconnect lets client computers keep Apple file servers mounted after long periods of inactivity or after sleep/wake cycles. Mac OS X Server printer sharing includes m the ability to set up print quotas. Print quotas can be set up for each user and each print queue, letting you limit the number of pages that can be printed during a particular period. m support for sharing printers among Mac OS 9 users (AppleTalk and LaserWriter 8 support), Mac OS X, Windows, and UNIX usersAdministering Your Server 45 Open Directory Services User and group information is used by your server to authenticate users and authorize their access to services and files. Information about other network resources is used by your server to make printers and other devices available to particular users. To access this information, the server retrieves it from centralized data repositories known as directory domains. The term for the services that locate and retrieve this data is directory services. The Mac OS X directory services architecture is referred to as Open Directory. It lets you store data in a way that best suits your environment. Mac OS X Server can host directory domains using Apple’s NetInfo and LDAP directory domains. Open Directory also lets you take advantage of information you have already set up in non-Apple directory domains—for example, LDAP or Active Directory servers or Berkeley Software Distribution (BSD) configuration files. Comprehensive Management of Macintosh Workgroups Workgroup management services let you simplify and control the environment that Macintosh client users experience. Mac OS X Server client management support helps you personalize the computing environment of Macintosh clients. You can set up Mac OS 8, 9, and X computers to have particular desktop environments and access to particular applications and network resources. You can design your Macintosh users’ experience as circumstances warrant. You can also use NetBoot and Network Install to automate the setup of software used by Macintosh client computers: m NetBoot lets Macintosh Mac OS 9 and X computers boot from a network-based system image, offering quick and easy configuration of department, classroom, and individual systems as well as Web and application servers throughout a network. When you update NetBoot images, all NetBooted computers have instant access to the new configuration. m Network Install is a centralized network software installation service. It lets you selectively and automatically install, restore, or upgrade network-based Macintosh systems anywhere in the organization. Mac OS X Server also lets you automatically configure the directory services you want Mac OS X clients to have access to. Automatic directory services configuration means that when a user logs into a Mac OS X computer, the user’s directory service configuration is automatically downloaded from the network, setting up the user’s network access policies, preferences, and desktop configuration without the need to configure the client computer directly.46 Chapter 1 High Availability To maximize server availability, Mac OS X Server includes technology for monitoring server activity, monitoring and reclaiming disk space, automatically restarting malfunctioning services, and automatically restarting the server following a power failure. You can also configure IP failover. IP failover is a way to set up a standby server that will take over if the primary server fails. The standby server takes over the IP address of the failed server, which takes the IP address back when it is online again. IP failover is useful for DNS servers, Web servers hosting Web sites, media broadcast servers, and other servers that require minimal data replication. Extensive Internet and Web Services Powerful Internet and Web services are built into Mac OS X Server: m Apache, the most popular Web server, provides reliable, high-performance Web content delivery. Integrated into Apache is Web-Based Distributed Authoring and Versioning ( WebDAV ), which simplifies the Web publishing and content management environment. m If your Web sites contain static HTML files that are frequently requested, you can enable a performance cache to improve server performance. m Web services include a comprehensive assortment of open-source services—Ruby, Tomcat, MySQL, PHP, and Perl. m Mac OS X Server includes a high-performance Java virtual machine. m SSL support enables secure encryption and authentication for ecommerce Web sites and confidential materials. m QuickTime Streaming Server (QTSS) lets you stream both live and stored multimedia content on the Internet using industry-standard protocols. m Mail service lets you set up a mail server your network users can use to send and receive email. m WebMail service bundled with Mac OS X Server enables your users to access mail service via a Web browser. Highlighting Individual Services This section highlights individual Mac OS X Server services and tells you where in this guide to find more information about them.Administering Your Server 47 Directory Services Directory services let you use a central data repository for user and network information your server needs to authenticate users and give them access to services. Information about users (such as their names, passwords, and preferences) as well as printers and other resources on the network is consolidated rather than distributed to each computer on the network, simplifying the administrator’s tasks of directory domain setup and maintenance. Open Directory On Mac OS X computers, the directory services are collectively referred to as Open Directory. Open Directory acts as an intermediary between directory domains that store information and Mac OS X processes that need the information. Open Directory supports a wide variety of directory domains, letting you store your directory information on Mac OS X Server or on a server you already have set up for this purpose: m You can define and manage information in directory domains that reside on Mac OS X Server. Open Directory supports both NetInfo and LDAPv3 protocols and gives you complete control over directory data creation and management. m Mac OS X Server can also retrieve directory data from LDAP and Active Directory servers and BSD configuration files you’ve already set up. Your server provides full read/write and SSL communications support for LDAPv3 directory domains. Chapter 2, “Directory Services,” provides complete information about all the Open Directory options, including instructions for how to create Mac OS X–resident directory domains and how to configure your server and your clients to access directory domains of all kinds. Chapter 3, “Users and Groups,” describes how to work with user and group accounts stored in Open Directory domains. Password Validation Open Directory gives you several options for validating a user’s password: m Using a value stored as a readable attribute in the user’s account. m Using a value stored in the Open Directory Password Server. This strategy lets you set up user-specific password policies for users. For example, you can require a user to change his password periodically or use only passwords having more than a minimum number of characters. Password Server supports a wide range of client authentication protocols. m Using a Kerberos server. m Using LDAP bind authentication with a non-Apple LDAPv3 directory server. “Understanding Password Validation” on page 189 provides more information about these options and tells you how to implement them.48 Chapter 1 Search Policies Before a user can log in to or connect with a Mac OS X client or server, he or she must enter a name and password associated with a user account that the computer can find. A Mac OS X computer can find user accounts that reside in a directory domain of the computer’s search policy. A search policy is a list of directory domains the computer searches when it needs configuration information. You can configure the search policy of Mac OS X computers on the computers themselves. You can automate Mac OS X client directory setup by using your server’s built-in DHCP Option 95 support. Chapter 2, “Directory Services,” describes how to configure search policies on any Mac OS X computer. File Services Mac OS X Server makes it easy to share files using the native protocols of different kinds of client computers. Mac OS X Server includes four file services: m Apple file service, which uses the Apple Filing Protocol (AFP), lets you share resources with clients who use Macintosh or Macintosh-compatible operating systems. m Windows services use Server Message Block (SMB) protocol to let you share resources with clients who use Windows, and to provide name resolution service for Windows clients. m File Transfer Protocol (FTP) service lets you share files with anyone using FTP. m Network File System (NFS) service lets you share files and folders with users who have NFS client software (UNIX users). You can deploy network home directories for Mac OS X clients using AFP and for UNIX clients using NFS. With a network home directory, users can access their applications, documents, and individual settings regardless of the computer to which they log in. You can impose disk quotas on network home directories to regulate server disk usage for users with home directories. Sharing You share files among users by designating share points. A share point is a folder, hard disk (or hard disk partition), or CD that you make accessible over the network. It’s the point of access at the top level of a group of shared items. On Mac OS X computers, share points can be found in the /Network directory and by using the Finder’s Connect To Server command. On Mac OS 8 and 9 computers, users access share points using the Chooser. On Windows computers, users use Network Neighborhood. Chapter 4, “Sharing,” tells you how to set up and manage share points.Administering Your Server 49 Static file server listings can also be published in a non-Apple directory domain, making it easy for computers in your company that are not on your local network to discover and connect to Mac OS X Server. Apple File Service Apple Filing Protocol (AFP) allows Macintosh client users to connect to your server and access folders and files as if they were located on the user’s own computer. AFP offers m file sharing support for Macintosh clients over TCP/IP m autoreconnect support when a file server connection is interrupted m encrypted file sharing (AFP through SSH) m automatic creation of user home directories m Kerberos v5 authentication for Mac OS X v10.2 and later clients m fine-grain access controls for managing client connections and guest access m automatic disconnect of idle clients after a period of inactivity AFP also lets you reshare NFS mounts using AFP. This feature provides a way for clients not on the local network to access NFS volumes via a secure, authenticated AFP connection. It also lets Mac OS 9 clients access NFS file services on traditional UNIX networks. See “Apple File Service” on page 224 for details about AFP. Windows Services Windows services in Mac OS X Server provide four native services to Windows clients: m file service, which allows Windows clients to connect to Mac OS X Server using Server Message Block (SMB) protocol over TCP/IP m print service, which uses SMB to allow Windows clients to print to PostScript printers on the network m Windows Internet Naming Service ( WINS), which allows clients across multiple subnets to perform name/address resolution m browsing, which allows clients to browse for available servers across subnets See “Windows Services” on page 235 for more information about Windows services. Network File System (NFS) Service NFS is the protocol used for file services on UNIX computers. The NFS term for sharing is export. You can export a shared item to a set of client computers or to “World.” Exporting an NFS volume to World means that anyone who can access your server can also access that volume.50 Chapter 1 NFS does not support name/password authentication. It relies on client IP addresses to authenticate users and on client enforcement of privileges—not a secure approach in most networks. Therefore use NFS only if you are on a local area network (LAN) with trusted client computers or if you are in an environment that can’t use Apple file sharing or Windows file sharing. If you have Internet access and plan to export to World, your server should be behind a firewall. See “Network File System (NFS) Service” on page 256 for more information about NFS. File Transfer Protocol (FTP) FTP allows computers to transfer files over the Internet. Clients using any operating system that supports FTP can connect to your FTP file server and download files, depending on the permissions you set. Most Internet browsers and a number of freeware applications can be used to access your FTP server. FTP service in Mac OS X Server supports Kerberos v5 authentication and, for most FTP clients, resuming of interrupted FTP file transfers. Mac OS X Server also supports dynamic file conversion, allowing users to request compressed or decompressed versions of information on the server. FTP is considered to be an insecure protocol, since user names and passwords are distributed across the Internet in clear text. Because of the security issues associated with FTP authentication, most FTP servers are used as Internet file distribution servers for anonymous FTP users. Mac OS X Server supports anonymous FTP and by default prevents anonymous FTP users from deleting files, renaming files, overwriting files, and changing file permissions. Explicit action must be taken by the server administrator to allow uploads from anonymous FTP users, and then only into a specific share point. See “File Transfer Protocol (FTP) Service” on page 244 for details about FTP. Print Service Print service in Mac OS X Server lets you share network and direct-connect printers among clients on your network. Print service also includes support for managing print queues, monitoring print jobs, logging, and using print quotas. Print service lets you m share printers with Mac OS 9 (PAP, LaserWriter 8), Mac OS X (IPP, LPR/LPD), Windows (SMB/CIFS), and UNIX (LPR/LPD) clients m share direct-connect USB printers with Mac OS X version 10.2 and later clients m connect to network printers using AppleTalk, LPR, and IPP and connect to direct-connect printers using USB m make printers visible using Open Directory directory domainsAdministering Your Server 51 m impose print quotas to limit printer usage See Chapter 7, “Print Service,” for information about print service. Web Service Web service in Mac OS X Server is based on Apache, an open-source HTTP Web server. A Web server responds to requests for HTML Web pages stored on your site. Open-source software allows anyone to view and modify the source code to make changes and improvements. This has led to Apache’s widespread use, making it the most popular Web server on the Internet today. Web service includes a high-performance, front-end cache that improves performance for Web sites that use static HTML pages. With this cache, static data doesn’t need to be accessed by the server each time it is requested. Web service also includes support for Web-based Distributed Authoring and Versioning, ( WebDAV ). With WebDAV capability, your client users can check out Web pages, make changes, and then check the pages back in while the site is running. In addition, Mac OS X users can use a WebDAV-enabled Web server as if it were a file server. Web service’s Secure Sockets Layer (SSL) support enables secure encryption and authentication for ecommerce Web sites and confidential materials. An easy-to-use digital certificate provides non-forgeable proof of your Web site identity. Mac OS X Server offers extensive support for dynamic Web sites: m Web service supports Java Servlets, JavaServer Pages, MySQL, PHP, Perl, and UNIX and Mac CGI scripts. m Mac OS X Server also includes WebObjects deployment software. WebObjects offers a flexible and scalable way to develop and deploy ecommerce and other Internet applications. WebObjects applications can connect to multiple databases and dynamically generate HTML content. You can also purchase the WebObjects development tools if you want to create WebObjects applications. For more information and documentation on WebObjects, go to the WebObjects Web page: www.apple.com/webobjects See Chapter 8, “Web Service,” for details about Web service. Mail Service Mail services support the SMTP, POP, and IMAP protocols, allowing you to select a local or server-based mail storage solution for your users. 52 Chapter 1 With remote mail administration you can manage the message database from any IMAP client. Realtime Blackhole List support allows you to block messages from known spam sources. Support for single or dual IMAP/POP3 mail inboxes gives flexibility in mail retrieval; a user can have a POP mailbox for office use and an IMAP mailbox for mobile use. Automatic blind copying (BCC) on incoming mail from specified hosts lets you track email coming from specific sites. You can limit the amount of disk space a user consumes for mail messages. To protect email communication from eavesdroppers, mail service features SSL encryption of IMAP connections between the mail server and clients, SMTP AUTH authentication using LOGIN and PLAIN, and APOP and Kerberos v5 authentication for POP, IMAP, and SMTP clients. For complete information about mail services, see Chapter 9, “Mail Service.” Macintosh Workgroup Management Mac OS X Server provides work environment personalization for Mac OS 8, 9, and X computer users, ranging from preference management to operating system and application installation automation. Client Management You can use Mac OS X Server to manage the work environments of Mac OS 8, 9, and X clients. Preferences you define for individual users, groups of users, and computers provide your Macintosh users with a consistent desktop, application, and network appearance regardless of the Macintosh computer to which they log in. To manage Mac OS 8 and 9 clients, you use Macintosh Manager, described in Chapter 10, “Client Management: Mac OS 9 and OS 8.” To manage Mac OS X clients, you use Workgroup Manager, as Chapter 6, “Client Management: Mac OS X,” describes. Mac OS X client management has several advantages: m You can take advantage of the directory services autoconfiguration capability to automatically set up the directory services used by Mac OS X client computers. m When you update user, group, and computer accounts, managed Mac OS X users inherit changes automatically. You update Mac OS 8 and 9 accounts independently, using Macintosh Manager. m You have more direct control over individual system preferences. m Network home directories and group directories can be mounted automatically at login. NetBoot NetBoot lets Macintosh clients boot from a system image located on Mac OS X Server instead of from the client computer’s disk drive. You can set up multiple NetBoot disk images, so you can boot clients into Mac OS 9 or X or even set up customized Macintosh environments for different groups of clients.Administering Your Server 53 NetBoot can simplify the administration and reduce the support normally associated with large-scale deployments of network-based Macintosh systems. NetBoot is ideal for an organization with a number of client computers that need to be identically configured. For example, NetBoot can be a powerful solution for a data center that needs multiple identically configured Web and application servers. NetBoot allows administrators to configure and update client computers instantly by simply updating a boot image stored on the server. Each image contains the operating system and application folders for all clients on the server. Any changes made on the server are automatically reflected on the clients when they reboot. Systems that are compromised or otherwise altered can be instantly restored simply by rebooting. See Chapter 12, “NetBoot,” for information about setting up and managing NetBoot. Network Install Network Install is a centrally managed installation service that allows administrators to selectively install, restore, or upgrade client computers. Installation images can contain the latest release of Mac OS X, a software update, site-licensed or custom applications, even configuration scripts: m Network Install is an excellent solution for operating system migrations, installing software updates and custom software packages, restoring computer classrooms and labs, and reimaging desktop and portable computers. m You can define custom installation images for various departments in an organization, such as marketing, engineering, and sales. With Network Install you don’t need to insert multiple CDs to configure a system. All the installation files and packages reside on the server and are installed onto the client computer at one time. Network Install also includes pre- and post-installation scripts you can use to invoke actions prior to or after the installation of a software package or system image. See Chapter 13, “Network Install,” for more information about Network Install. Network Services Mac OS X Server includes these network services for helping you manage Internet communications on your TCP/IP network: m Dynamic Host Configuration Protocol (DHCP) m Domain Name System (DNS) m IP firewall m Service Location Protocol Directory Agent (SLP DA)54 Chapter 1 DHCP DHCP helps you administer and distribute IP addresses dynamically to client computers from your server. From a block of IP addresses that you define, your server locates an unused address and “leases” it to client computers as needed. DHCP is especially useful when an organization has more clients than IP addresses. IP addresses are assigned on an as-needed basis, and when they are not needed they are available for use by other clients. As you learned in “Search Policies” on page 48, you can automate the directory services setup of Mac OS X clients using your DHCP server’s Option 95 support. This option lets client computers learn about their directory settings from an LDAP server. Chapter 11, “DHCP Service,” provides information about your server’s DHCP capabilities. DNS DNS service lets users connect to a network resource, such as a Web or file server, by specifying a host name (such as server.apple.com) rather than an IP address (192.168.11.12). DNS is a distributed database that maps IP addresses to domain names. A server that provides DNS service keeps a list of names and the IP addresses associated with the names. When a computer needs to find the IP address for a name, it sends a message to the DNS server (also known as a name server). The name server looks up the IP address and sends it back to the computer. If the name server doesn’t have the IP address locally, it sends messages to other name servers on the Internet until the IP address is found. You will use DNS if you use SMTP mail service or if you want to create subdomains within your primary domain. You will also use DNS if you are hosting multiple Web sites. If you don’t have an Internet service provider (ISP) who handles DNS for your network, you can set up a DNS server on your Mac OS X Server. You’ll find complete information about DNS in Chapter 14, “DNS Service.” IP Firewall IP firewall service protects your server and the content you store on it from intruders. It provides a software firewall, scanning incoming IP packets and accepting or rejecting them based on filters you define. You can set up server-wide restrictions for packets from specific IP addresses. You can also restrict access to individual services—such as Web, mail, and FTP—by defining filters for the ports used by the services. See Chapter 15, “Firewall Service,” for more information about this service. SLP DA Service Location Protocol (SLP) provides structure to the services available on a network and gives users easy access to them. Administering Your Server 55 Anything that can be addressed using a URL can be a network service—for example, file servers and WebDAV servers. When a service is added to your network, the service uses SLP to register itself on the network; you don’t need to configure it manually. When a client computer needs to locate a network service, it uses SLP to look for services of that type. All registered services that match the client computer’s request are displayed for the user, who then can choose which one to use. SLP Directory Agent (DA) is an improvement on basic SLP, providing a centralized repository for registered network services. You can set up a DA to keep track of services for one or more scopes (groups of services). When a client computer looks for network services, the DA for the scope in which the client computer is connected responds with a list of available network services. Because a client computer only needs to look locally for services, network traffic is kept to a minimum and users can connect to network services more quickly. See Chapter 16, “SLP DA Service,” for information about this service. QuickTime Streaming Service QuickTime Streaming Server (QTSS) lets you stream multimedia in real time using the industry-standard RTSP/RTP protocols. QTSS supports MPEG-4, MP3, and QuickTime file formats. You can deliver live and prerecorded media over the Internet to both Macintosh and Windows users, or relay streamed media to other streaming servers. You can provide unicast streaming, which sends one stream to each individual client, or multicast streaming, which sends the stream to a group of clients. For more information about QTSS, refer to the QuickTime Web site: www.apple.com/quicktime/products/qtss/ You can use QuickTime Broadcaster in conjunction with QTSS when you want to produce a live event. QuickTime Broadcaster allows you to stream live audio and video over the Internet. QuickTime Broadcaster meets the needs of both beginners and professionals by providing preset broadcast settings and the ability to create custom settings. Built on top of the QuickTime architecture, QuickTime Broadcaster enables you to produce a live event using most codecs that QuickTime supports. When teamed with QuickTime Streaming Server or Darwin Streaming Server, QuickTime Broadcaster can produce a live event for delivery to an audience of any size, from an individual to a large global audience. For information about QuickTime Broadcaster, go to this Web site and navigate to the QuickTime Broadcaster page: www.apple.com/quicktime/56 Chapter 1 Highlighting Server Applications This section introduces you to the applications, tools, and techniques you use to set up and administer your Mac OS X Server. The following table summarizes them and tells you where to find more information about them. Application, tool, or technique Use to For more information, see Server Assistant Initialize services page 58 Open Directory Assistant Create or set up access to existing NetInfo and LDAPv3 directory domains and create and configure Password Servers page 58 Directory Access Configure access to data in existing directory domains and define a search policy page 59 Workgroup Manager Administer accounts, manage share points, and administer client management for Mac OS X users page 59 Server Settings Configure file, print, mail, Web, NetBoot, and network services page 60 Server Status Monitor services page 61 Macintosh Manager Administer client management for Mac OS 8 and 9 users page 62 NetBoot administration tools Manage NetBoot disk images page 62 Package Maker Create Network Install installation packages page 62 Server Monitor Review information about Xserve hardware page 62 Streaming Server Admin Set up and manage QuickTime Streaming Server (QTSS) page 63 Terminal Run command-line tools page 552 Secure shell (SSH) Use Terminal to run command-line tools for remote servers securely page 553 dsimportexport Import and export user and group accounts using XML or text files page 555Administering Your Server 57 log rolling scripts Periodically roll, compress, and delete server log files page 555 diskspacemonitor Monitor percentage-full disk thresholds and execute scripts that generate email alerts and reclaim disk space when thresholds are reached page 556 diskutil Manage Mac OS X Server disks and volumes remotely page 557 installer Install software packages remotely page 558 softwareupdate Find new versions of software and install them remotely on a server page 561 systemsetup Configure system preferences on a remote server page 561 networksetup Configure network services for a particular network hardware port on a remote server page 562 MySQL Manager Manage the version of MySQL that is installed with Mac OS X Server page 565 Simple Network Management Protocol (SNMP) administration tools Monitor your server using the SNMP interface page 566 diskKeyFinder Verify the physical location of a remote headless server volume that you want to manage page 566 Enabling IP failover Set up a standby server that takes over if the primary server fails page 567 Application, tool, or technique Use to For more information, see58 Chapter 1 Administering a Server From Different Computers You can use the server applications to manage the local server or to manage a remote server, including headless servers. You can also manage Mac OS X Servers remotely from an administrator computer. An administrator computer is a Mac OS X computer onto which you have installed the server applications from the Mac OS X Server Administration Tools CD. The following sections give you more information about the first 11 applications in the table above, including instructions for using them to manage a remote server. The remaining applications and tools are for use by experienced server administrators; see Chapter 17, “Tools for Advanced Users,” for information about them. Server Assistant Server Assistant is the application you use to perform initial service setup of a Mac OS X Server. You can use Server Assistant the first time you set up a local or remote Mac OS X Server. See Getting Started With Mac OS X Server for instructions. Open Directory Assistant Use Open Directory Assistant to create shared server–resident NetInfo or LDAPv3 directory domains, set up Password Servers, and configure access to shared domains and Password Servers. You can run Open Directory Assistant immediately after running Server Assistant, or you can run it later, as many times as you like. Administrator computer Mac OS X ServersAdministering Your Server 59 You’ll find Open Directory Assistant in /Applications/Utilities/. For information about how to use the application, see Chapter 2, “Directory Services.” Directory Access Directory Access is the primary application for setting up a Mac OS X computer’s connections with directory domains as well as defining the computer’s search path. Unlike Open Directory Assistant, Directory Access does not create directory domains. It m configures connections with existing domains m enables or disables service discovery protocols (AppleTalk, Rendezvous, SLP, and SMB) m enables or disables directory protocols (LDAPv2, LDAPv3, NetInfo, and BSD configuration files) In addition, Directory Access is available on both Mac OS X Servers and Mac OS X client computers, whereas Open Directory Assistant is available only on servers. You’ll find Directory Access in /Applications/Utilities/. For information about how to use it, see Chapter 2, “Directory Services.” Workgroup Manager You use Workgroup Manager to administer user, group, and computer accounts; manage share points; and administer client management for Mac OS X users. For information about using Workgroup Manager to administer user and group accounts, see Chapter 3, “Users and Groups.” For information about using it to administer computer accounts and client management settings, see Chapter 6, “Client Management: Mac OS X,” and Chapter 10, “Client Management: Mac OS 9 and OS 8.” Chapter 4, “Sharing,” describes how to use Workgroup Manager to manage share points. Opening and Authenticating in Workgroup Manager Workgroup Manager is installed in /Applications/Utilities/ when you install your server or set up an administrator computer. To open Workgroup Manager, click the Workgroup Manager icon in the Dock of Mac OS X Server or in the toolbar of Server Status: m To open Workgroup Manager on the server you are using without authenticating, choose View Directories from the Server menu. You will have read-only access to information displayed in Workgroup Manager. To make changes, click the lock icon to authenticate as an administrator. This approach is most useful when you are administering different servers and working with different directory domains. m To authenticate as an administrator for a particular server, enter the server’s IP address or DNS name in the login window, or click Browse to choose from a list of servers. Specify the user name and password for an administrator of the server, then click Connect. Use this approach when you will be working most of the time with a particular server.60 Chapter 1 Major Workgroup Manager Tasks After login, the user account window appears, with lists of user, group, and computer accounts in the server’s local directory domain. Here is how to get started with the major tasks you’ll be performing with this application: m To administer user, group, or computer accounts, click the Accounts icon in the toolbar. See Chapter 3, “Users and Groups,” for information about user and group accounts and Chapter 6, “Client Management: Mac OS X,” for information about computer accounts. m To work with preferences for managed users, groups, or computers, click the Preferences icon in the toolbar. See Chapter 6, “Client Management: Mac OS X,” for instructions. m To work with share points, click the Sharing icon in the toolbar. See Chapter 4, “Sharing,” for instructions. m To work with accounts in different directory domains at the same time, open multiple Workgroup Manager windows by choosing New Workgroup Manager Window from the Server menu. m To open Server Status so you can monitor the status of a particular server, click the Status icon in the toolbar. See “Server Status” on page 61 for information about the Server Status application. m To open Server Settings so you can work with a server’s file, print, mail, Web, NetBoot, and network settings, choose Configure Services from the Server menu. See “Server Settings” on page 60 for information about the Server Settings application. m To control the way Workgroup Manager lists users and groups, whether it should use SSL transactions, and other behaviors, choose Preferences from the Workgroup Manager menu. m To customize the Workgroup Manager toolbar, choose Customize Toolbar from the View menu. m To retrieve online information, use the Help menu. It provides help for server administrators about Workgroup Manager as well as other Mac OS X Server topics. Server Settings You use Server Settings to administer file, print, mail, Web, NetBoot, and network services on a server. Server Settings is installed in /Applications/Utilities/ when you install your server or set up an administrator computer. To open Server Settings, click the Server Settings icon in the Dock of Mac OS X Server or choose Configure Services from the Server menu in Workgroup Manager. To select a server to work with, enter its IP address or DNS name in the login window, or click Browse to choose from a list of servers. Specify the user name and password for an administrator, then click Connect.Administering Your Server 61 Click the service modules arranged on the Server Settings tabs to choose commands that let you work with individual services: m For administering file and print services, select the File & Print tab to access modules. m For administering mail and Web service, select the Internet tab to access modules. m For administering IP Firewall, DHCP, NetBoot, DNS, and SLP DA services, select the Network tab to access modules. m To retrieve online information, use the Help menu. It provides help for server administrators about Server Settings as well as other Mac OS X Server topics. Server Settings is not compatible with versions of Mac OS X Server earlier than version 10.2. Server Status You use Server Status to monitor the services running on Mac OS X Servers. Server Status is installed in /Applications/Utilities/ when you install your server or set up an administrative computer. To open Server Status, click the Server Status icon in the Dock of Mac OS X Server or the Status icon in Workgroup Manager. To select a server to monitor, click the Connect button in the Server Status toolbar. Enter the IP address or DNS name of the server you want to monitor in the login window, or click Browse to choose from a list of servers. Specify the user name and password for an administrator, then click Connect. Select items in the Devices & Services list to monitor specific servers and services running on the servers: m To review general status information for a particular server, select the server name. m To review status information for a particular service running on a server, click the disclosure triangle next to the server name to see a list of its services. Then select the service of interest. m To add a server to the Devices & Services list, click Connect in the toolbar and log in to the server. The next time you open Server Status, any server you have added is displayed in the Devices & Services list and can be monitored again by selecting a server in the list. If a server in the list appears grey, double-click the server or click the Reconnect button in the toolbar to log in again. Check the Add to Keychain option while you log in to enable autoreconnect the next time you open Server Status. m To remove a server from the Devices & Services list, select the server, click the Disconnect button in the toolbar, and choose Remove From List from the Server menu. m To control the way Server Status lists servers and services, how often status data is refreshed, and other behaviors, choose Preferences from the Server Status menu. m To customize the Server Status toolbar, choose Customize Toolbar command from the View menu.62 Chapter 1 m To retrieve online information, use the Help menu. It provides help for server administrators about Server Status as well as other Mac OS X Server topics. Macintosh Manager You use Macintosh Manager to administer client management for Mac OS 8 and 9 client computers. You can use it locally (at the server) or remotely (from a Mac OS 9 or X computer on the same network as your Mac OS X Server). Open Macintosh Manager by clicking its icon in the Dock. Log in using a server, Macintosh Manager, or workgroup administrator user name and password. As a server administrator, you automatically have global administrator privileges for Macintosh Manager. See Chapter 10, “Client Management: Mac OS 9 and OS 8,” for more information. NetBoot Administration Tools There are several applications you use to administer NetBoot: m NetBoot Desktop Admin lets you modify Mac OS 9 images. m Network Image Utility lets you create and modify Mac OS X images. m The DHCP/NetBoot module of Server Settings lets you save NetBoot images. See Chapter 12, “NetBoot,” for information about these tools. Network Install Administration Application You use Package Maker to create Network Install packages. See Chapter 13, “Network Install,” for information about this application. Server Monitor You use Server Monitor to monitor Xserve hardware and trigger email notifications when circumstances warrant attention. Server Monitor shows you information about the installed operating system, drives, power supply, enclosure and processor temperature, cooling blowers, security, and network. Server Monitor is installed in /Applications/Utilities/ when you install your server or set up an administrator computer. Use the application to monitor local or remote servers: m To specify the Xserve server to monitor, click Add Server, identify the server of interest, and enter user name and password information for an administrator of the server. m Use the “Update every” pop-up menu to specify how often you want to refresh data. m Use the Export Items and Import Items buttons to manage different lists of Xserve servers you want to monitor. The Merge Items button lets you consolidate lists into one.Administering Your Server 63 m The system identifier lights on the front and back of an Xserve server light when service is required. Use Server Monitor to understand why the lights are on. You can also turn the lights on to identify a particular Xserve server in a rack of servers by selecting the server and clicking “system identifier light on” on the Info tab. m You can set Server Monitor to notify you by email when an Xserve server’s status changes. For each server, you set up the conditions that you want notification about. The email message can come from Server Monitor or from the server. m Server Monitor keeps logs of Server Monitor activity for each Xserve server. (The logs do not include system activity on the server.) The log shows, for example, the times Server Monitor attempted to contact the server, and whether a connection was successful. The log also shows server status changes. You can also use Server Monitor to get an Apple System Profiler report on a remote server. Streaming Server Admin To set up and manage QTSS, you use the Web-based Streaming Server Admin program. Streaming Server Admin lets you easily create and serve playlists, customize general settings, monitor connected users, view log files, manage user and bandwidth usage, and relay a stream from one server to another for scalability. To use Streaming Server Admin: 1 From Mac OS X Server, click the Streaming Server Admin icon in the Dock, then go to step 3. Alternatively, from a server with QTSS installed, open a Web browser. You can also use a Web browser from a remote Mac OS X computer. 2 Enter the URL for your Streaming Server Admin. For example, myserver.com:1220 Replace “myserver.com” with the name of your Streaming Server computer. 1220 is the port number. 3 The first time you run Streaming Server Admin, the Setup Assistant prompts you for your user name and password. To display online help information about using Streaming Server Admin, setting up secure administration (SSL), and setting up your server to stream hinted media, click the question mark button in the application. Information about QTSS is also available at the QuickTime Web site: www.apple.com/quicktime/products/qtss/64 Chapter 1 Where to Find More Information Regardless of your server administration experience, you may want to take advantage of the wide range of Apple customer training courses. To learn more, go to train.apple.com If You’re New to Server and Network Management If you want to learn more about Mac OS X Server, see the Mac OS X Server Web site: www.apple.com/macosx/server/ Online discussion groups can put you in touch with your peers. Many of the problems you encounter may already have been solved by other server administrators. To find the lists available through Apple, see the following site: www.lists.apple.com The AppleCare support site’s discussion boards are an additional source of information: www.info.apple.com/ Consider obtaining some of these reference materials. They contain background information, explanations of basic concepts, and ideas for getting the most out of your network. m Teach Yourself Networking Visually, by Paul Whitehead and Ruth Maran (IDG Books Worldwide, 1998). m Internet and Intranet Engineering, by Daniel Minoli (McGraw-Hill, 1997). In addition, NetworkMagazine.com offers a number of online tutorials on its Web site: www.networkmagazine.com If You’re an Experienced Server Administrator If you’re already familiar with network administration and you’ve used Mac OS X Server, Linux, UNIX, or a similar operating system, you may find these additional references useful. m A variety of books from O’Reilly & Associates cover topics applicable to Mac OS X Server, such as Internet Core Protocols: The Definitive Reference, DNS and BIND, and TCP/IP Network Administration. For more advanced information, see Apache: The Definitive Guide, Writing Apache Modules with Perl and C, Web Performance Tuning, and Web Security & Commerce, also published by O’Reilly and Associates. See the O’Reilly & Associates Web site: www.ora.com m See the Apache Web site for detailed information about Apache: www.apache.org/65 C H A P T E R 2 2 Directory Services Directory services provide a central repository for information about the systems, applications, and users in an organization. In education and enterprise environments, directory services are the ideal way to manage users and computing resources. Organizations with as few as 10 people can benefit by deploying directory services. Directory services can be doubly beneficial. They centralize system and network administration, and they simplify a user’s experience on the network. With directory services, information about all the users—such as their names, passwords, and preferences—as well as printers and other resources on a network can be maintained in a single location rather than on each computer on the network. Using directory services can reduce the system administrator’s user management burden. In addition, users can log in to any authorized computer on the network. Anywhere a user logs in, the user’s personal Desktop appears, customized for the user’s individual preferences. The user always has access to personal files and can easily locate and use authorized network resources. Apple has built an open, extensible directory services architecture, called Open Directory, into Mac OS X and Mac OS X Server. A Mac OS X Server or Mac OS X client computer can use Open Directory to retrieve authoritative information about users and network resources from a variety of sources: m directory domains on the computer itself and on other Mac OS X Servers m directory domains on other servers, including LDAP directory domains and Active Directory domains on non-Apple servers m BSD configuration files located on the computer itself m network services, such as file servers, that make themselves known with the Rendezvous, AppleTalk, SLP, or SMB service discovery protocols Mac OS 9 and Mac OS 8 managed clients also use Open Directory to retrieve some user information. For more information, see “How Macintosh Manager Works With Directory Services” on page 420 in Chapter 10, “Client Management: Mac OS 9 and OS 8.”66 Chapter 2 The Open Directory architecture also includes Open Directory Password Server. A Password Server can securely store and validate the passwords of users who want to log in to client computers on your network or use other network resources that require authentication. A Password Server can also enforce such policies as password expiration and minimum length. To understand the information in this chapter, you should be comfortable with Mac OS X. You do not need advanced network administrator or UNIX experience to use directory services provided by Mac OS X Servers. If you want to integrate LDAP directories from other servers, you need to be familiar with LDAP. If you want to integrate Active Directory servers, you need to be familiar with Active Directory and LDAP. You need to be comfortable with UNIX if you want to integrate BSD configuration files. Storage for Data Needed by Mac OS X Directory services act as an intermediary between directory domains, which store information about users and resources, and the application and system software processes that want to use the information. A directory domain stores information in a specialized database that is optimized to handle a great many requests for information and to find and retrieve information quickly. Information may be stored in one directory domain or in several related directory domains. Processes running on Mac OS X computers can use directory services to save information in a directory domain. For example, when you set up a user account, the application that you use to do this has directory services store information about the user in a directory domain. m On a computer with Mac OS X version 10.2, you use the My Account pane or the Accounts pane of System Preferences to set up user accounts that are valid only on the one computer. m On a computer with Mac OS X Server version 10.2, you use the Accounts module of Workgroup Manager to set up user accounts that are valid on all Mac OS X computers on your network. You can specify additional user attributes in a network user account, such as the location of the user’s home directory. Printers Groups Servers Users Mounts Processes Directory domains Directory servicesDirectory Services 67 Whether you use Workgroup Manager or System Preferences to create a user account, the user information is stored in a directory domain. When someone attempts to log in to a Mac OS X computer, the login process uses Mac OS X directory services—Open Directory—to validate the user name and password. A Historical Perspective Like Mac OS X, Open Directory has a UNIX heritage. Open Directory provides access to administrative data that UNIX systems have generally kept in configuration files, which require much painstaking work to maintain. (Some UNIX systems still rely on configuration files.) Open Directory consolidates the data and distributes it for ease of access and maintenance. Directory domain Directory services Accounts Accounts68 Chapter 2 Data Consolidation For years, UNIX systems have stored administrative information in a collection of files located in the /etc directory. This scheme requires each UNIX computer to have its own set of files, and processes that are running on a UNIX computer read its files when they need administrative information. If you’re experienced with UNIX, you probably know about the files in the /etc directory—group, hosts, hosts.eq, passwd, and so forth. For example, a UNIX process that needs a user’s password consults the /etc/passwd file, which contains a record for each user account. A UNIX process that needs group information consults the /etc/group file. Open Directory consolidates administrative information, simplifying the interactions between processes and the administrative data they create and use. UNIX processes /etc/ passwd /etc/ hosts /etc/ group Mac OS X processes Directory servicesDirectory Services 69 Processes no longer need to know how and where administrative data is stored. Open Directory gets the data for them. If a process needs the location of a user’s home directory, the process simply has Open Directory retrieve the information. Open Directory finds the requested information, and then returns it, insulating the process from the details of how the information is stored. If you set up Open Directory to access administrative data in several directory domains, Open Directory automatically consults them as needed. Some of the data stored in a directory domain is identical to data stored in UNIX configuration files. For example, the authentication attributes, home directory location, real name, user ID, and group ID—all stored in the user records of a directory domain—have corresponding entries in the standard /etc/passwd file. However, a directory domain stores much additional data to support functions that are unique to Mac OS X, such as support for managed clients and Apple Filing Protocol (AFP) directories. Data Distribution Another characteristic of UNIX configuration files is that the administrative data they contain is available only to the computer on which they are stored. Each computer has its own UNIX configuration files. With UNIX configuration files, each computer that someone wants to use must have that person’s user account settings stored on it, and each computer must store the account settings for every person who may want to use the computer. To set up a computer’s network settings, the administrator needs to go to the computer and directly enter the IP address and other information that identifies the computer on the network. Similarly, when user or network information needs to be changed in UNIX configuration files, the administrator must make the changes on the computer where the files reside. Some changes, such as network settings, require the administrator to make the same changes on multiple computers. This approach becomes unwieldy as networks grow in size and complexity. Directory domain Mac OS X processes Directory domain Directory services70 Chapter 2 Open Directory solves this problem by letting you store administrative data in a directory domain that can be managed by a system administrator from one location. Open Directory lets you distribute the information so that it is visible on a network to the computers that need it and the administrator who manages it: Uses of Directory Data Open Directory makes it possible to consolidate and maintain network information easily in a directory domain, but this information has value only if application and system software processes running on network computers actually access the information. The real power of Open Directory is not that it provides directory services, but the fact that Mac OS X software accesses data through Open Directory. Here are some of the ways in which Mac OS X system and application software use directory data: m Authentication. As mentioned already, the Accounts module of Workgroup Manager or the Accounts pane of System Preferences creates user records in a directory domain, and these records are used to authenticate users who log in to Mac OS X computers. When a user specifies a name and a password in the Mac OS X login window, the login process asks Open Directory for the user record that corresponds to the name that the user specified. Open Directory finds the user record in a directory domain and retrieves the record. Directory services System administrator Users Directory domainDirectory Services 71 m Folder and file access. After logging in successfully, a user can access files and folders. Mac OS X uses another data item from the user record—the user ID (UID)—to determine the user’s access privileges for a file or folder that the user wants to access. When a user accesses a folder or file, the file system compares this user’s UID to the UID assigned to the folder or file. If the UIDs are the same, the file system grants owner privileges (usually read and write privileges) to the user. If the UIDs are different, the user doesn’t get owner privileges. m Home directories. Each user record in a directory domain stores the location of the user’s home directory, which is also known as the user’s home folder. This is where the user keeps personal files, folders, and preferences. A user’s home directory can be located on a particular computer that the user always uses or on a network file server. m Automount share points. Share points can be configured to automount (appear automatically) in the /Network folder (the Network globe) in the Finder windows of client computers. Information about these automount share points is stored in a directory domain. Share points are folders, disks, or disk partitions that you have made accessible over the network. m Mail account settings. Each user’s record in a directory domain specifies whether the user has mail service, which mail protocols to use, how to present incoming mail, whether to alert the user when mail arrives, and more. m Resource usage. Disk, print, and mail quotas can be stored in each user record of a directory domain. m Managed client information. A user’s personal preference settings, as well as preset preferences that affect the user, are stored in a directory domain. m Group management. In addition to user records, a directory domain also stores group records. Each group record affects all users who are in the group. Information in group records specifies preferences settings for group members. Group records also determine access to files, folders, and computers. Inside a Directory Domain Information in a directory domain is organized into record types, which are specific categories of records, such as users, machines, and mounts. For each record type, a directory domain may contain any number of records. Each record is a collection of attributes, and each attribute has one or more values. If you think of each record type as a spreadsheet that contains a category of information, then records are like the rows of the spreadsheet, attributes are like spreadsheet columns, and each spreadsheet cell contains one or more values.72 Chapter 2 For example, when you define a user by using the Accounts module of Workgroup Manager, you are creating a user record (a record of the user’s record type). The settings that you configure for the user—short name, full name, home directory location, and so on—become values of attributes in the user record. The user record and the values of its attributes reside in a directory domain. Discovery of Network Services Open Directory can provide more than administrative data from directories. Open Directory can also provide information about services that are available on the network. For example, Open Directory can provide information about file servers that are currently available. Information about file servers and other services tends to change much more frequently than information about users. Therefore, information about network services typically isn’t stored in directory domains. Instead, information about file servers and other network servers is discovered as the need arises. Open Directory can discover network services that make their existence and whereabouts known. Services make themselves known by means of standard protocols. Open Directory supports the following service discovery protocols: m Rendezvous, the Apple protocol that uses multicast DNS m AppleTalk, the legacy Mac OS protocol for file services m Service Location Protocol (SLP), an open standard for discovering file and print services m Server Message Block (SMB), the protocol used by Microsoft Windows Directory services File server File serverDirectory Services 73 In fact, Open Directory can provide information about network services both from service discovery protocols and from directory domains. To accomplish this, Open Directory simply asks all its sources of information for the type of information requested by a Mac OS X process. The sources that have the requested type of information provide it to Open Directory, which collects all the provided information and hands it over to the Mac OS X process that requested it. For example, if Open Directory requests information about file servers, the file servers on the network respond via service discovery protocols with their information. A directory domain that contains relatively static information about some file servers also responds to the request. Open Directory collects the information from the service discovery protocols and the directory domains. When Open Directory requests information about a user, service discovery protocols don’t respond because they don’t have user information. (Theoretically, AppleTalk, Rendezvous, SMB, and SLP could provide user information, but in practice they don’t have any user information to provide.) The user information that Open Directory collects comes from whatever sources have it—from directory domains. Directory Domain Protocols Administrative data needed by directory services is stored on Mac OS X Servers in Open Directory databases. An Open Directory database is one type of directory domain. Open Directory can use either of two protocols to store and retrieve directory data: Directory File server services File server Directory domain74 Chapter 2 m Lightweight Directory Access Protocol (LDAP), an open standard commonly used in mixed environments m NetInfo, the Apple directory services protocol for Mac OS X The directory services of Mac OS X version 10.2—Open Directory—can also store and retrieve administrative data that resides in existing directory domains on other servers. Open Directory can read and write data in the following domains: m Shared NetInfo domains on other Mac OS X computers (servers or clients) m OpenLDAP directories on various UNIX servers m Active Directory domains on Windows servers m Other LDAPv3-compliant directories that are configured to allow remote administration and read and write access In addition, Open Directory can retrieve but not store administrative data in the following domains: m BSD configuration files located on the Mac OS X Server m LDAPv2 domains and read-only LDAPv3 domains on other servers Local and Shared Directory Domains Where you store your server’s user information and other administrative data is determined by whether the data needs to be shared. Local Data Every Mac OS X computer has a local directory domain. A local domain’s administrative data is visible only to applications and system software running on the computer where the domain resides. It is the first domain consulted when a user logs in or performs some other operation that requires data stored in a directory domain. When the user logs in to a Mac OS X computer, Open Directory searches the computer’s local directory domain for the user’s record. If the local directory domain contains the user’s record (and the user typed the correct password), the login process proceeds and the user gets access to the computer. Local domain Local domain Log in to Mac OS X Connect to Mac OS X ServerDirectory Services 75 After login, the user may choose Connect To Server from the Go menu and connect to a file server on a computer running Mac OS X Server. In this case, Open Directory on the server searches for the user’s record in the server’s local directory domain. If the server’s local directory domain has a record for the user (and the user types the correct password), the server grants the user access to the file services. When you first set up a Mac OS X computer, its local directory domain is automatically created and populated with records. For example, a user record is created for the user who performed the installation. It contains the user name and password entered during setup, as well as other information, such as a unique ID for the user and the location of the user’s home directory. Shared Data While Open Directory on any Mac OS X computer can store administrative data in the computer’s local directory domain, the real power of Open Directory is that it lets multiple Mac OS X computers share administrative data by storing the data in shared directory domains. When a computer is configured to use a shared domain, any administrative data in the shared domain is also visible to applications and system software running on that computer. If Open Directory does not find a user’s record in the local domain of a Mac OS X computer, Open Directory automatically searches for the user’s record in any shared domains to which the computer has access. In the following example, the user can access both computers because the shared domain accessible from both computers contains a record for the user. Shared domains generally reside on Mac OS X Servers, because servers are equipped with the tools, such as Workgroup Manager and Server Settings, that facilitate managing network resources and network users. Shared domain Local domain Local domain Log in to Mac OS X Connect to Mac OS X Server76 Chapter 2 Similarly, you can make network resources such as printers visible to certain computers by setting up printer records in a shared domain accessed by those computers. For example, graphic artists in a company might need to access color printers, while copy center personnel need to use high-speed laser printers. Rather than configuring printer access for each computer individually, you could use the Print module of Server Settings to add printers to two shared domains: Graphics and Repro. Printers visible in the Print Center of graphic artists’ computers would be those in the Graphics domain, while printers in the Repro domain would be visible to computers used by copy center personnel. Printers that have records in shared domains appear in the Directory Services printer list in Print Center. Repro domain Graphics domain Graphic artists Copy center personnelDirectory Services 77 While some devices may need to be used only by specific departments, other resources, such as personnel forms, may need to be shared by all employees. You could make a folder of those forms available to everybody by setting up a share point for the folder in another shared domain that all computers can access. The shared domain at the top of a hierarchy of directory domains is sometimes called the root domain. Repro domain Company domain Graphics domain Graphic artists Copy center personnel78 Chapter 2 Shared Data in Existing Directory Domains Some organizations—such as universities and worldwide corporations—maintain user information and other administrative data in directory domains on UNIX or Windows servers. Open Directory can be configured to search these non-Apple domains as well as shared Open Directory domains of Mac OS X Servers. When a user logs in to a computer on your network, Open Directory still searches for the user in the computer’s local domain and in shared domains on Mac OS X Servers. But if the user is not found and Open Directory has been configured to search an LDAP domain on a UNIX server, Open Directory consults the LDAP domain for information about the user. Directory Domain Hierarchies Local and shared domains are organized into hierarchies, tree-like topologies that have a shared domain at the top and local domains at the bottom of the tree. A hierarchy can be as simple as a local domain and a shared domain, or it can contain more shared domains. Mac OS 9 user Mac OS X user Windows user Mac OS X Server Local domain Shared domain LDAP server 2 1 3Directory Services 79 Two-Level Hierarchies The simplest hierarchy is a two-level hierarchy: Here’s a scenario in which a two-level hierarchy might be used: Each department (English, Math, Science) has its own computer. The students in each department are defined as users in the local domain of that department’s computer. All three of these local domains have the same shared domain, in which all the instructors are defined. Instructors, as members of the shared domain, can use services on all the departmental computers. The members of each local domain can only use services on the server where their local domain resides. Shared directory domain Local directory domain Local domain on English department’s computer Local domain on Math department’s computer Local domain on Science department’s computer Shared domain80 Chapter 2 While local domains reside on their respective servers, a shared domain can reside on any Mac OS X Server accessible from the local domain’s computer. In this example, the shared domain can reside on any server accessible from the departmental servers. It can reside on one of the departmental servers, or—as shown here—on an entirely different server on the network: When an instructor logs in to any of the three departmental servers and cannot be found in the local domain, the server searches the shared domain. In this example, there is only one shared domain, but in more complex hierarchies, there may be many shared domains. Faculty Mac OS X Server English department’s computer Math department’s computer Local domain Shared domain Local domain Science department’s computer Local domain Local domainDirectory Services 81 More Complex Hierarchies Open Directory also supports multilevel domain hierarchies. Complex networks with large numbers of users may find this kind of organization useful, although it’s much more complex to administer. In this scenario, an instructor defined in the Campus domain can use Mac OS X computers on which any of the local domains reside. A student defined in the Students domain can log in to any Mac OS X computers that are below the Graduates domain or Undergraduates domain. A directory domain hierarchy affects which Mac OS X computers can see particular administrative data. The “subtrees” of the hierarchy essentially hide information from other subtrees in the hierarchy. In the education example, computers using the subtree that includes the Graduates domain do not have access to records in the Undergraduates domain. But records in the Campus domain are visible to any computer. Directory domain visibility depends on the computer, not the user. So when a user logs in to a different computer, administrative data from different directory domains may be visible to that computer. In the education scenario described here, an undergraduate can log in to a graduate student’s computer if the undergraduate’s user record resides in the Students domain. But the devices that are defined in the Undergraduates domain are not visible unless they are also defined in the Graduates, Students, or Campus domain. Employees domain Students domain Campus domain Undergraduates domain Graduates domain Faculty domain Local domains on Mac OS X clients or servers82 Chapter 2 You can affect an entire network or just a group of computers by choosing which domain to publish administrative data in. The higher the administrative data resides in a directory domain hierarchy, the fewer places it needs to be changed as users and system resources change. Probably the most important aspect of directory services for administrators is planning directory domains and hierarchies. These should reflect the resources you want to share, the users you want to share them among, and even the way you want to manage your directory data. Search Policies for Directory Domain Hierarchies In a hierarchy of directory domains, each Mac OS X computer has a search policy that specifies the order in which Open Directory searches the domains. A search policy, also known as a search path, is simply a list of directory domains. On a Mac OS X computer, Open Directory goes down this list of directory domains whenever an application or system software running on the computer needs administrative data. The list of directory domains defines the computer’s search policy. The search policy effectively establishes the computer’s place in the hierarchy. A computer’s local directory domain is always first on the list. It may be followed by shared Open Directory domains on Mac OS X Servers and LDAP domains on other servers. It may also include a set of BSD configuration files that are on the computer. For example, when someone tries to log in to a Mac OS X computer, Open Directory searches the computer’s local domain for the user’s record. The local directory domain is always first on a computer’s search policy. Graduates domain Local domain Is the user defined here?Directory Services 83 If the local domain does not contain the user’s record, Open Directory goes to the next directory domain in the search policy. If the second directory domain also does not contain the user’s record, Open Directory searches the remaining directory domains in the search policy one by one until it searches the last shared domain. The Automatic Search Policy Initially, every computer with Mac OS X version 10.2 is set to use an automatic search policy. It consists of three parts, two of which are optional: m local directory domain m shared NetInfo domains (optional) m shared LDAPv3 domains (optional) A computer’s automatic search policy always begins with the computer’s local directory domain. Graduates domain Local domain Is the user defined here? No Is the user defined here? Campus domain Students domain Graduates domain Local domain No No No84 Chapter 2 Next the automatic search policy looks at the binding of shared NetInfo domains. The computer’s local domain may be bound to a shared NetInfo domain, which may in turn be bound to another shared NetInfo domain, and so on. The NetInfo binding, if any, constitutes the second part of the automatic search policy. See “Configuring NetInfo Binding” on page 111 for additional information. The third and final part of a computer’s automatic search policy consists of shared LDAPv3 domains. They are included only if the computer uses a DHCP service that’s configured to supply the addresses of one or more LDAPv3 servers. The DHCP service of Mac OS X Server can supply LDAPv3 servers. See “Setting the LDAP Server for DHCP Clients” on page 479 in Chapter 11, “DHCP Service.” A computer’s automatic search policy may change if the computer is moved to a part of the network served by a different DHCP service. When the user logs in at the new location, the computer connects to the new DHCP service. The new DHCP service may change the NetInfo binding and may supply a different list of LDAPv3 servers than the DHCP service at the former location. Custom Search Policies If you don’t want a Mac OS X version 10.2 computer—server or client—to use the automatic search policy supplied by DHCP, you can define a custom search policy for the computer. In this scenario, a custom search policy specifies that LDAP Server 1 be consulted when a user record or other administrative data cannot be found in the directory domains of the automatic search policy. The custom search policy also specifies that if the user information or other administrative data is not found on the LDAP server, a shared Open Directory domain named “Campus” is searched. Students domain Graduates domain Local domain LDAP Server 1 Campus domainDirectory Services 85 Directory Domain Planning Keeping information in shared directory domains gives you more control over your network, allows more users access to the information, and makes maintaining the information easier for you. But the amount of control and convenience depends on the effort you put into planning your shared domains. The goal of directory domain planning is to design the simplest hierarchy of shared domains that gives your Mac OS X users easy access to the network resources they need and minimizes the time you spend maintaining administrative data. General Planning Guidelines If you do not need to share user and resource information among multiple Mac OS X computers, there is very little directory domain planning necessary. Everything can be accessed from local directory domains. Just ensure that all individuals who need to use a particular Mac OS X computer are defined as users in the local directory domain on the computer. If you want to share information among Mac OS X computers, you need to set up at least one shared domain. A hierarchy this simple may be completely adequate when all your network computer users share the same resources, such as printers and share points for home directories, applications, and so forth. Local domain Local domain Log in to Mac OS X Connect to Mac OS X Server Shared domain Local domain Local domain Log in to Mac OS X Connect to Mac OS X Server86 Chapter 2 Larger, more complex organizations can benefit from a deeper directory domain hierarchy. Controlling Data Accessibility Hierarchies that contain several shared domains let you make directory information visible to only subsets of a network’s computers. In the foregoing example hierarchy, the administrator can tailor the users and resources visible to the community of Mac OS X computers by distributing directory information among six shared domains. If you want all computers to have access to certain administrative data, you store that data in the shared domain at the top of your hierarchy, where all computers can access it. To make some data accessible only to a subset of computers, you store it in a shared domain that only those computers can access. You might want to set up multiple shared directory domains to support computers used by specific groups within an organization. For example, you might want to make share points containing programming applications and files visible only to engineering computers. On the other hand, you might give technical writers access to share points that store publishing software and document files. If you want all employees to have access to each other’s home directories, you would store mount records for all the home directories in the topmost shared domain. Simplifying Changes to Data in Directory Domains If you need more than one shared directory domain, you should organize your hierarchy of shared domains to minimize the number of places data has to change over time. You should also devise a plan that addresses how you want to manage such ongoing events as m new users joining and leaving your organization m file servers being added, enhanced, or replaced Undergraduates domain Graduates domain Faculty domain Employees Students domain domain Campus domainDirectory Services 87 m printers being moved among locations You’ll want to try to make each directory domain applicable to all the computers that use it so you don’t have to change or add information in multiple domains. In the education hierarchy example, all students may have user records in the Students domain and all employees have accounts in the Employees domain. As undergraduate students leave or become graduate students, or as employees are hired or retire, the administrator can make adjustments to user information simply by editing one domain. If you have a widespread or complex hierarchy of directory domains in a network that is managed by several administrators, you need to devise strategies to minimize conflicts. For example, you can predefine ranges of user IDs (UIDs) to avoid inadvertent file access. (For more information, see “Defining User IDs” on page 144 in Chapter 3, “Users and Groups.”) Identifying Computers for Hosting Shared Domains If you need more than one shared domain, you need to identify the computers on which shared domains should reside. Shared domains affect many users, so they should reside on Mac OS X Servers that have the following characteristics: m restricted physical access m limited network access m equipped with high-availability technologies, such as uninterruptible power supplies You should select computers that will not be replaced frequently and that have adequate capacity for growing directory domains. While you can move a shared domain after it has been set up, you may need to reconfigure the search policies of computers that bind to the shared domain so that their login hierarchies remain intact. Open Directory Password Server Besides providing directory services on Mac OS X Servers and other Mac OS X computers, Open Directory can also provide authentication services. An Open Directory Password Server can store and validate user passwords for login and other network services that require authentication. A Password Server supports basic authentication as well as authentication protocols that protect the privacy of a password during transmission on the network. A Password Server lets you set up specific password policies for each user, such as automatic password expiration and minimum password length. Your Mac OS X Server can host a Password Server, or it can get authentication services from a Password Server hosted by another Mac OS X Server. 88 Chapter 2 Authentication With a Password Server When a user’s account is configured to use a Password Server, the user’s password is not stored in a directory domain. Instead, the directory domain stores a unique password ID assigned to the user by the Password Server. To authenticate a user, directory services pass the user’s password ID to the Password Server. The Password Server uses the password ID to find the user’s actual password and any associated password policy. For example, the Password Server may locate a user’s password but discover that it has expired. If the user is logging in, the login window asks the user to replace the expired password. Then the Password Server can authenticate the user. A Password Server can’t authenticate a user during login on a computer with Mac OS X version 10.1 or earlier. You’ll find more information about configuring user accounts to use a Password Server in “Understanding Password Validation” on page 189 of Chapter 3, “Users and Groups.” Network Authentication Protocols The Password Server is based on a standard known as Simple Authentication and Security Layer (SASL). This standard enables a Password Server to support the wide range of network user authentication protocols used by various network services of Mac OS X Server, such as mail service and file services. Here are a few of the network authentication protocols that the Password Server supports: m CRAM-MD5 m MD5 m APOP m NT and LAN Manager (for SMB) m SHA-1 m DHX m AFP 2-Way Random m WebDAV Digest Password Server Database The Password Server maintains a record for each user that includes the following: m Password ID, a 128-bit value assigned when the password is created. The value includes a key for finding a user’s Password Services record.Directory Services 89 m The password, stored in recoverable or hashed form. The form depends on the network authentication protocols enabled for the Password Server (using Open Directory Assistant). If APOP or 2-Way Random is enabled, the Password Server stores a recoverable (encrypted) password. If neither of these methods is enabled, only hashes of the passwords are stored. m Data about the user that is useful in log records, such as the user’s short name. m Password policy data. Password Server Security The Password Server stores passwords, but never allows passwords to be read. Passwords can only be set and verified. Malicious users who want to gain access to your server must try to log in over the network. Invalid password instances, logged by the Password Server, can alert you to such attempts. Using a Password Server offers flexible and secure password validation, but you need to make sure that the server on which a Password Server runs is secure: m Set up Password Servers on a server that is not used for any other activity. m Since the load on a Password Server is not particularly high, you can have several (or even all) of your Open Directory server domains share a single Password Server. m Set up IP firewall service so nothing is accepted from unknown ports. Password Server uses a well-known port. m Make sure that the Password Server’s computer is located in a physically secure location, and don’t connect a keyboard or monitor to it. m Equip the server with an uninterruptible power supply. The Password Server must remain available to provide authentication services. If the Password Server goes down, password validation cannot occur, because you cannot replicate a Password Server. Overview of Directory Services Tools The following applications help you set up and manage directory domains and Password Servers. m Open Directory Assistant. Use to create and configure shared or standalone Open Directory domains (NetInfo or LDAPv3) and to set up Open Directory Password Servers. Located in /Applications/Utilities. m Directory Access. Use to enable or disable individual directory service protocols; define a search policy; configure connections to existing LDAPv3, LDAPv2, and NetInfo domains; and configure data mapping for LDAPv3 and LDAPv2 domains. Located in /Applications/Utilities.90 Chapter 2 m Server Status. Use to monitor directory services and view directory services logs. Located in /Applications/Utilities. Experts can also use the following applications to manage directory domains: m Property List Editor. Use to add BSD configuration files that you want Open Directory to access for administrative data, and change the mapping of the data in each BSD configuration file to specific Mac OS X record types and attributes. Located in /Developer/ Applications if you have installed the developer tools from the Developer Tools CD. m NetInfo Manager. Use to view and change records, attributes, and values in an Open Directory domain (LDAPv3 or NetInfo) or in a NetInfo domain; manage a NetInfo hierarchy; and back up and restore a NetInfo domain. Located in /Applications/Utilities. m Terminal. Open to use UNIX command-line tools that manage NetInfo domains. Located in /Applications/Utilities. Setup Overview Here is a summary of the major tasks you perform to set up and maintain directory services. See the pages indicated for detailed information about each task. Step 1: Before you begin, do some planning See “Before You Begin” on page 91 for a list of items to think about before you start configuring directory domains. Step 2: Set up Open Directory domains and Password Servers Create shared directory domains on the Mac OS X Servers that you want to host them. At the same time, set up Open Directory Password Servers. See the following sections: m “Setting Up an Open Directory Domain and Password Server” on page 92 m “Deleting a Shared Open Directory Domain” on page 93 Step 3: Set up access to directory domains on other servers If some of your user information and other administrative data will not reside in Open Directory domains, you must make sure your other sources of data are set up for Mac OS X. For instructions, see the following sections of this chapter: m “Configuring Access to Existing LDAPv3 Servers” on page 98 m “Using an Active Directory Server” on page 104 m “Accessing an Existing LDAPv2 Directory” on page 106 m “Using NetInfo Domains” on page 110 m “Using Berkeley Software Distribution (BSD) Configuration Files” on page 115Directory Services 91 Step 4: Implement search policies Set up search policies so that all computers have access to the shared directory domains they need. Note that if all computers have Mac OS X version 10.2 and can use the automatic search policy, there is nothing to set up. Otherwise, see “Setting Up Search Policies” on page 94. If your network includes computers with Mac OS X versions earlier than 10.2, configure the local domain on each of them so that it binds to a shared NetInfo domain. See “Using NetInfo Domains” on page 110. Step 5: Configure Open Directory service protocols (optional) You may want to disable some of the protocols that Open Directory uses to access directory domains and to discover network services. See “Configuring Open Directory Service Protocols” on page 93. Before You Begin Before setting up directory services for the first time: m Understand why clients need directory data, as discussed in the first several sections of this chapter. m Assess your server access requirements. Identify which users need to access your Mac OS X Servers. Users whose information can be managed most easily on a server should be defined in a shared Open Directory domain on a Mac OS X Server. Some of these users may instead be defined in Active Directory domains or LDAP domains on other servers. For more information, see “Local and Shared Directory Domains” on page 74 and “Directory Domain Hierarchies” on page 78. m Understand search policies, as described in “Search Policies for Directory Domain Hierarchies” on page 82. m Design the hierarchy of shared directory domains. Determine whether user information should be stored in a local directory domain or in a directory domain that can be shared among servers. Design your directory domain hierarchy, identifying the shared and local domains you want to use, the servers on which the shared domains should reside, and the relationships between shared domains. In general, try to limit the number of users associated with any directory domain to no more than 10,000. “Directory Domain Planning” on page 85 provides some guidelines that will help you decide what your directory domain hierarchy should look like. m Assess your authentication needs.92 Chapter 2 Decide whether to use an Open Directory Password Server. Decide which Mac OS X Server will host the Password Server. See “Open Directory Password Server” on page 87. m Consider the best equipment and location for your servers. Choose computers and locations that are reliable and accessible. If possible, use a dedicated Mac OS X Server for directory services. Make the server physically secure. It shouldn’t have a keyboard or monitor, especially if it hosts a Password Server. m Pick server administrators very carefully. Give only trusted people administrator passwords. Have as few administrators as possible. Don’t delegate administrator access for minor tasks, such as changing settings in a user record. Always remember: directory information is authoritative. It vitally affects everyone whose computers use it. Setting Up an Open Directory Domain and Password Server You can use the Open Directory Assistant application to configure how a Mac OS X Server works with directory information and a Password Server. This application can configure a server to use a directory domain in one of the following ways: m Use a shared directory domain hosted by another server. m Host a shared Open Directory domain. m Use only the server’s own local directory domain. m Delete the server’s shared directory domain. In addition, Open Directory Assistant can configure a server to use a Password Server in one of the following ways: m Use an existing Password Server. m Host a Password Server. m Don’t use a Password Server. Open Directory Assistant runs automatically as part of the installation and setup process of Mac OS X Server. At any other time, you can open Open Directory Assistant from the Finder. To configure how your server works with directory information and a Password Server: 1 Open the Open Directory Assistant application. It is located in the /Applications/Utilities folder. 2 Enter the connection and authentication information for the Mac OS X Server that you want to configure, then click Connect.Directory Services 93 For Address, enter the DNS name or IP address of the server that you want to configure. For User Name, enter the user name of an administrator on the server. For Password, enter the password for the user name you entered. 3 Follow the self-guided steps for configuring the server’s use of a directory domain and a Password Server. Deleting a Shared Open Directory Domain You can delete a shared Open Directory domain that is hosted by a Mac OS X Server. Use Open Directory Assistant to do this. To delete a shared directory domain hosted by a Mac OS X Server: 1 Start Open Directory Assistant. 2 Enter the connection and authentication information for the Mac OS X Server that hosts the shared domain you want to delete, then click Connect. For Address, enter the DNS name or IP address of the server. For User Name, enter the user name of an administrator on the server. For Password, enter the password for the user name you entered. 3 Choose Delete Hosted Domain from the Domain menu. After deleting a shared domain that is supplied automatically by DHCP, you must remove it from the DHCP service. Otherwise client computers may pause for long periods of time while trying to access the deleted domain. For instructions, see “Setting the LDAP Server for DHCP Clients” on page 479 in Chapter 11, “DHCP Service.” Configuring Open Directory Service Protocols Open Directory uses many protocols to access administrative data in directory domains and discover services on the network. You can enable or disable each of the protocols individually by using the Directory Access application. The protocols include m AppleTalk, the legacy Mac OS protocol for file and print services m BSD Configuration Files, the original method still used by some organizations for accessing administrative data on UNIX computers m Lightweight Directory Access Protocol version 2 (LDAPv2), an open standard that Open Directory can use to access (read-only) directory domains on a variety of servers Warning When you delete a directory domain, all user account information and other administrative data that it contains is lost.94 Chapter 2 m LDAPv3, a newer version of the popular directory services protocol, which Open Directory uses to access (read and write) data in Open Directory domains on computers and servers with Mac OS X version 10.2, Active Directory domains on Windows servers, and directory domains on various other servers m NetInfo, an Apple directory services protocol that Open Directory can use to access (read and write) data in directory domains on all Mac OS X computers m Rendezvous, an Apple protocol for discovering file, print, and other services on Internet Protocol (IP) networks m Service Location Protocol (SLP), an open standard for discovering file and print services on IP networks m Server Message Block (SMB), a protocol used by Microsoft Windows for file and print services If you disable a protocol on a computer, Open Directory does not use it for directory access or service discovery on the computer. Other network services may still use the protocol, however. For example, if you disable the AppleTalk protocol, Open Directory does not use it to discover file servers, but you can still connect to an AppleTalk file server if you know its URL. To enable or disable protocols used by Open Directory: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Click the checkbox next to the protocol that you want to enable or disable. 4 Click Apply. Setting Up Search Policies This section describes how to configure the search policy that Open Directory uses when it retrieves authentication information and other administrative data from directory domains. The search policy can also include protocols for discovering services on the network, such as file and print services. A Mac OS X computer—server or client—actually has more than one search policy. The authentication search policy is used to find authentication information and most other administrative data. The contacts search policy is used by mail, address book, personal information manager, and similar applications to locate name, address, and other contact information.Directory Services 95 You can configure the authentication search policy for a Mac OS X Server or other Mac OS X computer by using the Directory Access application. You can use the same application to configure the computer’s contacts search policy. (The Open Directory Assistant application also configures the authentication search policy of a Mac OS X Server, but does not offer as many options as Directory Access.) You can configure the search policy of the computer on which you are running Directory Assistant as follows: m Use the automatic search policy—shared NetInfo domains, list of LDAP servers supplied by DHCP, or both. m Define a custom search policy for the computer if it needs to search additional directory servers, BSD configuration files, or service discovery protocols. m Use only the computer’s local directory domain. Using the Automatic Search Policy You can configure a Mac OS X computer to use the automatic search policy. This is the default configuration. You can configure a computer to use the automatic search policy by using the Directory Access application on the computer. The automatic search policy always includes the local directory domain. The automatic search policy also includes shared NetInfo domains to which the computer is bound and shared LDAPv3 domains supplied by DHCP. The shared NetInfo domains are optional, as are the shared LDAPv3 domains. For more information, see “Using NetInfo Domains” on page 110 and “Setting the LDAP Server for DHCP Clients” on page 479. To use the automatic search policy supplied by DHCP: 1 In Directory Access, click the Authentication tab or the Contacts tab. Click Authentication to configure the search policy used for authentication and most other administrative data. Click Contacts to configure the search policy used for contact information in some mail, address book, and personal information manager applications. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Choose Automatic from the Search pop-up menu, then click Apply. Defining a Custom Search Policy You can configure a Mac OS X computer to search specific Open Directory servers, LDAP servers, NetInfo domains, BSD configuration files, or directory service protocols in addition to the servers in the automatic search policy. You define a custom search policy with the Directory Access application on the computer that you want to configure.96 Chapter 2 Note: Make sure the computer has been configured to access the LDAP servers, Active Directory servers, NetInfo domains, and BSD configuration files that you want to add to the search policy. For instructions, see the subsequent sections of this chapter. To define a custom search policy for the computer: 1 In Directory Access, click the Authentication tab or the Contacts tab. Click Authentication to configure the search policy used for authentication and most other administrative data. Click Contacts to configure the search policy used for contact information in some mail, address book, and personal information manager applications. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Choose “Custom path” from the Search pop-up menu. 4 Click Add. 5 Select from the list of available directories and click Add. To add multiple directories, select more than one and click Add. 6 Change the order of the listed directory domains as needed, and remove listed directory domains that you don’t want in the search policy. Move a listed directory domain by dragging it up or down. Remove a listed directory domain by selecting it and clicking Remove. 7 Click Apply. Using a Local Directory Search Policy If you want to limit the access that a computer has to authentication information and other administrative data, you can restrict the computer’s authentication search policy to the local directory domain. If you do this, users without local accounts on the computer will be unable to log in or authenticate for any services it provides. You can configure a computer to use only its local directory domain by using the Directory Access application on the computer. To restrict a computer to its local directory domain: 1 In Directory Access, click the Authentication tab or the Contacts tab. Click Authentication to configure the search policy used for authentication and most other administrative data. Click Contacts to configure the search policy used for contact information in some mail, address book, and personal information manager applications. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Choose “Local directory” from the Search pop-up menu, then click Apply.Directory Services 97 Changing Basic LDAPv3 Settings You can use the Directory Access application to change basic settings for accessing LDAPv3 servers, including the shared Open Directory domains of Mac OS X Servers: m Enable or disable use of LDAPv3 servers supplied by DHCP. m Reveal an intermediate level of LDAPv3 information and options. The Open Directory Assistant application also configures use of LDAPv3 servers supplied by DHCP, but does not offer as many options as Directory Access. Enabling or Disabling Use of DHCP-Supplied LDAPv3 Servers Your Mac OS X computer can automatically access LDAPv3 servers via DHCP. This automatic access requires that the DHCP service be configured to supply an LDAPv3 server on request. You can enable or disable this method of accessing an LDAPv3 server for each network location that is defined in the Network pane of System Preferences. To enable or disable automatic access to an LDAPv3 server: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Select LDAPv3 in the list of services, then click Configure. 4 From the Location pop-up menu, choose the network location that you want to affect, or use Automatic. 5 Click the checkbox to enable or disable use of the LDAPv3 server supplied by DHCP. If you disable this setting, this computer doesn’t use any LDAPv3 servers supplied by DHCP. However, the computer may automatically access shared NetInfo domains. See “Using NetInfo Domains” on page 110 for more information. If you enable this setting, the DHCP service should be configured to supply one or more LDAPv3 server addresses. For instructions, see “Setting the LDAP Server for DHCP Clients” on page 479 in Chapter 11, “DHCP Service.” Showing or Hiding Available LDAPv3 Configurations You can show or hide a list of available LDAPv3 server configurations. When you show the list, you see and can change some settings for each LDAPv3 configuration. To show or hide the available LDAPv3 configurations: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Select LDAPv3 in the list of services, then click Configure.98 Chapter 2 4 From the Location pop-up menu, choose the network location that you want to see, or use Automatic. 5 Click Show Options or Hide Options. Configuring Access to Existing LDAPv3 Servers On a Mac OS X computer that is not configured to access an LDAPv3 server automatically via DHCP, you can manually configure access to one or more LDAPv3 servers. You can do the following: m Create server configurations and enable or disable them individually. For instructions, see “Creating an LDAPv3 Configuration” on page 98. m Edit the settings of a server configuration. For instructions, see “Editing an LDAPv3 Configuration” on page 99. m Duplicate a configuration. For instructions, see “Duplicating an LDAPv3 Configuration” on page 99. m Delete a configuration. For instructions, see “Deleting an LDAPv3 Configuration” on page 100. m Change the connection settings for an LDAPv3 configuration. For instructions, see “Changing an LDAPv3 Configuration’s Connection Settings” on page 100. m Define custom mappings of Mac OS X record types and attributes to LDAPv3 record types, search bases, and attributes. For instructions, see “Configuring LDAPv3 Search Bases and Mappings” on page 101. m Populate LDAPv3 directory domains with records and data. For instructions, see “Populating LDAPv3 Domains With Data for Mac OS X” on page 103. Creating an LDAPv3 Configuration You can use Directory Access to create a configuration for an LDAPv3 server. To create an LDAPv3 server configuration: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Select LDAPv3 in the list of services, then click Configure. 4 If the list of server configurations is hidden, click Show Options. 5 Click New and enter a name for the configuration. 6 Press Tab and enter the LDAPv3 server’s DNS name or IP address. 7 Choose a mapping template from the inline pop-up menu, or choose From Server.Directory Services 99 8 Enter the search base for your LDAPv3 server and click OK. If you chose a template in step 7, you must enter a search base, or the LDAPv3 server will not function. If you chose From Server in step 7, you may be able to leave the search base blank and have the LDAPv3 server function. In this case, Open Directory will look for the search base at the first level of the LDAPv3 server. 9 Select the SSL checkbox if you want Open Directory to use Secure Sockets Layer (SSL) for connections with the LDAPv3 server. After creating a new server configuration, you should add the server to an automatic search policy supplied by a DHCP server or to a custom search policy. A computer can access an LDAP server only if the server is included in the computer’s search policy, either automatic or custom. For more information, see “Setting Up Search Policies” on page 94 and “Setting the LDAP Server for DHCP Clients” on page 479 of Chapter 11, “DHCP Service.” Editing an LDAPv3 Configuration You can use Directory Access to change the settings of an LDAPv3 server configuration. To edit an LDAPv3 server configuration: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Select LDAPv3 in the list of services, then click Configure. 4 If the list of server configurations is hidden, click Show Options. 5 Change any of the settings displayed in the list of server configurations. Click an Enable checkbox to activate or deactivate a server. To change a configuration name, double-click it in the list. To change a server name or IP address, double-click it in the list. Choose a mapping template from the inline pop-up menu. Click the SSL checkbox to enable or disable Secure Sockets Layer (SSL) connections. Duplicating an LDAPv3 Configuration You can use Directory Access to duplicate an LDAPv3 server configuration. After duplicating a configuration, you can change its settings. To duplicate an LDAPv3 server configuration: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator.100 Chapter 2 3 Select LDAPv3 in the list of services, then click Configure. 4 If the list of server configurations is hidden, click Show Options. 5 Select a server configuration in the list, then click Duplicate. 6 Change any of the duplicate configuration’s settings. Click an Enable checkbox to activate or deactivate a server. To change a configuration name, double-click it in the list. To change a server name or IP address, double-click it in the list. Choose a mapping template from the inline pop-up menu. Click the SSL checkbox to enable or disable Secure Sockets Layer (SSL) connections. After duplicating a server configuration, you should add the duplicate to an automatic search policy supplied by a DHCP server or to a custom search policy. A computer can access an LDAP server only if the server is included in the computer’s search policy, either automatic or custom. For more information, see “Setting Up Search Policies” on page 94 and “Setting the LDAP Server for DHCP Clients” on page 479 of Chapter 11, “DHCP Service.” Deleting an LDAPv3 Configuration You can use Directory Access to delete an LDAPv3 server configuration. To delete an LDAPv3 server configuration: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Select LDAPv3 in the list of services, then click Configure. 4 If the list of server configurations is hidden, click Show Options. 5 Select a server configuration in the list, then click Delete. Changing an LDAPv3 Configuration’s Connection Settings You can use Directory Access to change the connection settings for an LDAPv3 server configuration. To change the connection settings of an LDAPv3 server configuration: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Select LDAPv3 in the list of services, then click Configure. 4 If the list of server configurations is hidden, click Show Options. 5 Select a server configuration in the list, then click Edit.Directory Services 101 6 Click the Connection tab and change any of the settings. Configuration Name identifies this configuration in the list of LDAPv3 configurations. ( You can also change the name directly in the list of LDAPv3 configurations.) Server Name or IP Address specifies the server’s DNS name or its IP address. ( You can also change this directly in the list of LDAPv3 configurations.) “Open/close times out in” specifies the number of seconds that Open Directory waits before cancelling an attempt to connect to the LDAPv3 server. “Connection times out in” specifies the number of seconds that Open Directory allows an idle or unresponsive connection to remain open. “Use authentication when connecting” determines whether Open Directory authenticates itself as a user of the LDAPv3 server by supplying the Distinguished Name and Password when connecting to the server. “Encrypt using SSL” determines whether Open Directory encrypts communications with the LDAPv3 server by using Secure Sockets Layer (SSL) connection. ( You can also change this setting directly in the list of LDAPv3 configurations.) “Use custom port” specifies a port number other than the standard port for LDAPv3 connections (389 without SSL or 636 with SSL). Configuring LDAPv3 Search Bases and Mappings Each LDAPv3 configuration that you create specifies where data needed by Mac OS X resides on the LDAPv3 server. You can edit the LDAPv3 search base for each Mac OS X record type. You can edit the mapping of each Mac OS X record type to one or more LDAPv3 object classes. For each record type, you can also edit the mapping of Mac OS X data types, or attributes, to LDAPv3 attributes. You edit search bases and mappings with the Directory Access application. Note: The mapping of Mac OS X data types to LDAPv3 attributes can be different for each record type. Mac OS X has separate LDAPv3 mappings for each record type. For detailed specifications of record types and attributes required by Mac OS X, see Appendix A, “Open Directory Data Requirements.” To edit the search bases and mappings for an LDAPv3 server: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Select LDAPv3 in the list of services, then click Configure. 4 If the list of server configurations is hidden, click Show Options. 5 Select a server configuration in the list, then click Edit.102 Chapter 2 6 Click the Search & Mappings tab. 7 Select the mappings that you want to use as a starting point, if any. Click “Read from Server” to edit the mappings currently stored in the LDAPv3 server whose configuration you are editing. Click the “Access this LDAPv3 server using” pop-up menu, choose a mapping template to use its mappings as a starting point, or choose Custom to begin with no predefined mappings. 8 Add record types and change their search bases as needed. To add record types, click the Add button below the Record Types and Attributes list. In the sheet that appears, select Record Types, select one or more record types from the list, and then click OK. To change the search base of a record type, select it in the Record Types and Attributes List. Then click the “Search base” field and edit the search base. To remove a record type, select it in the Record Types and Attributes List and click Delete. To add a mapping for a record type, select the record type in the Record Types and Attributes List. Then click the Add button below “Map to __ items in list” and enter the name of an object class from the LDAPv3 domain. To add another LDAPv3 object class, you can press Return and enter the name of the object class. Specify whether to use all or any of the listed LDAPv3 object classes by using the pop-up menu above the list. To change a mapping for a record type, select the record type in the Record Types and Attributes List. Then double-click the LDAPv3 object class that you want to change in the “Map to __ items in list” and edit it. Specify whether to use all or any of the listed LDAPv3 object classes by using the pop-up menu above the list. To remove a mapping for a record type, select the record type in the Record Types and Attributes List. Then click the LDAPv3 object class that you want to remove from the “Map to __ items in list” and click the Delete button below “Map to __ items in list.” 9 Add attributes and change their mappings as needed. To add attributes to a record type, select the record type in the Record Types and Attributes List. Then click the Add button below the Record Types and Attributes list. In the sheet that appears, select Attribute Types, select one or more attribute types, and then click OK. To add a mapping for an attribute, select the attribute in the Record Types and Attributes List. Then click the Add button below “Map to __ items in list” and enter the name of an attribute type from the LDAPv3 domain. To add another LDAPv3 attribute type, you can press Return and enter the name of the attribute type. To change a mapping for an attribute, select the attribute in the Record Types and Attributes List. Then double-click the item that you want to change in the “Map to __ items in list” and edit the item name.Directory Services 103 To remove a mapping for an attribute, select the attribute in the Record Types and Attributes List. Then click the item that you want to remove from the “Map to __ items in list” and click the Delete button below “Map to __ items in list.” 10 Click Write to Server if you want to store the mappings on the LDAPv3 server so that it can supply them automatically to its clients. You must enter a search base to store the mappings, a distinguished name of an administrator (for example, cn=admin,dc=example,dc=com) and a password. The LDAPv3 server supplies its mappings to clients that are configured to use an automatic search policy. For instructions on configuring the client search policy, see “Setting Up Search Policies” on page 94. The LDAPv3 server also supplies its mappings to clients that have been configured manually to get mappings from the server. For instructions on configuring client access to the server, see “Creating an LDAPv3 Configuration” on page 98 through “Changing an LDAPv3 Configuration’s Connection Settings” on page 100. Populating LDAPv3 Domains With Data for Mac OS X After configuring LDAPv3 directory domains and setting up their data mapping, you can populate them with records and data for Mac OS X. For directory domains that allow remote administration (read/write access), use the Workgroup Manager application and the Server Settings application as follows: m Identify share points and shared domains that you want to mount automatically in a user’s /Network directory (the Network globe in Finder windows). Use the Sharing module of Workgroup Manager. For instructions, see Chapter 4, “Sharing.” m Define users records and group records and configure their settings. Use the Accounts module of Workgroup Manager. For instructions, see Chapter 3, “Users and Groups.” m Define lists of computers that have the same preference settings and are available to the same users and groups. Use the Computers module of Workgroup Manager. For instructions, see Chapter 6, “Client Management: Mac OS X.” m Create records for shared printers that you want to appear in the Directory Services printer list in Print Center. Use the Print module of Server Settings. For instructions, see Chapter 7, “Print Service.” Note: To add records and data to a read-only LDAPv3 domain, you must use tools on the server that hosts the LDAPv3 domain.104 Chapter 2 Using an Active Directory Server Your Mac OS X Server, like any computer with Mac OS X version 10.2, can use Open Directory to access an Active Directory domain hosted by a Microsoft Windows server. This section explains how to configure your Mac OS X Server and client Mac OS X computers to access an Active Directory server. This section also explains how to use your Mac OS X Server to populate the Active Directory domain with records and data. In addition, you can edit, duplicate, or delete an Active Directory server configuration. You can also change the connection settings and customize the mappings of an Active Directory server configuration. The procedures for all these tasks are the same for Active Directory servers as for LDAPv3 servers. For instructions, see “Configuring Access to Existing LDAPv3 Servers” on page 98. Creating an Active Directory Server Configuration You can use Directory Access to create a configuration for an Active Directory server. To create an Active Directory server configuration: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Select LDAPv3 in the list of services, then click Configure. 4 If the list of server configurations is hidden, click Show Options. 5 Click New and enter a name for the configuration. 6 Press Tab and enter the Active Directory server’s DNS name or IP address. 7 Click the inline pop-up menu and choose Active Directory. 8 Enter the search base for your Active Directory server, then click OK. 9 Select the SSL checkbox if you want Open Directory to use Secure Sockets Layer (SSL) for connections with the Active Directory server. Important Open Directory uses the LDAPv3 protocol, not Microsoft’s proprietary Active Directory Services Interface (ADSI), to connect to Microsoft’s Active Directory. This chapter does not explain how to configure Active Directory on a Windows server for LDAPv3 read/ write access. If you need assistance, consult an individual with Windows and Active Directory expertise, refer to the documentation for these products, or go to the Microsoft Web site: www.microsoft.com/support/Directory Services 105 After creating a new Active Directory server configuration, you should add the server to an automatic search policy supplied by a DHCP server or to a custom search policy. A computer can access an Active Directory server only if the server is included in the computer’s search policy, either automatic or custom. For more information, see “Setting Up Search Policies” on page 94 and “Setting the LDAP Server for DHCP Clients” on page 479 of Chapter 11, “DHCP Service.” Setting Up an Active Directory Server If you want a Mac OS X computer to get administrative data from an Active Directory server, the data must exist on the Active Directory server in the format required by Mac OS X. You may need to add, modify, or reorganize data on the Active Directory server. You must make the necessary modifications by using tools on the Active Directory server. To set up an Active Directory server for Mac OS X directory services: 1 Go to the Active Directory server and configure it to support LDAPv3-based authentication and password checking. 2 Modify the Active Directory object classes and attributes as necessary to provide the data needed by Mac OS X. For detailed specifications of the data required by Mac OS X directory services, see Appendix A, “Open Directory Data Requirements.” Populating Active Directory Domains With Data for Mac OS X After creating an Active Directory server configuration and setting it up for Mac OS X directory services, you can populate it with records and data for Mac OS X. If the Active Directory server allows remote administration (read/write access), use the Workgroup Manager application and the Server Settings applications as follows: m Identify share points and shared domains that you want to mount automatically in a user’s /Network directory (the Network globe in Finder windows). Use the Sharing module of Workgroup Manager. For instructions, see Chapter 4, “Sharing.” m Define user records and group records and configure their settings. Use the Accounts module of Workgroup Manager. For instructions, see Chapter 3, “Users and Groups.” m Define lists of computers that have the same preference settings and are available to the same users and groups. Use the Computers module of Workgroup Manager. For instructions, see Chapter 6, “Client Management: Mac OS X.” m Create records for shared printers that you want to appear in the Directory Services printer list in Print Center. Use the Print module of Server Settings. For instructions, see Chapter 7, “Print Service.” Note: To add records and data to a read-only Active Directory server, you must use tools on the Windows server.106 Chapter 2 Accessing an Existing LDAPv2 Directory You can configure a Mac OS X computer to retrieve administrative data from one or more LDAPv2 servers. For each LDAPv2 server that you want the computer to access, you generally do the following: m Prepare the LDAPv2 server data. For instructions, see “Setting Up an LDAPv2 Server” on page 106. m Create an LDAPv2 server configuration. For instructions, see “Creating an LDAPv2 Server Configuration” on page 106. m Change LDAPv2 server access settings as needed. For instructions, see “Changing LDAPv2 Server Access Settings” on page 107. m Edit LDAPv2 search bases and data mappings as needed. For instructions, see “Editing LDAPv2 Search Bases and Data Mappings” on page 108. m Make sure the LDAPv2 server is included in a custom search policy. For more information, see “Setting Up Search Policies” on page 94. Setting Up an LDAPv2 Server If you want a Mac OS X computer to get administrative data from an LDAPv2 server, the data must exist on the LDAPv2 server in the format required by Mac OS X. You may need to add, modify, or reorganize data on the LDAPv2 server. Mac OS X cannot write data to an LDAPv2 directory, so you must make the necessary modifications by using tools on the server that hosts the LDAPv2 directory. To set up an LDAPv2 server for Mac OS X: 1 Go to the LDAPv2 server and configure it to support LDAPv2-based authentication and password checking. 2 Modify LDAPv2 server object classes and attributes as necessary to provide the data needed by Mac OS X. For detailed specifications of the data required by Mac OS X directory services, see Appendix A, “Open Directory Data Requirements.” Creating an LDAPv2 Server Configuration You need to create a configuration for an LDAPv2 server from which you want your computer to get administrative data. Use the Directory Access application to create an LDAPv2 configuration. To create an LDAPv2 server configuration: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator.Directory Services 107 3 Select LDAPv2 in the list of services, then click Configure. 4 Create a new configuration or duplicate an existing configuration. Click New to create a new configuration. Click Duplicate to create a copy of the currently selected configuration. 5 Click the Identity tab, then enter a configuration name and server address. In the Name field, enter a descriptive name for the LDAPv2 server. In the Address field, enter the LDAPv2 server’s DNS name or IP address. 6 Click the Access tab, then change the access settings as needed. For detailed instructions, see “Changing LDAPv2 Server Access Settings” on page 107. 7 Click the Records tab and for any Mac OS X record type listed on the left, edit the LDAPv2 search base as needed on the right. For detailed instructions, see “Editing LDAPv2 Search Bases and Data Mappings” on page 108. 8 Click the Data tab and for any Mac OS X data type listed on the left, edit the corresponding LDAPv2 attributes on the right. For detailed instructions, see “Editing LDAPv2 Search Bases and Data Mappings” on page 108. 9 Click OK. 10 Select the Enable checkbox to make the LDAPv2 server you just configured available for use by directory services, then close the window and click Save. After creating a new LDAPv2 server configuration, you should add the server to a custom search policy. A computer can access an LDAPv2 server only if the server is included in the computer’s custom search policy. For more information, see “Setting Up Search Policies” on page 94 and “Setting the LDAP Server for DHCP Clients” on page 479 of Chapter 11, “DHCP Service.” Changing LDAPv2 Server Access Settings You can change settings that determine how your computer accesses an LDAPv2 server. Use the Directory Access application to change the settings. To change access settings for an LDAPv2 server: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Select LDAPv2 in the list of services, then click Configure. 4 Select a server configuration in the list, then click Edit. 5 Click the Access tab, then change the access settings as needed.108 Chapter 2 Select “Use anonymous access” if Open Directory should connect to the LDAPv2 server without using a name and password. Select “Use the username and password below” if Open Directory should not connect anonymously. Enter the distinguished name (for example, cn=admin, cn=users, dc=example, dc=com) and password that Open Directory should use to establish an LDAPv2 server connection. Ensure that the LDAPv2 server is configured to accept any name and password you specify. Enter the number of seconds for “Open & close timeout,” which defines the maximum time to wait before cancelling an attempt to connect to the LDAPv2 server. The default is 120 seconds. Enter the number of seconds for “Search timeout,” which defines the maximum time to spend searching for data on the LDAPv2 server. The default is 120 seconds. Identify the port that should be used for the connection. The default is port 389. Ensure that any number you specify is actually used by the LDAPv2 server. 6 Click OK, then close the window and click Save. Editing LDAPv2 Search Bases and Data Mappings Each LDAPv2 configuration that you create specifies where data needed by Mac OS X resides on the LDAPv2 server. You can edit the LDAPv2 search base for each Mac OS X record type. You can also edit the mapping of Mac OS X data types, or attributes, to LDAPv2 attributes. You edit search bases and data mappings with the Data Access application. Note: The mapping of Mac OS X data types to LDAPv2 attributes is the same for all record types. Mac OS X cannot have different LDAPv2 mappings for different record types. For detailed specifications of record types and attributes required by Mac OS X, see Appendix A, “Open Directory Data Requirements.” To edit the search bases and data mappings for an LDAPv2 server: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Select LDAPv2 in the list of services, then click Configure. 4 Select a server configuration in the list, then click Edit. 5 Click the Records tab and for any Mac OS X record type listed on the left, edit the LDAPv2 search base as needed on the right. Select an item in the Record Type list, and then edit the “Maps to” value to specify a search base on the LDAPv2 server that provides appropriate information.Directory Services 109 Select Users in the Record Type list. Then edit the “Maps to” value to specify a search base on the LDAPv2 server that provides user information. The default search base for the Users record type is ou=people, o=company name. Select Groups in the Record Type list. Then edit the “Maps to” value to specify a search base on the LDAPv2 server that provides group information. The default search base for the Groups record type is ou=groups, o=company name. As needed, select other items in the Record Types list and edit their “Maps to” values to specify a search base on the LDAPv2 server that specifies the appropriate information. 6 Click the Data tab and for any Mac OS X data type listed on the left, edit the corresponding LDAPv2 attributes on the right. Select RecordName in the Data Type column. Then edit the “Maps to” value to identify one or more LDAPv2 attributes that store the names a user can be known by, including the user’s short name. This same mapping identifies the LDAPv2 attributes that store a group name for the Groups record type. Select UniqueID in the Data Type column. Then edit the “Maps to” value to identify the LDAPv2 attribute that uniquely identifies a user. This same mapping identifies the LDAPv2 attribute that uniquely identifies a group in the Groups record type. Select RealName in the Data Type column. Then edit the “Maps to” value to identify the LDAPv2 attribute that stores the full user name. Select MailAttribute in the Data Type column if users will be using mail service on the server. Then edit the “Maps to” value to identify the LDAPv2 attribute that stores the user’s mail settings in the required format. Select EMailAddress in the Data Type column. Then edit the “Maps to” value to identify the LDAPv2 attributes that store the forwarding address. This attribute is used for users without a mail attribute. Select Password in the Data Type column only if the LDAPv2 server stores user passwords in UNIX crypt format. Then edit the “Maps to” value to identify the LDAPv2 attribute that stores the password. Select PrimaryGroupID in the Data Type column. Then edit the “Maps to” value to identify the LDAPv2 attribute that stores the ID number for the user’s primary group. Select HomeDirectory in the Data Type column. Then edit the “Maps to” value to identify the LDAPv2 attributes that store the home directory information in the required format. Select UserShell in the Data Type column. Then edit the “Maps to” value to identify the LDAPv2 attribute that stores the path and filename of the user login shell. This is the default shell used for command-line interactions with the server. Enter “None” to prevent users who are defined in this directory from accessing the server remotely via a command line.110 Chapter 2 Select GroupMembership in the Data Type column. Then edit the “Maps to” value to identify the LDAPv2 attribute that stores a list of users associated with the group. Users should be identified using their short names. If other items in the Data Type column will be retrieved from the LDAPv2 server, select them one by one. When you select an item, edit the “Maps to” value to identify one or more LDAPv2 attributes that store the appropriate information. 7 Click OK, then close the window and click Save. Using NetInfo Domains Your Mac OS X Server can be part of a hierarchy of shared NetInfo domains. If you create a shared directory domain on your server, other Mac OS X computers can access it via the NetInfo protocol (as well as the LDAPv3 protocol). This makes your server a NetInfo parent, and the other computers that bind to it are NetInfo children. Instructions for creating a shared NetInfo domain are next. You can also configure your Mac OS X Server to bind to a shared NetInfo domain on another Mac OS X Server. This makes your server a NetInfo child of a NetInfo parent. For instructions, see “Configuring NetInfo Binding” on page 111. Expert system administrators can manage NetInfo domains as follows: m Create machine records for broadcast binding to a shared NetInfo domain. For instructions, see “Adding a Machine Record to a Parent NetInfo Domain” on page 113. m Configure a shared NetInfo domain to use a particular port number instead of a dynamically assigned port number. For instructions, see “Configuring Static Ports for Shared NetInfo Domains” on page 113. m View the contents of any NetInfo domain. For instructions, see “Viewing and Changing NetInfo Data” on page 114. m Perform other operations by using the Terminal application. For more information, see “Using UNIX Utilities for NetInfo” on page 114. Creating a Shared NetInfo Domain Your Mac OS X Server can host a shared NetInfo domain. Then other Mac OS computers can access the shared NetInfo domain for information about users and resources. The server that hosts a shared NetInfo domain is called a parent, and a computer that accesses it is known as a child. The shared domain is actually a shared Open Directory domain that other computers access using the NetInfo protocol. You set it up with the Open Directory Assistant application.Directory Services 111 To create a shared NetInfo domain: 1 Open the Open Directory Assistant application. 2 Enter the connection and authentication information for the Mac OS X Server where you want to create the shared NetInfo domain, then click Connect. 3 Click the right arrow to get to the Location step, and then select the setting that indicates the server is at its permanent network location. You cannot set up a shared NetInfo domain on a server that is in a temporary location. 4 Advance to the Directory Use step, and then select the option to provide directory information to other servers. 5 Go to the Configure step, where you may select the option to enable LDAP support. The shared directory automatically supports the NetInfo protocol. LDAP support is optional. 6 Go through the steps for configuring a Password Server. As you go through each step, Open Directory Assistant displays the current Password Server settings of the Mac OS X Server that you are configuring. If you want the Password Server configuration to remain as-is, do not change any settings as you go through these steps. 7 When you reach the Finish Up step, review its configuration summary and click Go Ahead to apply the settings. If you want to change any of the settings in the configuration summary, click the left arrow. Keep clicking the left arrow until you get back to the step where you can make the desired change. After changing the setting, click the right arrow until you get to the Finish Up step again. Configuring NetInfo Binding When a Mac OS X computer starts up, it can bind its local directory domain to a shared NetInfo domain. The shared NetInfo domain can bind to another shared NetInfo domain. The binding process creates a hierarchy of NetInfo domains. A NetInfo hierarchy has a structure like an upside-down tree. Local domains at the bottom of the hierarchy bind to one or more shared domains, which may in turn bind to one or more other shared domains, and so on. Each domain binds to only one shared domain, but a shared domain can have any number of domains bind to it. A shared domain is called parent domain, and each domain that binds to it is a child domain. At the top of the hierarchy is one shared domain that doesn’t bind to another domain; this is the root domain. A Mac OS X computer can bind to a shared NetInfo domain by using any combination of three protocols: static, broadcast, or DHCP. 112 Chapter 2 m With static binding, you specify the address and NetInfo tag of the shared NetInfo domain. This is most commonly used when the shared domain’s computer is not on the same IP subnet as the computer that needs to access it. m With DHCP binding, a DHCP server automatically supplies the address and NetInfo tag of the shared NetInfo domain. To use DHCP binding, the DHCP server must be configured to supply a NetInfo parent’s address and tag. For instructions, see “Setting NetInfo Options for a Subnet” on page 482 in Chapter 11, “DHCP Service.” m With broadcast binding, the computer locates a shared NetInfo domain by sending out an IP broadcast request. The computer hosting the shared domain responds with its address and tag. For broadcast binding, both computers must be on the same IP subnet or on a network that is configured for IP broadcast forwarding. The parent domain must have the NetInfo tag “network.” The parent domain must have a machine record for each of its child domains. See “Adding a Machine Record to a Parent NetInfo Domain” on page 113 for more information. If you configure a computer to use multiple binding protocols and a parent is not located with one protocol, another one is used. The protocols are used in this order: static, DHCP, broadcast. You can configure NetInfo binding by using the Directory Access application. To bind a Mac OS X computer to a shared NetInfo domain: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Select NetInfo in the list of services, then click Configure. 4 Select the binding protocols that you want the computer to use. For broadcast binding, select “Attempt to connect using Broadcast protocol.” For DHCP binding, select “Attempt to connect using DHCP protocol.” For static binding, select “Attempt to connect to a specific NetInfo server.” Then enter the IP address of the parent domain’s computer in the Server Address field and the parent domain’s NetInfo tag in the Server Tag field. 5 Click OK, then click Apply. 6 Restart the computer.Directory Services 113 Adding a Machine Record to a Parent NetInfo Domain Mac OS X computers can bind their directory domains to a parent NetInfo domain by using broadcast binding. The parent NetInfo domain must have a machine record for each Mac OS X computer that can bind to it with broadcast binding. You can create a machine record with the NetInfo Manager application. To add a machine record to a parent NetInfo domain: 1 Open NetInfo Manager on the computer where the parent domain resides, then open the domain. 2 Click the lock and log in using the user name and password specified when the domain was created. 3 Select the machines directory in the Directory Browser list. 4 Choose New Subdirectory from the Directory menu,. 5 Double-click new_directory in the lower list and enter the DNS name of the child computer. 6 Choose New Property from the Directory menu. 7 In the lower list, change new_property to ip_address and change new_value to the IP address of the child computer. 8 Choose New Property from the Directory menu. 9 Change new_property to “serves” and then change new_value to the name and NetInfo tag of the child’s local domain, using a “/” to separate them. For example, you would change new_value to marketing.demo/local for the local domain of the computer named marketing.demo. 10 Choose Save Changes from the Domain menu, then click Update This Copy. Configuring Static Ports for Shared NetInfo Domains By default, Mac OS X dynamically selects a port in the range 600 through 1023 when it accesses a shared NetInfo domain. You can configure a shared domain for NetInfo access over specific ports. Use the NetInfo Manager application to do this. To configure specific ports for NetInfo access to shared domains: 1 Open NetInfo Manager on the computer where the shared domain resides, then open the domain. 2 Click the lock icon and log in using the administrator name and password specified when the domain was created. 3 Select the “/” directory in the Directory Browser list. 4 To change the value of an existing port property, double-click the value in the Value(s) column and make the change. 114 Chapter 2 5 To delete a port property, select it and choose Delete from the Edit menu. 6 To add a property, choose New Property from the Directory menu and proceed as follows. If you want to use one port for both TCP and UDP packets, double-click new_property and change it to port. Then change new_value to the port number you want to use. If you want separate TCP and UDP ports, double-click new_property and change it to tcp_port. Then change new_value to the TCP port number you want to use. Next doubleclick new_property and change it to udp_port. This time, change new_value to the UDP port number you want to use. Viewing and Changing NetInfo Data Information in a NetInfo database is organized into directories, which are specific categories of NetInfo records, such as users, machines, and mounts. For example, the users directory contains a record for each user defined in the domain. Each record is a collection of properties. Each property has a key (listed in the Property column) and one or more values (shown in the Value(s) column). The key is used by processes to retrieve values. The user named “root” in a domain can change any of its properties or add new ones. Properties with the prefix “_writers_” list the short names of other users authorized to change the value of a particular property. For example, _writers_passwd is the short name of the user who can change this user’s password. You can use NetInfo Manager, located in /Applications/Utilities, on any Mac OS X computer to view the administrative data in a NetInfo domain. Using UNIX Utilities for NetInfo Several UNIX command-line utilities that interact with NetInfo are available through the Terminal application. To find out more about these utilities, view their man pages. Utility Description niload Loads data from UNIX configuration files (such as /etc/passwd) into a NetInfo database. nidump Converts data from a NetInfo database to a UNIX configuration file. niutil Reads from a NetInfo database and writes to one. nigrep Searches all NetInfo domains for all instances of a string you specify. nicl Creates, reads, or manages NetInfo data.Directory Services 115 Using Berkeley Software Distribution (BSD) Configuration Files Historically, UNIX computers have stored administrative data in configuration files such as /etc/passwd /etc/group /etc/hosts Mac OS X is based on a BSD version of UNIX, but normally gets administrative data from directory domains for the reasons discussed at the beginning of this chapter. In Mac OS X version 10.2 and later (including Mac OS X Server version 10.2 and later), Open Directory can retrieve administrative data from BSD configuration files. This capability enables organizations that already have BSD configuration files to use copies of the existing files on Mac OS X computers. BSD configuration files can be used alone or in conjunction with other directory domains. To use BSD configuration files, you must do the following: m Specify which BSD configuration files to use, and map their contents to Mac OS X record types and attributes. Instructions for doing this are next. m Set up each BSD configuration file with the data required by Mac OS X directory services. See “Setting Up Data in BSD Configuration Files” on page 118 for instructions. m Create a custom search policy that includes the BSD configuration files domain. For instructions, see “Defining a Custom Search Policy” on page 95. Mapping BSD Configuration Files A computer with Mac OS X version 10.2 or later can get information about users and resources from BSD configuration files. Mac OS X determines which BSD configuration files to use by inspecting the file DSFFPlugin.plist (located in /Library/Preferences/ DirectoryService). This file identifies each BSD configuration file that contains administrative data. In addition, DSFFPlugin.plist maps the data in each BSD configuration file to specific Mac OS X record types and attributes. In other words, DSFFPlugin.plist tells Mac OS X how to extract particular data items from BSD configuration files. The DSFFPlugin.plist file initially specifies four BSD configuration files for administrative data: /etc/master.passwd /etc/group /etc/hosts /etc/fstab116 Chapter 2 You can specify different BSD configuration files by editing the DSFFPlugin.plist file. This file contains structured text in XML format and is known as a property list or plist. You can edit this file with a text editor, but the Property List Editor application makes the job easier. Property List Editor is specifically designed to work with plist files. You may not have Property List Editor on your computer, because it is not part of a standard installation of Mac OS X. However, Property List Editor is included if you install the Mac OS X Developer Tools from the Developer Tools CD. (The Developer Tools CD comes with the Mac OS X CD.) Then Property List Editor is located in /Developer/Applications. You can use Directory Access to open the DSFFPlugin.plist file with Property List Editor. Note: To use the files specified by DSFFPlugin.plist, a computer must have a custom search policy that includes the BSD configuration files domain. An automatic search policy does not include the BSD configuration files domain. See “Defining a Custom Search Policy” on page 95 for instructions. To map BSD configuration files to Mac OS X record types and attributes: 1 In Directory Access, click the Services tab. 2 If the lock icon is locked, click it and type the name and password of a server administrator. 3 Select BSD Configuration Files in the list of services, then click Configure. Directory Access tells Property List Editor to open /Library/Preferences/DirectoryService/ DSFFPlugin.plist. 4 With DSFFPlugin.plist open in Property List Editor, click disclosure triangles in the Property List column to see the contents of FileTypeArray. FileTypeArray contains dictionary items. Each dictionary identifies one BSD configuration file and maps its contents. Each dictionary is identified by a number. Initially, dictionary 0 maps data in the /etc/hosts file; dictionary 1 maps data in the /etc/group file; dictionary 2 maps data in the /etc/master.passwd file, and directory 3 maps to data in the /etc/fstab file. 5 To include another BSD configuration file, add a new dictionary under FileTypeArray and add fields under the new dictionary to specify the file name and path, record type, attributes, and so on. Add a dictionary for another BSD configuration file by selecting FileTypeArray and clicking New Child. Then click the class of the new dictionary and choose Dictionary from the pop-up menu. Add a field under a dictionary by selecting the dictionary, clicking its disclosure triangle so it points down, and clicking New Child. Type a name for the field. Then click the class of the field and select the appropriate class from the pop-up menu. Next, change the field’s value as needed.Directory Services 117 The dictionary that defines a BSD configuration file has the fields specified in the table below. You can see examples of these fields in the preconfigured dictionaries for /etc/hosts, /etc/group, /etc/master.passwd, and /etc/fstab. For detailed specifications of the data required by Mac OS X directory services, see Appendix A, “Open Directory Data Requirements.” 6 If necessary, you can delete any line, including a dictionary line, by selecting the line and clicking Delete. If you delete a line by mistake, immediately choose Undo from the Edit menu. 7 When you finish, save and close the file. Field name Purpose AlternateRecordNameIndex (optional) An index that can be used as a second field to be searched as the record name CommentChar (optional) A string that contains the hexadecimal ASCII code of a character to be used to denote comment lines. This character must appear at the beginning of any line that is to be interpreted as a comment. Typically this character is # (hexadecimal 23) FieldDelimiter A string that contains the hexadecimal ASCII code of a character to be used to delimit each field within a record. Typically this character is a colon (hexadecimal 3A) FieldNamesAndPositions An array of dictionaries. Each dictionary is one field within the record. Each dictionary contains the FieldName and its position (zero based) within the record. The field names must be Mac OS X directory services attributes such as dsAttrTypeStandard:RecordName FilePath The path to the BSD configuration file NumberOfFields Specifies how many fields are in each record PasswordArrayIndex (optional) Specifies which field in each record contains the password RecordDelimiter Specifies the hexadecimal ASCII codes of up to eight characters used to delimit the end of a record. Typically this is the newline character (hexadecimal 0A). RecordNameIndex An index of the field to be used as the record name118 Chapter 2 Setting Up Data in BSD Configuration Files If you want a Mac OS X computer to get administrative data from BSD configuration files, the data must exist in the files and must be in the format required by Mac OS X. You may need to add, modify, or reorganize data in the files. Mac OS X cannot write data to BSD configuration files, so you must make the necessary modifications by using a text editor or other tools. For detailed specifications of the data required by Mac OS X directory services, see Appendix A, “Open Directory Data Requirements.” Configuring Directory Access on a Remote Computer You can use the Directory Access application to configure a computer that uses Mac OS X version 10.2 or later. Remote configuration is initially disabled on Mac OS X client computers and is initially enabled on Mac OS X Servers. Note: Apple recommends that remote configuration never be disabled on a Mac OS X Server. To configure directory access on a remote computer: 1 Make sure the remote computer has remote access enabled. On the remote computer, open Directory Access. If its Sever menu includes Enable Remote Configuration, choose this item. 2 In Directory Access on your computer, choose Connect from the Server menu. 3 Enter the connection and authentication information for the computer that you want to configure, then click Connect. For Address, enter the DNS name or IP address of the server that you want to configure. For User Name, enter the user name of an administrator on the server. For Password, enter the password for the user name you entered. 4 Click the Services, Authentication, and Contacts tabs and change settings as needed. All the changes you make affect the remote computer to which you connected in the foregoing steps. RecordType The directory services record type of this record ValueDelimiter (optional) A string that contains the hexadecimal ASCII code of a character to be used to delimit values within a multivalued field. Typically this is a comma (hexadecimal 2C). Field name PurposeDirectory Services 119 5 When you finish configuring the remote computer, choose Disconnect from the Server menu on your computer. Monitoring Directory Services You can use the Server Status application to view directory service status and directory service logs. The following logs are available: m Local directory client log m LDAP server log m NetInfo server log To see directory services status or logs: 1 In Server Status, select Directory Servers in the Devices & Services list. 2 Click the Overview tab to see status information. 3 Click the Logs tab and choose a log from the Show pop-up menu. Backing Up and Restoring Directory Services Files You can back up the following directory services data: m Open Directory domain data: Information associated with Open Directory domains is stored in files that reside in /var/db/netinfo/. Back up the entire directory. m Authentication Manager for Windows data: If you upgraded your Mac OS X Server from an earlier version and enabled the Authentication Manager for Windows clients before upgrading, a file containing the encrypted password for each NetInfo domain on the server is stored in /var/db/netinfo/. If the NetInfo database name is MyDomain, the encryption key file is .MyDomain.tim. After restoring the domain, restore the corresponding .tim file to ensure proper authentication for Windows users who are configured to use Authentication Manager. m Directory services configuration: Configurations set up using the Directory Access application are stored in /Library/Preferences/DirectoryService/. Back up the entire directory. Before backing up this data, quit Directory Access.121 C H A P T E R 3 3 Users and Groups User and group accounts play a fundamental role in a server’s day-to-day operations: m A user account stores data Mac OS X Server needs to validate a user’s identity and provide services for the user, such as access to particular files on the server and preferences that various services use. m A group account offers a simple way to manage a collection of users with similar needs. A group account stores the identities of users who belong to the group as well as information that lets you customize the working environment for members of a group. This chapter begins by highlighting the main characteristics of user and group accounts, then goes on to summarize the aspects of account administration and tell you how to m manage user accounts m manage home directories m manage group accounts m find user and group accounts defined on your network m use Workgroup Manager shortcuts for defining users and groups m import user and group accounts from a file m set up a password validation scheme for each user Most of the information in this chapter does not require extensive server administration or UNIX experience, but here are several suggestions for server administrators: m An understanding of Mac OS X Server’s directory service options is very useful for working with user and group accounts in different kinds of directory domains and for creating and using Password Servers. Chapter 2, “Directory Services,” provides conceptual information as well as directory domain and Password Server setup instructions. m The dsimportexport tool information may be easier to understand if you have experience with command-line tools. m Kerberos information presumes a working familiarity with Kerberos. 122 Chapter 3 How User Accounts Are Used When you define a user’s account, you specify the information needed to prove the user’s identity: user name, password, and user ID. Other information in a user’s account is needed by various services—to determine what the user is authorized to do and perhaps to personalize the user’s environment. Authentication Before a user can log in to or connect with a Mac OS X computer, he or she must enter a name and password associated with a user account that the computer can find. A Mac OS X computer can find user accounts that are stored in a directory domain of the computer’s search policy. A directory domain is like a database that a computer is configured to access in order to retrieve configuration information. A search policy is a list of directory domains the computer searches when it needs configuration information, starting with the local directory domain on the user’s computer. Chapter 2, “Directory Services,” describes the different kinds of directory domains and tells you how to configure search policies on any Mac OS X computer. In the following picture, for example, a user logs in to a Mac OS X computer that can locate the user’s account in a directory domain of its search policy. After login, the user can connect to a remote Mac OS X computer if the user’s account can be located within the search policy of the remote computer Log in to Mac OS X Directory domains in search policy Connect to Mac OS X Server Directory domains in search policyUsers and Groups 123 If Mac OS X finds a user account containing the name entered by the user, it attempts to validate the password associated with the account. If the password can be validated, the user is authenticated and the login or connection process is completed. After logging in to a Mac OS X computer, a user has access to all the resources, such as printers and share points, defined in directory domains of the search policy set up for the user’s computer. A share point is a hard disk (or hard disk partition), CD-ROM disc, or folder that contains files you want users to share. The user can access his home directory by clicking Home in a Finder window or in the Finder’s Go menu. A user does not have to log in to a server to gain access to resources on a network, however. For example, when a user connects to a Mac OS X computer, the user can access files he or she is authorized to access on the computer, although the file system may prompt the user to enter a user name and password first. When a user accesses a server’s resources without logging in to the server, the search policy of the user’s computer is still in force, not the search policy of the computer the user has connected with. Password Validation When authenticating a user, Mac OS X first locates the user’s account and then uses the password strategy designated in the user’s account to validate the user’s password. There are several password strategies from which to choose: m The password a user provides can be validated using a value stored in the user’s account. The account can be stored in a server-resident directory domain or in a directory domain that resides on another vendor’s directory server, such as an LDAP or Active Directory server. m The password a user provides can be validated using a value stored in an Open Directory Password Server m A Kerberos server can be used to validate the password.124 Chapter 3 m A non-Apple LDAP server can be used to validate the password. Clients needing password validation, such as login window and the AFP server, call Mac OS X directory services. Directory services determine from the user’s account how to validate the password. m Directory services can validate a password stored in the account or by interacting with the Password Server or a remote LDAP directory server (using LDAP bind authentication). m If a Kerberos server is used to validate a user, when the user accesses a Kerberized client, such as Mac OS X AFP or mail, the client interacts directly with the Kerberos server to validate the user. Then the client interacts with directory services to retrieve the user’s record for other information it needs, such as the user ID (UID) or primary group ID. Information Access Control All directories (folders) and files on Mac OS X computers have access privileges for the file’s owner, a group, and everyone else. Mac OS X uses a particular data item in a user’s account—the UID—to keep track of directory and file access privileges. Directory services Password Server Kerberos server Directory server User account Password provided can be validated using value stored in account. Password can also be validated using value stored on another server on the network. Owner 127 can: Read & Write Group 2017 can: Read only Everyone else can: None MyDocUsers and Groups 125 Directory and File Owner Access When a directory or file is created, the file system stores the UID of the user who created it. When a user with that UID accesses the directory or file, he or she has read and write privileges to it by default. In addition, any process started by the creator has read and write privileges to any files associated with the creator’s UID. If you change a user’s UID, the user may no longer be able to modify or even access files and directories he or she created. Likewise, if the user logs in as a user whose UID is different from the UID he or she used to create the files and directories, the user will no longer have owner access privileges for them. Directory and File Access by Other Users The UID, in conjunction with a group ID, is also used to control access by users who are members of particular groups. Every user belongs to a primary group. The primary group ID for a user is stored in his user account. When a user accesses a directory or file and the user is not the owner, the file system checks the file’s group privileges. m If the user’s primary group ID matches the ID of the group associated with the file, the user inherits group access privileges. m If the user’s primary group ID does not match the file’s group ID, Mac OS X searches for the group account that does have access privileges. The group account contains a list of the short names of users who are members of the group. The file system maps each short name in the group account to a UID, and if the user’s UID matches a UID of a group member, the user is granted group access privileges for the directory or file. Administration Privileges A user’s administrator privileges are stored in the user’s account. Administrator privileges determine the extent to which the user can view information about or change the settings of a particular Mac OS X Server or a particular directory domain residing on Mac OS X Server. Server Administration Server administration privileges control the powers a user has when logged in to a particular Mac OS X Server. For example: m A user who is a server administrator can use Server Status and can make changes to a server’s search policy using Directory Access. m A server administrator can see all the AFP directories on the server, not just share points. When you assign server administration privileges to a user, the user is added to the group named “admin” in the local directory domain of the server. Many Mac OS X applications— such as Server Status, Directory Access, and System Preferences—use the admin group to determine whether a particular user can perform certain activities with the application.126 Chapter 3 Local Mac OS X Computer Administration Any user who belongs to the group “admin” in the local directory domain of any Mac OS X computer has administrator rights on that computer. Directory Domain Administration When you want certain users to be able to use Workgroup Manager to manage only certain user, group, and computer accounts residing in Apple’s directory domains, you can make them directory domain administrators. For example, you may want to make a network administrator the server administrator for all your classroom servers, but give individual teachers the privileges to manage student accounts in particular directory domains. Any user who has a user account in a directory domain can be made an administrator of that domain. You can control the extent to which a directory domain administrator can change account data stored in a domain. For example, you may want to set up directory domain privileges so that your network administrator can add and remove user accounts, but other users can change the information for particular users. Or you may want different users to be able to manage different groups. When you assign directory domain administration privileges to a user, the user is added to the admin group of the server on which the directory domain resides. Home Directories The location of a user’s home directory is stored in the user account. A home directory is a folder where a user’s files and preferences are stored. Other users can see a user’s home directory and read files in its Public folder, but they can’t (by default) access anything else in that directory. When you create a user in a directory domain on the network, you specify the location of the user’s home directory on the network, and the location is stored in the user account and used by various services, including the login window and Mac OS X managed user services. Here are several examples of activities that use the location of the home directory: m A user’s home directory is displayed when the user clicks Home in a Finder window or chooses Home from the Finder’s Go menu. m Home directories that are set up for mounting automatically in a network location, such as /Network/Servers, appear in the Finder on the computer where the user logs in. m System preferences and managed user settings for Mac OS X users are retrieved from their home directories and used to set up their working environments when they log in.Users and Groups 127 Mail Settings You can create a Mac OS X Server mail service account for a user by setting up mail settings in the user’s account. To use the mail account, the user simply configures a mail client using the user name, password, mail service, and mail protocol you specify in the mail settings. Mail account settings let you enable and disable the user’s access to mail services running on a particular Mac OS X Server. You can also manage such account characteristics as how to handle automatic message arrival notification. Settings for Mac OS X mail service are configured using Server Settings, as Chapter 9, “Mail Service,” describes. Resource Usage Disk, print, and mail quotas can be stored in a user account. Mail and disk quotas limit the number of megabytes a user can use for mail or files. Print quotas limit the number of pages a user can print using Mac OS X Server print services. Print quotas also can be used to disable a user’s print service access altogether. User print settings work in conjunction with print server settings, which are explained in “Enforcing Quotas for a Print Queue” on page 322. User Preferences Any preferences you define for a Mac OS X user are stored in the user’s account. Preferences you define for Mac OS 8 and 9 users are stored using Macintosh Manager. See Chapter 6, “Client Management: Mac OS X,” and Chapter 10, “Client Management: Mac OS 9 and OS 8,” for information about user preferences. How Group Accounts Are Used A group is simply a collection of users who have similar needs. For example, you can add all English teachers to one group and give the group access privileges to certain files or folders on Mac OS X Server. Groups simplify the administration of shared resources. Instead of granting access to various resources to each individual who needs them, you can simply add the users to a group and grant access to the group. Information Access Control Information in group accounts is used to help control user access to directories and files. See “Directory and File Access by Other Users” on page 125 for a description of how this works.128 Chapter 3 Group Directories When you define a group, you can also specify a directory for storing files you want group members to share. The location of the directory is stored in the group account. You can grant administration privileges for a group directory to a user. A group directory administrator has owner privileges for the group directory and can use the Finder to change group directory attributes. Workgroups When you define preferences for a group it is known as a workgroup. A workgroup provides you with a way to manage the working environment of group members. Any preferences you define for a Mac OS X workgroup are stored in the group account. Preferences for Mac OS 8 and 9 workgroups are stored using Macintosh Manager. See Chapter 6, “Client Management: Mac OS X,” and Chapter 10, “Client Management: Mac OS 9 and OS 8,” for a description of workgroup preferences. Computer Access You can set up computer accounts, which let you restrict access to particular computers by members of specific groups. See Chapter 6, “Client Management: Mac OS X,” and Chapter 10, “Client Management: Mac OS 9 and OS 8,” for a description of how to set up computer accounts and specify preferences for them. Kinds of Users and Groups Mac OS X Server uses several different kinds of users and groups. Most of these are userdefined—user and group accounts that you create. There are also some pre-defined user and group accounts, which are reserved for use by Mac OS X. Users and Managed Users Depending on how you have your server and your user accounts set up, users can log in using Mac OS 8, 9, and X computers; Windows computers; or UNIX computers—stationary or portable—and be supported by Mac OS X Server in their work. Most users have an individual account, which is used to authenticate them and control their access to services. When you want to personalize a user’s environment, you define user, group, and/or computer preferences for the user. Sometimes the term “managed client” or “managed user” is used for a user who has preferences associated with his account. “Managed client” is also used to refer to computer accounts that have preferences defined for them.Users and Groups 129 When a managed user logs in, the preferences that take effect are a combination of his user preferences and preferences set up for any workgroup or computer list he or she belongs to. See Chapter 6, “Client Management: Mac OS X,” and Chapter 10, “Client Management: Mac OS 9 and OS 8,”for managed user information. Groups, Primary Groups, and Workgroups As noted earlier, when you define preferences for a group, the group is known as a workgroup. A primary group is the user’s default group. As “Directory and File Access by Other Users” on page 125 describes, primary groups can expedite the checking done by the Mac OS X file system when a user accesses a file. Administrators Users with server or directory domain administration privileges are known as administrators. Administrators are always members of the predefined “admin” group. Guest Users Sometimes you want to provide services for individuals who are anonymous—that is, they can’t be authenticated because they don’t have a valid user name or password. These users are known as guest users. Some services, such as AFP, let you indicate whether you want to let guest users access files. If you enable guest access, users who connect anonymously are restricted to files and folders with privileges set to Everyone. Another kind of guest user is a managed user that you can define to allow easy setup of public computers or kiosk computers. See Chapter 10, “Client Management: Mac OS 9 and OS 8,” for more about these kinds of users.130 Chapter 3 Predefined Accounts The following table describes the user accounts that are created automatically when you install Mac OS X (unless otherwise indicated). Predefined user name Short name UID Use Anonymous FTP User ftp 98 The user name given to anyone using FTP as an anonymous user. This user is created the first time the FTP server is accessed if the FTP server is turned on, if anonymous FTP access is enabled, and if the anonymous-ftp user does not already exist. Macintosh Manager User mmuser -17 The user created by Macintosh Management Server when it is first started on a particular server. It has no home directory, and its password is changed periodically. System Administrator root 0 The most powerful user. System Services daemon 1 A legacy UNIX user. Sendmail User smmsp 25 The user that sendmail runs as. Unknown User unknown 99 The user that is used when the system doesn’t know about the hard drive. Unprivileged User nobody -2 This user was originally created so that system services don’t have to run as System Administrator. Now, however, service-specific users, such as World Wide Web Server, are often used for this purpose. World Wide Web Server www 70 The nonprivileged user that Apache uses for its processes that handle requests. My SQL Server mysql 74 The user that the MySQL database server uses for its processes that handle requests.Users and Groups 131 The following table characterizes the group accounts that are created automatically when you install Mac OS X. Predefined group name Group ID Use admin 80 The group to which users with administrator privileges belong. bin 7 A group that owns all binary files. daemon 1 A group used by system services. dialer 68 A group for controlling access to modems on a server. guest 31 kmem 2 A legacy group used to control access to reading kernel memory. mail 6 The group historically used for access to local UNIX mail. mysql 74 The group that the MySQL database server uses for its processes that handle requests. network 69 This group has no specific meaning. nobody -2 A group used by system services. nogroup -1 A group used by system services. operator 5 This group has no specific meaning. smmsp 25 The group used by sendmail. staff 20 The default group into which UNIX users are traditionally placed. sys 3 This group has no specific meaning. tty 4 A group that owns special files, such as the device file associated with an SSH or telnet user. unknown 99 The group used when the system doesn’t know about the hard drive. utmp 45 The group that controls what can update the system’s list of logged-in users. uucp 66 The group used to control access to UUCP spool files.132 Chapter 3 Setup Overview These are the major user and group administration activities: m Step 1: Before you begin, do some planning. m Step 2: Set up directory domains in which user and group accounts will reside. m Step 3: Configure server search policies so servers can find user and group accounts. m Step 4: Set up share points for home directories. m Step 5: Set up share points for group directories. m Step 6: Create users. m Step 7: Create groups. m Step 8: Set up client computers. m Step 9: Review user and group account information as needed. m Step 10: Update users and groups as needed. m Step 11: Perform ongoing user and group account maintenance. Following is a summary of each of these activities. See the pages indicated for detailed information. Step 1: Before you begin, do some planning See “Before You Begin” on page 135 for a list of items to think about before you start creating a large number of users and groups. Step 2: Set up directory domains in which user and group accounts will reside Make sure you have created any directory domain in which you’ve decided to store user and group accounts. See Chapter 2, “Directory Services,” for instructions on creating shared, or network-visible, domains. wheel 0 Another group (in addition to the admin group) to which users with administrator privileges belong. www 70 The nonprivileged group that Apache uses for its processes that handle requests. Predefined group name Group ID UseUsers and Groups 133 Make sure that any user who will be using Workgroup Manager to add and change users and groups in directory domains has directory domain administration privileges in the domains for which the user is responsible. You can use Workgroup Manager to add and change user and group accounts that reside in NetInfo or LDAPv3 directory domains. If you will be using LDAPv2, read-only LDAPv3, BSD configuration file, or other read-only directory domains, make sure the domains are configured to support Mac OS X Server access and that they provide the data you need for user and group accounts. It may be necessary to add, modify, or reorganize information in a directory to provide the information in the format needed: m Chapter 2, “Directory Services,” describes how to configure Mac OS X Server to access remote servers on which these domains reside to retrieve information. m Appendix A, “Open Directory Data Requirements,” describes the user and group account data formats that Mac OS X expects. When you configure your Mac OS X Server directory services to use directory domains that do not reside on Mac OS X Server, you may need to refer to this appendix to determine the data mapping requirements for particular kinds of directory domains. Step 3: Configure server search policies so servers can find user and group accounts Make sure that the search policy of any server which needs to access user and group information to provide services for particular users is configured to do so. Chapter 2, “Directory Services,” tells you how to set up search policies. Step 4: Set up share points for home directories Before you assign a home directory to a user, you need to define the share point in which the home directory will reside. You also need to configure the share point to automatically mount on the user’s computer when he or she logs in. See “Distributing Home Directories Across Multiple Servers” on page 156 through “Setting Up NFS Home Directory Share Points” on page 160 for information about setting up share points. Step 5: Set up share points for group directories A group directory is like a home directory for group users. It is a directory for storing documents, applications, and other items you want to share among group members. See “Working With Volume Settings for Groups” on page 170 for information about setting up group directories. Step 6: Create users You can use Workgroup Manager to create user accounts in directory domains that reside on Mac OS X Server and in non-Apple LDAPv3 directory domains that have been configured for write access. See these sections for instructions:134 Chapter 3 m “Creating User Accounts in Directory Domains on Mac OS X Server” on page 137 and “Creating Read-Write LDAPv3 User Accounts” on page 138 m “Shortcuts for Working With Users and Groups” on page 176 m “Using Presets” on page 176 m “Importing and Exporting User and Group Information” on page 178 For working with read-only user accounts, see “Working With Read-Only User Accounts” on page 139. For details about all the settings for a user account, see “Working With Basic Settings for Users” on page 139 through “Working With Managed Users” on page 154. For details about setting up managed users, see Chapter 6, “Client Management: Mac OS X,” and Chapter 10, “Client Management: Mac OS 9 and OS 8.” When you use managed users, creating users in a network directory domain is optional. All users can be locally defined on client computers. Step 7: Create groups You can use Workgroup Manager to create group accounts in directory domains that reside on Mac OS X Server and in non-Apple LDAPv3 directory domains that have been configured for write access. See these sections for instructions: m “Creating Group Accounts in a Directory Domain on Mac OS X Server” on page 165 and “Creating Read-Write LDAPv3 Group Accounts” on page 166 m “Shortcuts for Working With Users and Groups” on page 176 m “Using Presets” on page 176 m “Importing and Exporting User and Group Information” on page 178 For working with read-only group accounts, see “Working With Read-Only Group Accounts” on page 167. For details about all the settings for a group account, see “Working With Member Settings for Groups” on page 167 through “Working With Group and Computer Preferences” on page 173. Step 8: Set Up Client Computers Make sure that the directory services of Mac OS X computers are set up so they can access user accounts at login. See “Supporting Client Computers” on page 202 for details about how to configure Mac OS X computers as well as other client computers so that users can be authenticated and access the services you want them to.Users and Groups 135 Step 9: Review user and group account information as needed Workgroup Manager makes it easy for you to review and optionally update information for users and groups. See the sections starting with “Finding User and Group Accounts” on page 173 for details. Step 10: Update users and groups as needed As users come and go and the requirements for your servers change, keep user and group records up to date. Information in these sections will be useful: m “Working With Basic Settings for Users” on page 139 through “Working With Print Settings for Users” on page 151 describe all the user account settings you may need to change. m “Defining a Guest User” on page 154 through “Disabling a User Account” on page 155 describe common user account maintenance activities. m “Working With Member Settings for Groups” on page 167 describes the group account settings you may need to change. m “Adding Users to a Group” on page 168, “Removing Users From a Group” on page 168, and “Deleting a Group Account” on page 173 describe some group maintenance activities. Step 11: Perform ongoing user and group account maintenance Information in these sections will help you with your day-to-day account maintenance activities: m “Monitoring a Password Server” on page 197 m “Solving Problems” on page 202 m “Backing Up and Restoring Files” on page 201 Before You Begin Before setting up user and group accounts for the first time: m Identify the directory domains in which you will store user and group account information. If you have an Active Directory or LDAP server already set up, you might be able to take advantage of existing records. See Chapter 2, “Directory Services,” for details about the directory domain options available to you. If you have an earlier version of an Apple server, you might be able to migrate existing records. See Upgrading to Mac OS X Server for available options. Create new directory domains as required to store user records. See Chapter 2, “Directory Services,” for instructions.136 Chapter 3 Note: If all the domains have not been finalized when you are ready to start adding accounts, simply add them to any domain that already exists on your server. ( You can use the local directory domain—it’s always available.) You can move users and groups to another directory domain later by using your server’s export and import capabilities, described in “Importing and Exporting User and Group Information” on page 178. m Determine which password verification policy or policies you will use. See “Understanding Password Validation” on page 189 for information about the options. m Determine which users you want to make managed users. See Chapter 6, “Client Management: Mac OS X,” and Chapter 10, “Client Management: Mac OS 9 and OS 8,” for planning guidelines. m Devise a home directory strategy. Determine which users need home directories and identify the computers on which you want user home directories to reside. For performance reasons, avoid using network home directories over network connections slower than 100 Mbps. A user’s network home directory does not need to be stored on the same server as the directory domain containing the user’s account. In fact, distributing directory domains and home directories among various servers can help you balance your network workload. “Distributing Home Directories Across Multiple Servers” on page 156 and “Setting Up Home Directories for Users Defined in Existing Directory Servers” on page 157 describe several such scenarios. You may want to store home directories for users with last names from A to F on one computer, G to J on another, and so on. Or you may want to store home directories on a Mac OS X Server but store user and group accounts on an Active Directory or LDAP server. Pick a strategy before creating users. You can move home directories, but if you do, you may need to change a large number of user and share point (mount) records. Determine the access protocol to use for the home directories. Most of the time you will use AFP, but if you support a large number of UNIX clients with your server, you may want to use NFS for them. “Choosing a Protocol for Home Directories” on page 160 provides some information on this topic. Once you have decided how many and which computers you want to use for home directories, plan the domain name or IP address of each computer. Also determine the names and any share points on computers that will be used for home directories. m Determine the groups and workgroups you will need. Users with similar server requirements should be placed in the same group. Workgroups are useful when you want to set up group preferences. See Chapter 6, “Client Management: Mac OS X,” and Chapter 10, “Client Management: Mac OS 9 and OS 8,” for guidelines on using workgroups. Determine where you want to store group directories.Users and Groups 137 m Decide who you want to be able to administer users and groups and make sure they have administrator privileges. “Administration Privileges” on page 125 describes administrator privileges. When you use Server Assistant to initially configure your server, you specify a password for the owner/administrator. The password you specify also becomes the root password for your server. Use Workgroup Manager to create an administrator user with a password that is different from the root password. Server administrators do not need root privileges. The root password should be used with extreme caution and stored in a secure location. The root user has full access to the system, including system files. If you need to, you can use Workgroup Manager to change the root password. m Decide how you want to configure client computers so that the users you want to support can effortlessly log in and work with your server. Chapter 2, “Directory Services,” provides some information about this topic. Administering User Accounts This section describes how to administer user accounts stored in various kinds of directory domains. Where User Accounts Are Stored User accounts, as well as group accounts and computer accounts, can be stored in any Open Directory domain accessible from the Mac OS X computer that needs to access the account. A directory domain can reside on a Mac OS X computer (for example, a NetInfo or LDAPv3 domain) or it can reside on a non-Apple server (for example, an LDAP or Active Directory server). You can use Workgroup Manager to work with accounts in all kinds of directory domains, but you can update only NetInfo and LDAPv3 directory domains using Workgroup Manager. See Chapter 2, “Directory Services,” for complete information about the different kinds of Open Directory domains. Creating User Accounts in Directory Domains on Mac OS X Server You need administrator privileges for a directory domain to create a new user account in it. To create a user account: 1 Ensure that the directory services of the Mac OS X Server you are using has been configured to access the domain of interest. See Chapter 2, “Directory Services,” for instructions. 2 In Workgroup Manager, click the Accounts button. 3 Use the At pop-up menu to open the domain in which you want the user’s account to reside.138 Chapter 3 4 Click the lock to be authenticated as a directory domain administrator. 5 From the Server menu, choose New User. 6 Specify settings for the user in the tabs provided. See “Working With Basic Settings for Users” on page 139 through “Working With Print Settings for Users” on page 151 for details. You can also use a preset or an import file to create a new user. See “Using Presets” on page 176 and “Importing and Exporting User and Group Information” on page 178 for details. Creating Read-Write LDAPv3 User Accounts You can create a user account on a non-Apple LDAPv3 server if it has been configured for write access. To create an LDAPv3 user account: 1 Ensure that the directory services of the Mac OS X Server you are using has been configured to use the LDAP server for user accounts. See Chapter 2, “Directory Services,” for details about how to use Directory Access to configure an LDAP connection and Appendix A, “Open Directory Data Requirements,” for information about the user account elements that may need to be mapped. 2 In Workgroup Manager, click the Accounts button. 3 Use the At pop-up menu to open the LDAPv3 domain in which you want the user’s account to reside. 4 Click the lock to be authenticated. 5 From the Server menu, choose New User. 6 Specify settings for the user in the tabs provided. See “Working With Basic Settings for Users” on page 139 through “Working With Print Settings for Users” on page 151 for details. You can also use a preset or an import file to create a new user. See “Using Presets” on page 176 and “Importing and Exporting User and Group Information” on page 178 for details. Changing User Accounts You can use Workgroup Manager to change a user account that resides in a Mac OS X or nonApple LDAPv3 directory domain. To make changes to a user account: 1 Ensure that the directory services of the Mac OS X Server you are using has been configured to access the directory domain of interest. See Chapter 2, “Directory Services,” for instructions. 2 In Workgroup Manager, click the Accounts button.Users and Groups 139 3 Use the At pop-up menu to open the domain in which the user’s account resides. 4 Click the lock to be authenticated. 5 Click the User tab to select the user you want to work with. 6 Edit settings for the user in the tabs provided. See “Working With Basic Settings for Users” on page 139 through “Working With Print Settings for Users” on page 151 for details. Working With Read-Only User Accounts You can use Workgroup Manager to review information for user accounts stored in read-only directory domains. Read-only directory domains include LDAPv2 domains, LDAPv3 domains not configured for write access, and BSD configuration files. To work with a read-only user account: 1 Ensure that the directory services of the Mac OS X Server you are using has been configured to access the directory domain in which the account resides. See Chapter 2, “Directory Services,” for information about using Directory Access to configure server connections and Appendix A, “Open Directory Data Requirements,” for information about the user account elements that need to be mapped. 2 In Workgroup Manager, click the Accounts button. 3 Use the At pop-up menu to open the directory domain in which the user’s account resides. 4 Use the tabs provided to review the user’s account settings. See “Working With Basic Settings for Users” on page 139 through “Working With Print Settings for Users” on page 151 for details. Working With Basic Settings for Users Basic settings are a collection of attributes that must be defined for all users. In Workgroup Manager, use the Basic tab in the user account window to work with basic settings. Defining User Names The user name is the long name for a user. Sometimes the user name is referred to as the “real” name. Users can log in using the user name or a short name associated with their accounts. A user name can contain as many as 255 characters (127 double-byte characters). Use only these characters: m a through z m A through Z140 Chapter 3 m 0 through 9 m _ (underscore) m - (hyphen) m . (period) m (space) For example, Dr. Arnold T. Smith. You can use Workgroup Manager to edit the user name of an account stored in a directory domain residing on Mac OS X Server or in a non-Apple LDAPv3 directory domain or to review the user name in any directory domain accessible from the server you are using. To work with the user name using Workgroup Manager: 1 In Workgroup Manager, open the account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the user’s account resides. To change the name, click the lock to be authenticated. Select the user in the user list. 2 In the Name field on the Basic tab, review or edit the user name. Initially, the value of user name is “Untitled .” After changing the name, Workgroup Manager does not check to verify that the user name is unique. Defining Short Names A short name is an abbreviated name for a user. Users can log in using the short name or the user name associated with their accounts. The short name is used by Mac OS X for home directories and groups: m When Mac OS X automatically creates a user’s home directory, it names the directory after the user’s short name. See “Administering Home Directories” on page 155 for more information about home directories. m When Mac OS X checks to see whether a user belongs to a group authorized to access a particular file, it uses short names to find UIDs of group members. See “Avoiding Duplicate Short Names” on page 143 for an example. You can have as many as 16 short names associated with a user account, but the first one in the list must consist of all 7-bit ASCII characters, with no symbols or spaces. The first short name is the name used for home directories and group membership lists. A short name can contain as many as 255 characters (127 double-byte characters). Use only these characters: m a through z m A through Z m 0 through 9Users and Groups 141 m _ (underscore) m - (hyphen) m . (period) Typically, short names contain eight or fewer characters. You can use Workgroup Manager to edit the short name of an account stored in a directory domain on Mac OS X Server or a non-Apple LDAPv3 directory domain or to review the short name in any directory domain accessible from the server you are using. To work with a user’s short name using Workgroup Manager: 1 In Workgroup Manager, open the account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the user’s account resides. To change the short name, click the lock to be authenticated. Select the user in the user list. 2 In the Short Names field on the Basic tab, review or edit the short names. Initially, the value of the short name is “untitled_.” If you specify multiple short names, each should be on its own line. After the user’s account has been saved, you cannot change the first short name, but you can change others in a list of short names. Choosing Stable Short Names When you create groups, Mac OS X identifies users in them by their first short name, which can’t be changed. If a short name change is unavoidable, you can create a new account for the user (in the same directory domain) that contains the new short name, but retains all other information (UID, primary group, home directory, and so forth). Then disable login for the old user account. Now the user can log in using the changed name, yet have the same access to files and other network resources as before. (See “Disabling a User Account” on page 155 for information on disabling use of an account for login.) Avoiding Duplicate Names If separate user accounts have the same name (user name or short name) and password, a Mac OS X computer may authenticate a user different from the one you want it to authenticate. Or it may mask the user record that should be used for authentication.142 Chapter 3 Consider an example that consists of three shared directory domains. Tony Smith has an account in the Students domain, and Tom Smith has an account in the root domain. Both accounts contain the short name “tsmith” and the password “smitty.” When Tony logs in to his computer with a user name “tsmith” and the password “smitty,” he is authenticated using the record in the Students domain. Similarly, Tom can use the same login entries at his computer and be authenticated using his record in the root domain. If Tony and Tom ever logged in to each other’s computers using tsmith and smitty, they would both be authenticated, but not with the desired results. Tony could access Tom’s files, and vice versa. Now let’s say that Tony and Tom have the same short name, but different passwords. If Tom attempts to log in to Tony’s computer using the short name “tsmith” and his password (smitty), his user record is masked by Tony’s user record in the Students domain. Mac OS X finds “tsmith” in Students, but its password does not match the one Tom used to log in. Tom is denied access to Tony’s computer, and his record in the root domain is never found. Faculty Tony’s computer Tom’s computer Faculty Tony’s computer Tom’s computerUsers and Groups 143 If Tony has a user record in his local directory domain that has the same names and password as his record in the Students domain, the Students domain’s record for Tony would be masked. Tony’s local domain should offer a name/password combination that distinguishes it from the Students domain’s record. If the Students domain is not accessible (when Tony works at home, for example), he can log in using the local name and continue using his computer. Tony can still access local files created when he logged in using the Students domain if the UID in both records is the same. Duplicate short names also have undesirable effects in group records, described in the next section. Avoiding Duplicate Short Names Since short names are used to find UIDs of group members, duplicate short names can result in file access being granted to users you hadn’t intended to give access. Return to the example of Tony and Tom Smith, who have duplicate short names. Assume that the administrator has created a group in the root domain to which all students belong. The group—AllStudents—has a GID of 2017. Now suppose that a file, MyDoc, resides on a computer accessible to both Tony and Tom. The file is owned by a user with the UID 127. It has read-only access privileges for AllStudents. Tom is not a member of AllStudents, but the short name in his user record, “tsmith,” is the same as Tony’s, who is in AllStudents. Faculty Owner 127 can: Read & Write Group 2017 can: Read only Everyone else can: None MyDoc Tony’s computer Tom’s computer144 Chapter 3 When Tom attempts to access MyDoc, Mac OS X searches the login hierarchy for user records with short names that match those associated with AllStudents. Tom’s user record is found because it resides in the login hierarchy, and the UID in the record is compared with Tom’s login UID. They match, so Tom is allowed to read MyDoc, even though he’s not actually a member of AllStudents. Defining User IDs A user ID (UID) is a number that uniquely identifies a user. Mac OS X computers use the UID to keep track of a user’s directory and file ownership. When a user creates a directory or file, the UID is stored as the creator ID. A user with that UID has read and write privileges to the directory or file by default. The UID should be a unique string of digits from 500 through 2,147,483,647. Assigning the same UID to different users is risky, since two users with the same UID have identical directory and file access privileges. The UID 0 is reserved for the root user. UIDs below 100 are reserved for system use; users with these UIDs can’t be deleted and shouldn’t be modified except to change the password of the root user. You can use Workgroup Manager to edit the UID of an account stored in a NetInfo or LDAPv3 directory domain or to review the UID in any directory domain accessible from the server you are using. To work with the UID using Workgroup Manager: 1 In Workgroup Manager, open the account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the user’s account resides. To change the UID, click the lock to be authenticated. Select the user in the user list. 2 If you specify a value in the User ID field on the Basic tab, make sure it will be unique in the search policy of computers the user will log in to. When creating new user accounts in any shared directory domain, UIDs are automatically assigned; the value assigned is an unused UID (1025 or greater) in the server’s search path. (New users created using the Accounts Preferences pane on Mac OS X Desktop computers are assigned UIDs starting at 501.) Once UIDs have been assigned and users start creating files and directories throughout a network, you shouldn’t change UIDs. One possible scenario in which you may need to change a UID is when merging users created on different servers into one new server or cluster of servers. The same UID may have been associated with a different user on the previous server.Users and Groups 145 Defining Passwords See “Understanding Password Validation” on page 189 for details about setting up and managing passwords. Assigning Administrator Rights for a Server A user who has server administration privileges can control most of the server’s configuration settings and use applications, such as Server Status, that require a user to be a member of the server’s admin group. You can use Workgroup Manager to assign server administrator privileges to an account stored in a NetInfo or LDAPv3 directory domain or to review the server administrator privileges in any directory domain accessible from the server you are using. To work with server administrator privileges in Workgroup Manager: 1 To edit server administrator privileges, log in to Workgroup Manager by specifying the name or IP address of the server for which you want to grant administrator privileges. 2 Click the Account button. 3 Use the At pop-up menu to open the directory domain in which the user’s account resides. 4 To change the privileges, click the lock to be authenticated. 5 In the Basic tab, select the “User can administer the server” option to grant server administrator privileges. Assigning Administrator Rights for a Directory Domain A user who has administration privileges for an Apple directory domain is able to make changes to user, group, and computer accounts stored in that domain using Workgroup Manager. The changes the user can make are limited to those you specify. You can use Workgroup Manager to assign directory domain administrator privileges for an account stored in a NetInfo or LDAPv3 directory domain or to review these privileges in any directory domain accessible from the server you are using. To work with directory domain administrator privileges in Workgroup Manager: 1 To assign directory domain privileges, ensure the user has an account in the directory domain. 2 In Workgroup Manager, click the Account button. 3 Use the At pop-up menu to open the directory domain in which the user’s account resides. 4 To edit privileges, click the lock to be authenticated. 5 In the Basic tab, select the “User can administer this directory domain” option to grant privileges.146 Chapter 3 6 Click Privileges to specify what the user should be able to administer in the domain. By default, the user has no directory domain privileges. 7 To work with privileges to change user, group, or computer accounts, click the Users, Groups, or Computers tab, respectively. 8 Select a checkbox to indicate whether you want the user to be able to change account and/or preference settings. If a box is not checked, the user can view the account or preference information in Workgroup Manager, but not change it. 9 Select “For all ...” to allow the user to change information for all users, groups, or computers in the directory domain. Select “For ... listed below” to limit the items a user can change to the list on the right. To add an item to the list, double-click the item in the “Available” list. To remove an item from the list, double-click it. 10 To give the user the ability to add and delete users, groups, or computer accounts, check the “Edit ... accounts” box and select “For all ...” . Working With Advanced Settings for Users Advanced settings include login settings, password validation policy, and a comment. In Workgroup Manager, use the Advanced tab in the user account window to work with advanced settings. Defining Login Settings By specifying user login settings, you can m Control whether the user can be authenticated using the account. m Allow a managed user to simultaneously log in to more than one managed computer at a time or prevent the user from doing so. m Indicate whether a user of a managed computer can or must select a workgroup during login or whether you want to avoid showing workgroups when the user logs in. m Identify the default shell the user will use for command-line interactions with Mac OS X, such as /bin/csh or /bin/tcsh. The default shell is used by the Terminal application on the computer the user is logged in to, but Terminal has a preference that lets you override the default shell. The default shell is used by SSH (Secure Shell) or Telnet when the user logs in to a remote Mac OS X computer. You can use Workgroup Manager to define login settings of an account stored in a NetInfo or LDAPv3 directory domain or to review login settings in any directory domain accessible from the server you are using.Users and Groups 147 To work with login settings using Workgroup Manager: 1 In Workgroup Manager, open the account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the user’s account resides. To edit settings, click the lock to be authenticated. Select the user in the user list. 2 Click the Advanced tab. 3 Select “Allow simultaneous login” to let a user log in to more than one managed computer at a time. 4 During Login pop-up menu options let you choose a workgroup option if the user is using a managed computer. Choose an option if appropriate. 5 Choose a shell from the Login Shell pop-up menu to specify the default shell for the user when logging in to a Mac OS X computer. Click Custom if you want to enter a shell that does not appear on the list. To make sure a user cannot access the server remotely using a command line, use the option None. Defining a Password Validation Strategy For details about setting up and managing passwords, see “Understanding Password Validation” on page 189. Editing Comments You can save a comment in a user’s account to provide whatever documentation might help with administering the user. A comment can be as long as 32,676 characters. You can use Workgroup Manager to define the comment of an account stored in a NetInfo or LDAPv3 directory domain or to review the comment in any directory domain accessible from the server you are using. To work with a comment using Workgroup Manager: 1 In Workgroup Manager, open the account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the user’s account resides. To edit a comment, click the lock to be authenticated. Select the user in the user list. 2 Click the Advanced tab. 3 Edit or review the contents of the Comment field. Working With Group Settings for Users Group settings identify the groups a user is a member of.148 Chapter 3 In Workgroup Manager, use the Groups tab in the user account window to work with group settings. See “Administering Group Accounts” on page 165 for information on administering groups. Defining a User’s Primary Group A primary group is the group to which a user belongs by default. The ID of the primary group is used by the file system when the user accesses a file he or she does not own. The file system checks the file’s group privileges, and if the primary group ID of the user matches the ID of the group associated with the file, the user inherits group access privileges. The primary group offers the fastest way to determine whether a user has group privileges for a file. The primary group ID should be a unique string of digits. By default, it is 20 (which identifies the group named “staff ”), but you can change it. The maximum value is 2,147,483,647. You can use Workgroup Manager to define the primary group ID of an account stored in a NetInfo or LDAPv3 directory domain or to review the primary group information in any directory domain accessible from the server you are using. To work with a primary group ID using Workgroup Manager: 1 In Workgroup Manager, open the account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the user’s account resides. To edit the primary group, click the lock to be authenticated. Select the user in the user list. 2 Click the Groups tab. 3 Edit or review the contents of the Primary Group ID field. The value must be associated with a group that already exists and that is accessible in the search path of computers using the user account. Workgroup Manager displays the full and short names of the group after you enter a primary group ID. Adding a User to Groups Add a user to a group when you want multiple users to have the same file access privileges or when you want to manage their Mac OS X preferences using workgroups or computer lists. You can use Workgroup Manager to add a user to a group if the user and group accounts are in a NetInfo or LDAPv3 directory domain. To add a user to a group using Workgroup Manager: 1 In Workgroup Manager, open the user account you want to work with if it is not already open. Users and Groups 149 To open the account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. Click the lock to be authenticated. Select the user in the user list. 2 Click the Groups tab. 3 Click Add to open a drawer listing the groups defined in the directory domain you are working with. (To include system groups in the list, choose Preferences on the Workgroup Manager menu, then select “Show system users and groups.”) 4 Select the group, then drag it into the Other Groups list on the Groups tab. Removing a User From a Group You can use Workgroup Manager to remove a user from a group if the user and group accounts reside in a NetInfo or LDAPv3 directory domain. To remove a user from a group using Workgroup Manager: 1 In Workgroup Manager, open the user account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. Click the lock to be authenticated. Select the user in the user list. 2 Click the Groups tab. 3 Select the group or groups from which you want to remove the user, then click Remove. Reviewing a User’s Group Memberships You can use Workgroup Manager to review the groups a user belongs to if the user account resides in a directory domain accessible from the server you are using. To review group memberships using Workgroup Manager: 1 In Workgroup Manager, open the user account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. Select the user in the user list. 2 Click the Groups tab. The primary group to which the user belongs is displayed, and other groups the user belongs to are listed in the Other Groups list. Working With Home Settings for Users Home settings describe a user’s home directory attributes. See “Administering Home Directories” on page 155 for information about using and setting up home directories.150 Chapter 3 Working With Mail Settings for Users You can create a Mac OS X Server mail service account for a user by specifying mail settings for the user in the user’s account. To use the account, the user simply configures a mail client to identify the user name, password, mail service, and mail protocol you specify in the mail settings. In Workgroup Manager, use the Mail tab in the user account window to work with a user’s mail service settings. See Chapter 9, “Mail Service,” for information about how to set up and manage Mac OS X Server mail service. Disabling a User’s Mail Service You can use Workgroup Manager to disable mail service for a user whose account is stored in a NetInfo or LDAPv3 directory domain. To disable a user’s mail service using Workgroup Manager: 1 In Workgroup Manager, open the user account you want to work with if it is not already open. To open the account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. Click the lock to be authenticated. Select the user in the user list. 2 Click the Mail tab. 3 Select None. Enabling Mail Service Account Options You can use Workgroup Manager to enable mail service and set mail options for a user account stored in a NetInfo or LDAPv3 directory domain or to review the mail settings of accounts stored in any directory domain accessible from the server you are using. To work with a user’s mail account options using Workgroup Manager: 1 In Workgroup Manager, open the user account you want to work with if it is not already open. To open the account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. Click the lock to be authenticated. Select the user in the user list. 2 Click the Mail tab. 3 Selecting the Enabled button enables the user to use mail service.Users and Groups 151 4 The Mail Server field contains the DNS name or IP address of the server to which the user’s mail should be routed. When you enter a value, Workgroup Manager does not check to ensure it is valid. 5 The Mail Quota field specifies the maximum number of megabytes for the user’s mailbox. A 0 or null value means no quota is used. When the user’s message space approaches or surpasses the mail quota you specify, mail service displays a message prompting the user to delete unwanted messages to free up space. 6 The Mail Access selection identifies the protocol used for the user’s mail account: Post Office Protocol (POP) and/or Internet Message Access Protocol (IMAP). 7 The Options setting determines inbox characteristics for mail accounts that access email using both POP and IMAP. “Use separate inboxes for POP and IMAP” creates an inbox for POP mail and a separate inbox for IMAP mail. “Show POP Mailbox in IMAP folder list” shows an IMAP folder named POP Inbox. 8 “Enable NotifyMail” lets you automatically notify the user’s mail application when new mail arrives. The IP address to which the notification is sent can be either the last IP address from which the user logged in or an address you specify. Forwarding a User’s Mail You can use Workgroup Manager to set up email forwarding for a user whose account is stored in a NetInfo or LDAPv3 directory domain. To forward a user’s mail using Workgroup Manager: 1 In Workgroup Manager, open the user account you want to work with if it is not already open. To open the account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. Click the lock to be authenticated. Select the user in the user list. 2 Click the Mail tab. 3 Select Forward and enter the forwarding email address in the Forward To field. The existence of the address is not verified by Workgroup Manager. Working With Print Settings for Users Print settings associated with a user’s account define the ability of a user to print to accessible Mac OS X Server print queues for which print service enforces print quotas. “Enforcing Quotas for a Print Queue” on page 322 tells you how to set up quota-enforcing print queues.152 Chapter 3 In Workgroup Manager, use the Print tab in the user account window to work with a user’s print quotas: m Select None (the default) to disable a user’s access to print queues enforcing print quotas. m Select All Queues to let a user print to all accessible print queues that enforce quotas. m Select Per Queue to let a user print to specific print queues that support quotas. Disabling a User’s Access to Print Queues Enforcing Quotas You can use Workgroup Manager to prevent a user from printing to any accessible Mac OS X print queue that enforces quotas. To use Workgroup Manager, the user’s account must be stored in a NetInfo or LDAPv3 directory domain. To disable a user’s access to print queues enforcing quotas: 1 In Workgroup Manager, open the user account you want to work with if it is not already open. To open the account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. Click the lock to be authenticated. Select the user in the user list. 2 Click the Print tab. 3 Select None. Enabling a User’s Access to Print Queues Enforcing Quotas You can use Workgroup Manager to allow a user to print to all or only some accessible Mac OS X print queues that enforce quotas. To use Workgroup Manager, the user’s account must be stored in a NetInfo or LDAPv3 directory domain. To set a user’s print quota for print queues enforcing quotas: 1 In Workgroup Manager, open the user account you want to work with if it is not already open. To open the account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. Click the lock to be authenticated. Select the user in the user list. 2 Click the Print tab. To set up a quota that applies to all queues, go to step 3. Alternatively, to set up quotas for specific print queues, go to step 4. 3 Click “All Queues,” then specify the maximum number of pages the user should be able to print in a certain number of days for any print queue enforcing quotas.Users and Groups 153 4 Click “Per Queue,” then use the Queue Name pop-up menu to select the print queue for which you want to define a user quota. If the print queue you want to specify is not on the Queue Name pop-up menu, click Add to enter the queue name and specify, in the Print Server field, the IP address or DNS name of the server where the queue is defined. To give the user unlimited printing rights to the queue, click “Unlimited printing.” Otherwise, specify the maximum number of pages the user should be able to print in a certain number of days. Then click Save. Deleting a User’s Print Quota for a Specific Queue To delete a user’s print quota using Workgroup Manager: 1 In Workgroup Manager, open the user account you want to work with if it is not already open. To open the account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. Click the lock to be authenticated. Select the user in the user list. 2 Click the Print tab. 3 Use the Queue Name pop-up menu and the Print Server field to identify the print queue to which you want to disable a user’s access. 4 Click Delete. Restarting a User’s Print Quota To restart a user’s print quota using Workgroup Manager: 1 In Workgroup Manager, open the user account you want to work with if it is not already open. To open the account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. Click the lock to be authenticated. Select the user in the user list. 2 Click the Print tab. 3 If the user is set up for printing to all print queues supporting quotas, click Restart Print Quota. If the user’s print quotas are print queue–specific, use the Queue Name pop-up menu and the Print Server field to identify a print queue, then click Restart Print Quota.154 Chapter 3 Working With Managed Users See Chapter 6, “Client Management: Mac OS X,” and Chapter 10, “Client Management: Mac OS 9 and OS 8,” for information about how you can make a user a managed user, which lets you set up preferences for the user. Defining a Guest User You can set up some services to support users who are anonymous, that is, they can’t be authenticated because they do not have a valid user name or password. The following services can be set up this way: m Windows services (see “Windows Services” on page 235 for information about configuring guest access) m Apple file service (see “Apple File Service” on page 224 for information about configuring guest access) m FTP service (see “File Transfer Protocol (FTP) Service” on page 244 for information about configuring guest access) m Web service (see Chapter 8, “Web Service,” for information about configuring guest access) Users who connect to a server anonymously are restricted to files, folders, and Web sites with privileges set to Everyone. Another kind of guest user is a managed user that you can define to allow easy setup of public computers or kiosk computers. See Chapter 6, “Client Management: Mac OS X,” and Chapter 10, “Client Management: Mac OS 9 and OS 8,” for more about these kinds of users. Deleting a User Account You can use Workgroup Manager to delete a user account stored in a NetInfo or LDAPv3 directory domain. To delete a user account using Workgroup Manager: 1 In Workgroup Manager, open the user account you want to delete if it is not already open. To open the account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. Click the lock to be authenticated. Select the user in the user list. 2 Choose Delete Selected User from the Server menu.Users and Groups 155 Disabling a User Account To disable a user account, you can m delete the account (see “Deleting a User Account” on page 154) m change the user’s password to an unknown value (see “Defining Passwords” on page 145) Administering Home Directories A home directory is a folder for a user’s personal use. Mac OS X also uses the home directory, for example, for storing system preferences and managed user settings for Mac OS X users. A user’s home directory does not need to be stored on the same server as the directory domain containing the user’s account. In fact, distributing directory domains and home directories among various servers can help you balance your workload among several servers. “Distributing Home Directories Across Multiple Servers” on page 156 and “Setting Up Home Directories for Users Defined in Existing Directory Servers” on page 157 describe several such scenarios. After deciding where you want home directories to reside, you need to set up share points for them and configure the share points to automount. You may also need to create home directory folders. See “Setting Up AFP Home Directory Share Points” on page 160 and “Creating Home Directory Folders” on page 161 for details. To assign a home directory to a user, follow the instructions in “Defining a User’s Home Directory” on page 161 through “Using Import Files to Create AFP Home Directories” on page 165.156 Chapter 3 Distributing Home Directories Across Multiple Servers The following illustration depicts using one Mac OS X Server for storing user accounts and two other Mac OS X Servers for storing AFP home directories. When a user logs in, he or she is authenticated using an account stored on the accounts server. The location of the user’s home directory, stored in his account, is used to mount his or her home directory, which resides physically on one of the home directory servers. Here are the steps you could use to set up this scenario for AFP home directories: 1 Set up the directory services of the client computers so their search policy includes the server where the user accounts are stored. See Chapter 2, “Directory Services,” for instructions. 2 On each home directory server, create the folder that will serve as the share point for the home directories. Set up automounting for each share point. Doing so ensures that a user can automatically see his home directory after logging in because it is mounted on his computer. See “Setting Up AFP Home Directory Share Points” on page 160 for more information about setting up AFP share points for home directories. When you set up automounting, Mac OS X Server creates a mount record for the share point in the directory domain you designate. The mount record that describes home directory share points can reside in the same directory domain as the user account or in a directory domain in the search path used to find related user records. 3 Set up the user accounts on the account server so that the home directory share point is one of the two you created in step 1. See “Defining a Network Home Directory” on page 163. Because the home directories are accessed using AFP, the first time a user logs in his or her home directory is created automatically on the appropriate server and is visible on the user’s computer. Mac OS X Servers User accounts Home directories A thru M Home directories N thru ZUsers and Groups 157 Setting Up Home Directories for Users Defined in Existing Directory Servers When you integrate Mac OS X Server into an environment that uses an existing directory server for storing user information, you can take advantage of that information for authenticating users, but use one or more Mac OS X Servers to store home directories for users. The following picture illustrates this scenario. A user has access to his home directory on Mac OS X Server after logging in to a Mac OS X computer and being authenticated using Active Directory information. The numbers in this figure illustrate the sequence of interactions that occur between the time a user logs in to the Mac OS X client computer and can choose Home from the Go menu to access his home directory: Windows 2000 server hosting Active Directory Mac OS X client computer Mac OS X Server hosting home directories 1 3 2 4158 Chapter 3 1 Retrieving user information. When the user logs in, the Mac OS X computer retrieves the user’s account from Active Directory and authenticates the user. Home directory information in the user’s record indicates that the home directory resides on the network, so a mount record for the home directory is retrieved from Active Directory. The mount record identifies the home directory share point and its access protocol—AFP in this case. In this example, the user and mount records reside in the search bases indicated in Active Directory on the Windows 2000 Server. A search base is like a directory you use to access particular kinds of records. 2 Requesting authorization to mount the home directory. The Mac OS X client computer then sends the user’s information to the Mac OS X Server hosting the home directory to request authorization to mount the home directory. The home directories, named using the user short names, reside under the share point named “Homes” on Mac OS X Server. Windows 2000 server hosting Active Directory 10.43.12.172 supergirl.corp.apple.com user: jdm Mac OS X client computer ou=mounts,dc=supergirl, dc=corp,dc=apple, dc=com Users cn=Users,dc=supergirl, dc=corp,dc=apple, dc=com Mounts 10.43.12.40 bigmac.corp.apple.com /Homes/jdm Mac OS X client computer Mac OS X Server hosting home directoriesUsers and Groups 159 3 Setting up home directory access. Next, the server retrieves the user’s Active Directory record and authenticates the user. The server uses the UID and group ID in the record to set up file access permissions for the user. 4 Accessing the home directory. The home directory is now mounted and visible on the user’s computer in the Mac OS X Finder under /Network/Servers/bigmac/Homes, and login is complete. Here are the steps you would use to set up this scenario: 1 Set up the Windows server to make sure Active Directory contains the necessary user account and mount data. 2 Set up directory service mappings for Mac OS X computers, both clients and server, so they can access the Active Directory data. See Chapter 2, “Directory Services,” information about using the Active Directory mapping template and add the Windows server to the Mac OS X computer’s search policies. 3 Set up share points on Mac OS X Server. Because the home directories are accessed using AFP, the first time a user logs in his home directory is created automatically and is visible on the user’s computer. Users /Homes/jdm Windows 2000 server hosting Active Directory Mac OS X Server hosting home directories Mac OS X client computer Mac OS X Server hosting home directories /Network/Servers/bigmac/Homes/jdm160 Chapter 3 Choosing a Protocol for Home Directories You can set up home directories so they can be accessed using either AFP or NFS. The preferred protocol is AFP, because it provides authentication-level access security; a user has to log in with a valid name and password to access files. AFP also simplifies the setup of home directories; home directories are automatically created the first time a user logs in. Use NFS only if you need to provide home directories for a large number of users who use UNIX workstations. NFS file access is based not on user authentication, but on client IP address, so it is generally less secure than AFP. In addition, NFS home directories need to be created manually. See the next two sections information about using AFP and NFS protocols for home directories. Setting Up AFP Home Directory Share Points Before setting up an AFP home directory for a user, define an automountable share point in which the home directory will reside. Setting up a home directory in an automountable share point makes the home directory available in /Network/Servers and lets other users access the home directory using the ~username shortcut. Because of the way home directory disk quotas work, you may want to set up home directory share points on a partition different from other share points. See “Setting Disk Quotas” on page 164 for more information. To define an AFP share point for home directories: 1 Create a folder on the server where you want the home directories to reside, and share the folder using AFP. See Chapter 4, “Sharing,” for complete instructions on how to accomplish this and the remaining steps. 2 Enable guest access to the share point so users can access other users’ public folders without authenticating. Also, ensure that the share point owner has Read & Write privileges and that Group and Everyone have Read privileges. 3 Configure a mount record for the share point. To do so, set up the share point to automount, using AFP, in a directory domain in the search path of Mac OS X computers that need to use it. Setting Up NFS Home Directory Share Points Before setting up an NFS home directory for users, define the share point in which the home directories will reside. Because NFS offers less access security than AFP, define one NFS share point for use by all UNIX users who need home directories.Users and Groups 161 Because of the way home directory disk quotas work, you may want to set up home directory share points on a partition different from other share points. See “Setting Disk Quotas” on page 164 for more information. To define an NFS share point for home directories: 1 Create a folder on the server where you want the home directories to reside, and share the folder using NFS. See Chapter 4, “Sharing,” for complete instructions on setting up NFS share points. 2 Export the share point, use the pop-up menu to select the clients to whom you want to export the share point, and map the “root” user to “nobody.” 3 Configure a mount record for the share point. To do so, set up the share point so it is automounted, using NFS, in a directory domain in the search path of Mac OS X computers that need to use it. 4 In the share point folder, manually create the home directory folder and all its subfolders for each user. UNIX users are accustomed to using SSH to obtain command-line access to a server. With this kind of access, the user’s home directory isn’t mounted, and the user has only guest access to it. Creating Home Directory Folders AFP home directories and their subfolders are created automatically when users first log in. NFS home directories must be created manually within the folder that serves as the NFS share point. Defining a User’s Home Directory In Workgroup Manager, use the Home tab in the user account window to work with home directory settings for a user. m Select Local to define a home directory on the server you are using for a user defined in a local directory domain on that server. m Select Network to set up a home directory for users defined in shared directory domains. The home directory resides immediately under a share point you select from a list of automountable share points in directory domains of the server’s search path. m Select the Advanced option to set up a home directory that has characteristics not available using the Local or Network options. For example, the Advanced option lets you set up a network home directory that is not immediately below the share point. The next four sections describe how to use the user account Home tab. You can also use an import file to set up home directories. See “Using Import Files to Create AFP Home Directories” on page 165 for details.162 Chapter 3 Defining No Home Directory You can use Workgroup Manager to avoid creating a home directory for a user whose account is stored in a NetInfo or LDAPv3 directory domain. By default, new users have no home directory. To define no home directory: 1 In Workgroup Manager, open the account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the local directory domain. To edit the home directory information, click the lock to be authenticated, then select the user in the user list. 2 Click the Home tab. 3 Select No Home. Defining a Home Directory for Local Users You can use Workgroup Manager to define a home directory for a user whose account is stored in the local directory domain on the server you are logged in to. Local user accounts are visible only on the server itself, not over the network. Local user accounts on Mac OS X Server are most useful for standalone servers (servers not accessible from a network) and server administrator accounts. To create a home directory for a local user account: 1 In Workgroup Manager, open the account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the local directory domain. To edit the home directory information, click the lock to be authenticated, then select the user in the user list. 2 Click the Home tab. 3 Select Local, then choose the share point from the Share Point pop-up menu in which you want the home directory to reside. By default, /Users is assumed, but you can select any other share point that has been defined in the local directory domain. The share point does not have to be configured for automounting. If the home directory share point is an AFP share point, the home directory is created automatically when the user logs in if it does not already exist; the name of the home directory created is the same as the user’s short name (the user’s first short name if there are multiple short names). If it is an NFS share point, you must create the home directory and its subfolders manually.Users and Groups 163 Defining a Network Home Directory In Workgroup Manager, you can set up a home directory for users defined in shared directory domains. The home directory resides immediately under an automountable share point. You can use Workgroup Manager to define a network home directory for a user whose account is stored in a NetInfo or LDAPv3 directory domain or to review home directory information in any directory domain accessible from the server you are using. To create a network home directory using Workgroup Manager: 1 In Workgroup Manager, open the account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the user’s account resides. To edit the home directory information, click the lock to be authenticated, then select the user in the user list. 2 Click the Home tab, then select Network. 3 Select a share point from the list, which displays all the network-visible share points in the search path of the server you are using. If the home directory share point you select is an AFP share point, the home directory is created automatically when the user logs in if it does not already exist; the home directory is named after the user’s short name (the first short name if the user has multiple short names). If it is an NFS share point, you must create the home directory and its subfolders manually. Defining an Advanced Home Directory In Workgroup Manager, you can customize a user’s home directory settings using the Advanced home directory option. You’ll want to customize home directory settings when m You want the user’s home directory to reside in directories not immediately below the home directory share point. For example, you may want to organize home directories into several subdirectories within a share point. If Homes is the home directory share point, you may want to place teachers’ home directories in Homes/Teachers and student home directories in Homes/Students. m You want to specify a home directory name different from the user’s short name. You can use Workgroup Manager to define an advanced home directory for a user whose account is stored in a NetInfo or LDAPv3 directory domain or to review home directory information in any directory domain accessible from the server you are using. To create an advanced home directory using Workgroup Manager: 1 In Workgroup Manager, open the account you want to work with if it is not already open. 164 Chapter 3 To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the user’s account resides. To edit the home directory information, click the lock to be authenticated, then select the user in the user list. 2 Click the Home tab, then select Advanced. 3 In the Server/Share Point URL field, enter the full URL to an existing share point. For example, enter “AFP://server.example.com/Homes”. Make sure that the share point has been set up as an automount. 4 In the Path field, enter the path from the share point to the home directory if there is one. Any directories you enter must exist. For example, if the share point is Homes, you might enter Teachers/SecondGrade 5 In the Home field, enter the full path to the home directory. For example, /Network/Servers/server.example.com/Homes/Teachers/SecondGrade/Smith. If the home directory share point you select is an AFP share point on Mac OS X Server, the home directory is created automatically when the user logs in if it does not already exist; the home directory is named after the user’s short name (the first short name if the user has multiple short names). If it is an NFS share point, you must create the home directory and its subfolders manually. Setting Disk Quotas You can limit the disk space a user can consume to store files he or she owns in the partition where his home directory resides. This quota does not apply to the home directory share point or to the home directory, but to the entire partition within which the home directory share point and the home directory reside. Therefore when a user places files into another user’s folder, it can have implications on the user’s disk quota: m When you copy a file to a user’s AFP drop box, the owner of the drop box becomes the owner of the file. m In NFS, however, when you copy a file to another folder, you remain the owner and the copy operation decrements your disk quota on a particular partition. To set up a home directory share point disk quota using Workgroup Manager: 1 In Workgroup Manager, open the account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the user’s account resides. To edit the disk quota, click the lock to be authenticated, then select the user in the user list. 2 Click the Home tab. Users and Groups 165 3 Specify the disk quota using the Disk Quota field and the adjacent pop-up menu. Defining Default Home Directories for New Users You can define default home directory settings to use for new users by using a preset to predefine them. See “Using Presets” on page 176 for information about defining and using presets. Using Import Files to Create AFP Home Directories The fastest way to create AFP home directories for a large number of users is to use an import file. See “Importing and Exporting User and Group Information” on page 178 for details. Moving Home Directories If you need to move a home directory, create the new one and manually delete the existing one to deallocate disk space it uses if you no longer need the existing one. Deleting Home Directories When you delete a user account, the associated home directory is not automatically deleted. You must delete it manually. Administering Group Accounts This section describes how to administer group accounts stored in various kinds of directory domains. Where Group Accounts Are Stored Group accounts, as well as user accounts and computer accounts, can be stored in any Open Directory domain accessible from the Mac OS X computer that needs to access the account. A directory domain can reside on a Mac OS X computer (for example, a NetInfo or LDAPv3 domain) or it can reside on a non-Apple server (for example, an LDAP or Active Directory server). You can use Workgroup Manager to work with accounts in all kinds of directory domains, but you can only update NetInfo and LDAPv3 directory domains using Workgroup Manager. See Chapter 2, “Directory Services,” for complete information about the different kinds of Open Directory domains. Creating Group Accounts in a Directory Domain on Mac OS X Server You need administrator privileges for a directory domain to create a new group account in it.166 Chapter 3 To create a group account: 1 Ensure that the directory services of the Mac OS X Server you are using has been configured to access the domain of interest. See Chapter 2, “Directory Services,” for instructions. 2 In Workgroup Manager, click the Accounts button. 3 Use the At pop-up menu to open the domain in which you want the group account to reside. 4 Click the lock to be authenticated as a directory domain administrator. 5 From the Server menu, choose New Group. 6 Specify settings for the group in the tabs provided. See “Working With Member Settings for Groups” on page 167 and “Working With Volume Settings for Groups” on page 170 for details. You can also use a preset or an import file to create a new group. See “Using Presets” on page 176 and “Importing and Exporting User and Group Information” on page 178 for details. Creating Read-Write LDAPv3 Group Accounts You can create a group account on a non-Apple LDAPv3 server if it has been configured for write access. To create an LDAPv3 group account: 1 Ensure that the directory services of the Mac OS X Server you are using has been configured to use the LDAP server for group accounts. See Chapter 2, “Directory Services,” for information about using Directory Access to configure an LDAP connection and Appendix A, “Open Directory Data Requirements,” for information about the group account elements that may need to be mapped. 2 In Workgroup Manager, click the Accounts button. 3 Use the At pop-up menu to open the LDAPv3 domain in which you want the group account to reside. 4 Click the lock to be authenticated. 5 From the Server menu, choose New Group. 6 Specify settings for the group in the tabs provided. See “Working With Member Settings for Groups” on page 167 and “Working With Volume Settings for Groups” on page 170 for details. You can also use a preset or an import file to create a new group. See “Using Presets” on page 176 and “Importing and Exporting User and Group Information” on page 178 for details.Users and Groups 167 Changing Group Accounts You can use Workgroup Manager to change a group account that resides in a NetInfo or LDAPv3 directory domain. To make changes to a group account: 1 Ensure that the directory services of the Mac OS X Server you are using has been configured to access the directory domain of interest. See Chapter 2, “Directory Services,” for instructions. 2 In Workgroup Manager, click the Accounts button. 3 Use the At pop-up menu to open the domain in which the group account resides. 4 Click the lock to be authenticated. 5 Click the Group tab to select the group you want to work with. 6 Edit settings for the group in the tabs provided. See “Working With Member Settings for Groups” on page 167 and “Working With Volume Settings for Groups” on page 170 for details. Working With Read-Only Group Accounts You can use Workgroup Manager to review information for group accounts stored in readonly directory domains. Read-only directory domains include LDAPv2 domains, LDAPv3 domains not configured for write access, and BSD configuration files. To work with a read-only group account: 1 Ensure that the directory services of the Mac OS X Server you are using has been configured to access the directory domain in which the account resides. See Chapter 2, “Directory Services,” for information about using Directory Access to configure server connections and Appendix A, “Open Directory Data Requirements,” for information about the group account elements that need to be mapped. 2 In Workgroup Manager, click the Accounts button. 3 Use the At pop-up menu to open the directory domain in which the group account resides. 4 Use the tabs provided to review the group account settings. See “Working With Member Settings for Groups” on page 167 and “Working With Volume Settings for Groups” on page 170 for details. Working With Member Settings for Groups Member settings include a group’s names, its ID, and a list of the users who are members of the group. 168 Chapter 3 In Workgroup Manager, use the Members tab in the group account window to work with member settings. When the name of a user in the Members list appears in italics, the group is the user’s primary group. Adding Users to a Group Add users to a group when you want multiple users to have the same file access privileges or when you want to make them managed users. When you create a user account and assign the new user a primary group, the user is automatically added to the group you specify; you do not need to explicitly do so. Otherwise, you explicitly add users to a group. You can use Workgroup Manager to add users to a group if the user and group accounts are in a NetInfo or LDAPv3 directory domain. To add users to a group using Workgroup Manager: 1 In Workgroup Manager, open the group account you want to work with if it is not already open. To open the account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. Click the lock to be authenticated. Select the group in the group list. 2 Click the Members tab. 3 Click Add to open a drawer listing the users defined in the directory domain you are working with. (To include system users in the list, choose Preferences on the Workgroup Manager menu, then select “Show system users and groups.”) Make sure that the group account resides in a directory domain specified in the search policy of computers the user will log in to. 4 Select the user, then drag it into the Members list on the Members tab. Removing Users From a Group You can use Workgroup Manager to remove a user from a group that is not the user’s primary group if the user and group accounts reside in a NetInfo or LDAPv3 directory domain. To remove a user from a group using Workgroup Manager: 1 In Workgroup Manager, open the group account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. Click the lock to be authenticated. Select the group in the group list.Users and Groups 169 2 Click the Members tab. 3 Select the user or users you want to remove from the group, then click Remove. Naming a Group A group has two names: a full name and a short name: m The full group name, which is used for display purposes only, can contain as many as 255 characters (127 double-byte characters). Use only these characters: a through z A through Z 0 through 9 _ (underscore) - (hyphen) . (period) (space) For example, English Department Students. m The short name can contain as many as 255 characters (127 double-byte characters). Use only these characters: a through z A through Z 0 through 9 _ (underscore) - (hyphen) . (period) The short name, typically 8 or fewer characters, is used by Mac OS X to find UIDs of group members when determining whether a user can access a file as a result of his or her group membership. You can use Workgroup Manager to edit the names of a group account stored in a NetInfo or LDAPv3 directory domain or to review the names in any directory domain accessible from the server you are using. To work with group names using Workgroup Manager: 1 In Workgroup Manager, open the group account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. To change a name, click the lock to be authenticated. Select the group in the group list.170 Chapter 3 2 In the Name or “Short name” field on the Members tab, review or edit the names. Before saving a new name, Workgroup Manager checks to ensure that it is unique. Defining a Group ID A group ID is a string of ASCII digits that uniquely identifies a group. The maximum value is 2,147,483,647. The minimum value is 101. You can use Workgroup Manager to edit the ID for a group account stored in a NetInfo or LDAPv3 directory domain or to review the group ID in any directory domain accessible from the server you are using. To work with a group ID using Workgroup Manager: 1 In Workgroup Manager, open the group account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. To change a group ID, click the lock to be authenticated. Select the group in the group list. 2 In the Group ID field on the Members tab, review or edit the ID. Before saving a new group ID, Workgroup Manager checks to ensure that it is unique in the directory domain you are using. Working With Volume Settings for Groups You can designate a directory for use exclusively by members of a particular group. A group directory offers a way to organize documents and applications of special interest to group members and gives group members a directory to use to pass information back and forth among them. If the group is a workgroup (if you want to define Mac OS X preferences for the group), you must set up a group volume. A workgroup’s preferences are stored in the group volume you associate with the workgroup. In Workgroup Manager, use the Volumes tab in the group account window to work with group volume settings: m Select None to avoid creating a group directory. m Select Network to automate the creation of group volumes. m Select Advanced to customize your group volume settings. Before you can set up a group directory, you must create the share point for it to reside in, as the next section describes.Users and Groups 171 Creating Group Directories Before you can designate a directory as a group directory, you must create a share point for the directory. Chapter 4, “Sharing,” tells you how to use Workgroup Manager to create a folder and share it. If you are using AFP to share the group directory, you can take advantage of automatic group share point and group directory creation by choosing the Network option on the Volumes tab for the group account in Workgroup Manager. To work with other sharing protocols and share points, you must use the Advanced option on that tab. Automatically Creating Group Directories When you initially set up a server, an AFP share point named /groups is created automatically. You can automate the (overnight) creation of group directories in the /groups share point when you use Workgroup Manager to define groups in a NetInfo or LDAPv3 directory domain. To set up an automatically created group directory: 1 In Workgroup Manager, open the group account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. To edit the group directory information, click the lock to be authenticated. Select the group in the group list. 2 Click the Volumes tab. 3 Select Network. 4 Click Select to choose a server from a list of servers that host a /groups share point in a directory domain in your current search path. The group directory is created immediately below it using the group’s short name. The server name you choose appears in the Server field. Alternatively, enter a server name in the Server field. The group directory is created automatically only if the server you specify hosts a /groups share point in your current search path. Otherwise, you need to create an AFP share point on that server named /groups and, within it, a group directory with the short name of the group. 5 In the Owner Name field, enter the name of the user you want to own the group directory so he or she can act as group directory administrator. Click Users to choose an owner from a list of users in the current directory domain. 6 Optionally check one of the boxes that automate visibility of the group directory for group members when they log in to a Mac OS X computer. Check “Show group documents” to automatically display the group directory in the Dock.172 Chapter 3 Check “Mount group volume at startup” to automatically display the group directory in the Finder. Customizing Group Directory Settings When you need more control over group directory settings than the network group directory option provides, you can use Workgroup Manager to customize group directory settings. The group whose directory you want to customize must be defined in a NetInfo or LDAPv3 directory domain. For example, you may want to organize group directories as several folders within a share point. If LanguageGroups is a group directory share point, you may want to place the group directory for English students in LanguageGroups/English and for French students in LanguageGroups/French. To customize group settings: 1 In Workgroup Manager, open the account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the group account resides. To edit the group directory information, click the lock to be authenticated, then select the group in the group list. 2 Click the Volumes tab, then select Advanced. 3 In the URL field, enter the full URL to the group directory’s share point. For example, enter “SMB://ntserver.com/macgroups” to identify an SMB share point named “macgroups” on a server whose domain name is “ntserver.com”. The share point must already exist on the server. 4 In the Path field, enter the path from the share point to the group directory For example, if the share point is GroupDirs and the full path to the group directory is GroupDirs/Teachers/Primary/, enter Teachers/Primary in the Path field. These directories must already exist. 5 In the Owner Name field, enter the name of the user you want to own the group directory so he or she can act as group directory administrator. Click Users to choose an owner from a list of users in the current directory domain. 6 Optionally check one of the boxes that automate visibility of the group directory for group members when they log in to a Mac OS X computer. Check “Show group documents” to automatically display the group directory in the Dock. Check “Mount group volume at startup” to automatically display the group directory in the Finder.Users and Groups 173 Working With Group and Computer Preferences See Chapter 6, “Client Management: Mac OS X,” and Chapter 10, “Client Management: Mac OS 9 and OS 8,” for information about how you can use groups when you want managed Mac OS X users to have workgroup and computer list preferences. Deleting a Group Account You can use Workgroup Manager to delete a group account stored in a NetInfo or LDAPv3 directory domain. To delete a group account using Workgroup Manager: 1 In Workgroup Manager, open the group account you want to delete if it is not already open. To open the account, click the Account button, then use the At pop-up menu to open the directory domain where the account resides. Click the lock to be authenticated. Select the group in the group list. 2 Choose Delete Selected Group from the Server menu. Finding User and Group Accounts In Workgroup Manager, user and group accounts are listed in tabs at the left side of the Workgroup Manager window. Workgroup Manager preferences affect the lists. Choose the Preferences command on the Workgroup Manager menu to control whether system users and groups are listed and the order in which items are listed. To work with one or more of the accounts listed, select them. Data about the selected accounts appears in tabs to the right of the list. To populate the list, use the At menu to select the directory domain(s) you want to work with. Initially, the local directory domain accounts are listed. The domains available for selection include all directory domains configured for access by the server you are logged in to. “Listing Users and Groups in the Local Directory Domain” on page 174 through “Refreshing User and Group Lists” on page 175 tell you how to use the At menu. Choose the Show Status Bar command on the View menu to display information related to your current At menu selection: m When Search Path is selected, the status bar identifies the computer you are currently logged in to and the user name under which you are logged in. m When “Other” or “Local” is selected, the status bar identifies the directory domain in which you are currently authenticated and the user name under which you are authenticated.174 Chapter 3 After you choose directory domains, all the accounts residing in those domains are listed. You can sort the list by clicking a column heading. You can filter the list to find specific users or groups by using the filter options above the list. See “Finding Specific Users and Groups in a List” on page 175 and “Sorting User and Group Lists” on page 175 for details. Listing Users and Groups in the Local Directory Domain The local directory domain is a server-resident domain that is visible only when you are logged in to the server where it resides. To list accounts in the local domain of the server you are working with: 1 In Workgroup Manager, log in to the server hosting the domain, then select Local in the At pop-up menu. 2 User accounts residing in the local domain are listed in the user tab, and local group accounts are listed in the group tab. To work with a particular account, select it. To change the account, which requires that you have server or domain administrator privileges, click the lock to authenticate. Listing Users and Groups in Search Path Directory Domains The search path directory domains are those in the search policy defined for the Mac OS X Server you are logged in to. To list accounts in search path domains of the server you are working with: 1 In Workgroup Manager, log in to a server whose search policy contains the directory domains of interest. 2 Select Search Path in the At pop-up menu. User accounts residing in all directory domains in the search path are listed in the user tab, and group accounts are listed in the group tab. 3 To work with a particular account, select it. To change the account, which requires that you have server or domain administrator privileges, click the lock to authenticate. Listing Users and Groups in Available Directory Domains You can list user and group accounts residing in any specific directory domain accessible from the server you are logged in to using Workgroup Manager. You select the domain from a list of all the directory domains configured to be visible from the server you are using. Note that “available” directory domains are not the same as directory domains in a search policy. A search policy consists of the directory domains a server searches routinely when it needs to retrieve, for example, a user’s account. But the same server might be configured to access directory domains that have not been added to its search policy. Users and Groups 175 To list accounts in directory domains accessible from a server: 1 In Workgroup Manager, log in to a server from which the directory domains of interest are visible. 2 Select Other in the At pop-up menu. 3 In the dialog box that appears, select the domain(s), then click OK. User accounts residing in selected directory domains are listed in the user tab, and group accounts are listed in the group tab. 4 To work with a particular account, select it. To change a NetInfo or LDAPv3 account, which requires that you have server or domain administrator privileges, click the lock to authenticate. Refreshing User and Group Lists To refresh the list of user and group accounts currently displayed in Workgroup Manager, you can m type in the field above the list m choose another item in the At pop-up menu, then reselect the domain(s) you had been working with User and group lists are automatically refreshed at the rate specified in the Workgroup Manager preferences. Choose the Preferences command on the Workgroup Manager menu to display the current setting for automatic refresh and optionally change it. Finding Specific Users and Groups in a List After you have displayed a list of users or groups in Workgroup Manager, you can filter the list to find particular users or groups of interest. To filter items in the list of accounts: 1 After listing accounts, select the user or group tab. 2 In the pop-up menu above the account list, select an option to describe what you want to find. When you enter a name option, both full and short names of users or groups are searched. The original list is replaced by items that satisfy your search criteria. Sorting User and Group Lists After displaying a list of accounts in Workgroup Manager, click a column heading to sort entries using the values in that column. Click the heading again to reverse the order of the entries in the list.176 Chapter 3 Shortcuts for Working With Users and Groups When using Workgroup Manager to work with user and group accounts, several shortcuts can save you time: m You can make changes to multiple user or group accounts at once. See “Editing Multiple Users Simultaneously” on page 176. m You can use presets, which are like templates that let you predefine attributes to apply to new user or group accounts by default. See “Creating a Preset for User Accounts” on page 176 through “Changing Presets” on page 178. m You can import user and group accounts from a file. See “Understanding What You Can Import” on page 179 through “Using Character-Delimited Files” on page 187. Editing Multiple Users Simultaneously You can use Workgroup Manager to make the same change to multiple user accounts in a NetInfo or LDAPv3 domain at the same time. To edit multiple users: 1 In Workgroup Manager, list the users in the directory domain of interest. Click the Account button, then use the At pop-up menu to open the directory domain. Click the lock to be authenticated, then select the users in the user list. Use Command-click to select each user whose account you want to change. 2 Click the tab you want to work with and make changes as required for fields that Workgroup Manager lets you update. Using Presets Presets are Workgroup Manager account templates. They let you set up initial attributes for new accounts you create using Workgroup Manager. Presets can be used only during account creation. If you change a preset after it has been used to create an account, accounts already created using the preset are not updated to reflect those changes. Creating a Preset for User Accounts To create a preset for user accounts: 1 Open Workgroup Manager on the server from which you will be creating user accounts. Ensure that the server has been configured to access the Mac OS X directory domain or nonApple LDAPv3 directory domain in which the preset will be used to create new accounts. 2 Click the Accounts button.Users and Groups 177 3 To create a preset using data in an existing user account, open the account. To create a preset using an empty user account, create a new user account. 4 Fill in the fields with values you want new user accounts to inherit. Delete any values you do not want to prespecify if you are basing the preset on an existing account. The following attributes can be defined in a user account preset: password settings, home directory settings, quotas, default shell, primary group ID, group membership list, and mail settings. 5 On the Presets pop-up menu, choose Save Preset, enter a name for the preset, then click OK. Creating a Preset for Group Accounts To create a preset for group accounts: 1 Open Workgroup Manager on the server from which you will be creating group accounts. Ensure that the server has been configured to access the Mac OS X directory domain or nonApple LDAPv3 directory domain in which the preset will be used to create new accounts. 2 Click the Accounts button. 3 To create a preset using data in an existing group account, open the account. To create a preset using an empty group account, create a new group account. 4 Fill in the fields with values you want new user groups to inherit. Delete any values you do not want to prespecify if you are basing the preset on an existing account. 5 On the Presets pop-up menu, choose Save Preset, enter a name for the preset, then click OK. Using Presets to Create New Accounts To create a new account using a preset: 1 Open Workgroup Manager on a server configured to access the Mac OS X directory domain or non-Apple LDAPv3 directory domain in which the preset will be used to create the new account. 2 Click the Accounts button. 3 Use the At pop-up menu to open the directory domain in which you want the new account to reside. 4 Click the lock to be authenticated as a directory domain administrator. 5 From the Presets pop-up menu, choose the preset you want to use. 6 Create a new account. 7 Add or update attribute values as appropriate, either interactively or using an import file.178 Chapter 3 Renaming Presets To rename a preset: 1 Open Workgroup Manager on the server where the preset has been defined. 2 Click the Accounts button. 3 From the Presets pop-up menu, choose Rename Preset and enter the new name. 4 Click OK. Deleting a Preset To delete a preset: 1 Open Workgroup Manager on the server where the preset has been defined. 2 Click the Accounts button. 3 From the Presets pop-up menu, choose Delete Preset. 4 Select the preset you want to delete then click Delete. Changing Presets When you change a preset, existing accounts created using it are not updated to reflect your changes. To change a preset: 1 Open Workgroup Manager on the server where the preset has been defined. 2 Click the Accounts button. 3 From the Presets pop-up menu, choose the preset you want to change. 4 After completing your changes, choose Save Preset on the Presets pop-up menu. You can also change a preset while using it to create a new account by changing any of the fields defined by the preset, then saving the preset. Importing and Exporting User and Group Information Importing user and group accounts from a file is useful when you want to m Create a large number of users or groups in a batch. m Migrate user or group accounts from another server. You can import users and groups from AppleShare IP 6.3 or Mac OS X Server version 10.1 and earlier. m Update a large number of user or group accounts with new information. You can import accounts into a NetInfo or LDAPv3 directory domain from m XML files created by exporting accounts on AppleShare IP 6.3 servers.Users and Groups 179 m XML files created by exporting accounts on Mac OS X Server versions 10.1 and earlier. m Character-delimited files created by exporting accounts on Mac OS X Server versions later than 10.1 or created by hand or using a database or spreadsheet application. There are two ways to import and export accounts: using Workgroup Manager or using the dsimportexport command-line tool. dsimportexport gives you more control over the import and export processes, while Workgroup Manager offers a simpler, graphical user experience. During import and export processing, dsimportexport displays status information and writes to a log file: m Status information is provided for each user or group imported or exported. Status data includes the total number of records processed so far, the number of bytes processed so far, and the identity of the record being processed currently. m The log file is created in /Users//Library/Logs/ImportExport/ DSImportExport.logYYYY.MMDD.mmmmmm, where identifies the user who invoked dsimportexport and mmmmmm is milliseconds. The log file provides both processing information and error indications. Information logged includes the date and time that the import or export operation started, the total number of users and groups imported or exported, and the identity of any accounts that generated errors during import or export. This section describes how to prepare files for importing and how to conduct import and export operations using Workgroup Manager and dsimportexport. Understanding What You Can Import The user and group account attributes you can import vary with the kind of import file you use: m XML files created with Mac OS X Server 10.1 or earlier (see page 186) m XML files created with AppleShare IP 6.3 (see page 186) m character-delimited files (see page 187) You cannot use an import file to change these predefined users: daemon, root, nobody, unknown, or www. Nor can you use an import file to change these predefined groups: admin, bin, daemon, dialer, mail, network, nobody, nogroup, operator, staff, sys, tty unknown, utmp, uucp, wheel, or www. You can, however, add users to the wheel and admin groups. Using Workgroup Manager to Import Users and Groups You can use Workgroup Manager to import user and group accounts into a NetInfo or LDAPv3 directory domain. 180 Chapter 3 To import accounts using Workgroup Manager: 1 Create a character-delimited or XML file containing the accounts to import, and place it in a location accessible from the server on which you will use Workgroup Manager. Ensure the file contains no more than 10,000 records. See “Using XML Files Created With Mac OS X Server 10.1 or Earlier” on page 186, “Using XML Files Created With AppleShare IP 6.3” on page 186, and “Using Character-Delimited Files” on page 187 for information on creating files to import. 2 In Workgroup Manager, click the Account button, then use the At pop-up menu to open the directory domain into which you want to import accounts. 3 Click the lock to authenticate as domain administrator. 4 Choose Import from the Server menu, then select the import file. 5 Select one of the Duplicate Handling options to indicate what to do when the short name of an account being imported matches that of an existing account. “Overwrite existing record” overwrites any existing record in the directory domain. “Ignore new record” ignores an account in the import file. “Add to empty fields” merges data from the import file into the existing account when the data is for an attribute that currently has no value. “Append to existing record” appends data to existing data for a particular multivalue attribute in the existing account. Duplicates are not created. This option might be used, for example, when importing new members into an existing group. 6 Select one of the Record Format options. “Import standard users” indicates your import file contains user accounts with these attributes in the order listed: short name, password, UID, primary group ID, full name, path to the home directory on the user’s computer, and default shell. The first line of the file must contain “StandardUserRecord.” “Import standard groups” indicates your import file contains group accounts with these attributes in the order listed: group name, group ID, and short names of group members. The first line of the file must contain “StandardGroupRecord.” “Use record description in file” indicates that the first line of the file is a complete record description. “Using Character-Delimited Files” on page 187 describes what the record description must look like. “Import XML from AppleShare IP” indicates your import file is an XML file created using AppleShare IP. “Import XML from Server Admin” indicates your import file is an XML file created using Server Admin on Mac OS X Server 10.1 or earlier.Users and Groups 181 7 In the First User ID field, enter the UID at which to begin assigning UIDs to new user accounts for which the import file contains no UID. 8 In the Primary Group ID field, enter the group ID to assign to new user accounts for which the import file contains no primary group ID. 9 Click Import to start the import operation. Using Workgroup Manager to Export Users and Groups You can use Workgroup Manager to export user and group accounts from a NetInfo or LDAPv3 directory domain into a character-delimited file that you can import into a different NetInfo or LDAPv3 directory domain. To export accounts using Workgroup Manager: 1 In Workgroup Manager, click the Account button, then use the At pop-up menu to open the directory domain from which you want to import accounts. 2 Click the lock to authenticate as domain administrator. 3 Choose Export from the Server menu. 4 Specify the name to assign to the export file and the location where you want it created. 5 Click Export. Using dsimportexport to Import Users and Groups You can use dsimportexport to import user and group accounts into a NetInfo or LDAPv3 directory domain. Here are the parameters that dsimportexport accepts when importing user and group accounts. Parameters are delimited using angle brackets (<>) if they are required and square brackets ([]) if they are optional: dsimportexport <-g or -s or -p> <-s startingUID> [-r primaryGroupID] [-k keyIndex ...] [-n recNameIndex] [-v] [-T standardRecordType] [-yrnm userName] [-yrpwd password] [-y ipAddress] [-V] [-h] [-err] where -g imports accounts from a character-delimited file. See “Using Character-Delimited Files” on page 187 for information about the format of this kind of file.182 Chapter 3 -s imports accounts from an XML file formatted as “Using XML Files Created With Mac OS X Server 10.1 or Earlier” on page 186 describes. -p imports accounts from an XML file formatted as “Using XML Files Created With AppleShare IP 6.3” on page 186 describes. file names the file from which you want to import accounts, including the path to the file. For example, /tmp/Import1. directoryDomain is the full path to the NetInfo or LDAPv3 directory domain into which you want to import the accounts. For a NetInfo domain, you might type “NetInfo/root/someDomain”. For an LDAPv3 domain, an example is “LDAPv3/ldap.example.com”. userName is the full or short name of a user who has domain administrator privileges for the directory domain. password is the password associated with the userName you specify. O overwrites any existing record in the directory domain with the value(s) in the attribute(s) identified using the -k option. M merges data from the import file into an existing account, using the value(s) in the attribute(s) identified using the -k option when the data is for an attribute that currently has no value. I ignores an account in the import file if a record with the same value(s) in the attribute(s) identified using the -k option already exists in the directory domain. A appends data to existing data for a particular multivalue attribute in an account in the directory domain with the value(s) in the attribute(s) identified using the -k option. Duplicates are not created. This option might be used, for example, when importing new members into an existing group. Users and Groups 183 -s startingUID specifies the starting UID to use when importing from an ASIP XML file or a characterdelimited file that contains new user accounts with no UIDs specified. You can omit this argument if all the accounts in the import file contain UIDs, but use it if some or all of the accounts do not contain UIDs. For example, -s 559 assigns UIDs to imported users starting at 559 and incrementing by one for each new user. -r primaryGroupID identifies the primary group ID to assign a new user when an account in the import file has no group ID specified. For example, -r 20 makes the group with a group ID of 20 the primary group of an imported user with no group ID defined in the file. -k keyIndex ... is for character-delimited import files only. It is used to identify as many as four attributes of an account in the file that you want to use to determine whether the account already exists. The keyIndex is 0 based, so -k 0 points to the first attribute of an account in the import file. Separate multiple keyIndex values using commas, for example, -k 1,5,6,8. If you omit the -k parameter, -k 0 is assumed. -n recNameIndex is for character-delimited import files only. It is used to identify the attribute providing a user’s short name or a group name. The nameIndex is 0 based, so -n 0 points to the first attribute. If you omit the -n parameter, -n 0 is assumed. -v generates verbose output during import. Because this option generates a large amount of status data for each account (including all data in the import file), use this option only when debugging import files. The default status data are counts of the number of accounts and bytes processed and the record name of the account currently being processed. -T standardRecordType is for character-delimited import files only. It is used to indicate that the first line of the file does not contain a record description because the file contains accounts in standard formats. A standardRecordType value of xDSStandardUser is used for standard user accounts, and xDSSttandardGroup is used for standard group accounts. See “Using Character-Delimited Files” on page 187 for details about account formatting. -yrnm userName is the user name for logging in to a remote Mac OS X Server identified in the -y parameter. -yrpwd password is the password for logging in to a remote Mac OS X Server identified in the -y parameter.184 Chapter 3 -y ipAddress is the IP address of a remote Mac OS X Server from which the directory domain is visible. -V adds the version number of dsimportexport to the log file. -h displays usage information for dsimportexport. -err displays error information. To use dsimportexport to import users and groups: 1 Create a character-delimited or XML file containing the accounts to import, and place it in a location accessible from the server from which you will use the tool. Ensure the file contains no more than 10,000 records. See “Using XML Files Created With Mac OS X Server 10.1 or Earlier” on page 186, “Using XML Files Created With AppleShare IP 6.3” on page 186, and “Using Character-Delimited Files” on page 187 for information on creating files to import. 2 As domain administrator, log in to a server that has access to the directory domain into which you want to import accounts. 3 Open the Terminal application and type the dsimportexport command. The dsimportexport tool is located in /usr/sbin. Using dsimportexport to Export Users and Groups You can use dsimportexport to export user and group accounts from NetInfo or LDAPv3 directory domains into a character-delimited file that you can import into a different Mac OS X or non-Apple LDAPv3 directory domain. Here are the parameters that dsimportexport accepts when exporting user and group accounts. Parameters are delimited using angle brackets (<>) if they are required and square brackets ([]) if they are optional: dsimportexport -x [-v] [-d delimiter ...] [-yrnm userName] [-yrpwd password] [-y ipAddress] [-V] [-h] [-err] where -x exports accounts into a character-delimited text file. See “Using Character-Delimited Files” on page 187 for information about the format of this kind of file.Users and Groups 185 file names the file to which you want to export accounts, including the path to the file. For example, /tmp/Export1. The file should not already exist. directoryDomain is the full path to the NetInfo or LDAPv3 directory domain from which you want to export the accounts. For a NetInfo domain, you might type “NetInfo/root/someDomain”. For an LDAPv3 domain, an example is “LDAPv3/ldap.example.com”. -v generates verbose output during export. Because this option generates a large amount of status data for each account (including all data in the export file), use this option only when debugging export files. The default status data are a count of the number of accounts processed and the record name of the account currently being processed. -d delimiter is for character-delimited export files only. This parameter specifies four delimiters in this order: end of record, escape, end of field, and end of value. The delimiters values must be expressed using hex strings, for example, 0x0A. If you omit this parameter, the default delimiters are \n (end of record, 0x0A), \ (escape, 0x5C), : (end of field, 0x3A), and , (end of value, 0x2C). -yrnm userName is the user name for logging in to a remote Mac OS X Server identified in the -y parameter. -yrpwd password is the password for logging in to a remote Mac OS X Server identified in the -y parameter. -y ipAddress is the IP address of a remote Mac OS X Server from which the directory domain is visible. -V adds the version number of dsimportexport to the log file. -h displays usage information for dsimportexport. -err displays error information. To use dsimportexport to export users and groups: 1 As domain administrator, log in to a server that has access to the directory domain from which you want to export accounts. 186 Chapter 3 2 Open the Terminal application and type the dsimportexport command. The dsimportexport tool is located in /usr/sbin. Using XML Files Created With Mac OS X Server 10.1 or Earlier You can use Server Admin to create an export file from Mac OS X Server versions 10.1 or earlier, and import that file into a NetInfo or LDAPv3 directory domain using Workgroup Manager or dsimportexport. The following user account attributes are exported into these XML files. Attributes in angle brackets (<>) are required and will generate an error if absent when you use the file as an import file: m indication of whether user can log in m indication of whether user is a server administrator m m m shell m comment m m m and . m Apple mail data m ara (Apple Remote Access; this data is ignored.) The following group account attributes might be present in these XML files: m m m m other members’ short names Using XML Files Created With AppleShare IP 6.3 You can use the Web & File Admin application to create an export file on an AppleShare IP 6.3 server and import that file into a NetInfo or LDAPv3 directory domain using Workgroup Manager or dsimportexport. The following user account attributes are exported into these XML files. Attributes in angle brackets (<>) are required and will generate an error if absent when you use the file as an import file: m (mapped to a full name) m inetAlias (mapped to a short name)Users and Groups 187 m comment m indication of whether user can log in m and . m Apple mail data m indicator for whether the user is a server administrator, password change data, and indicator for forcing a password to change (this data is ignored) The dsimportexport tool generates UIDs when you import this XML file, using the -s parameter to determine the UID to start with and incrementing each subsequently imported account’s UID by one. It generates primary group IDs using the -r parameter. When you import using Workgroup Manager, UIDs and primary group IDs are generated as you indicate in the dialog box provided. The following group account attributes might be present in these XML files: m m m other members’ short names dsimportexport generates group IDs when you import this XML file, using the -r parameter to determine the group ID to start with and incrementing each subsequently imported group’s ID by one. When you import using Workgroup Manager, group IDs are generated using the information you provide for primary group IDs in the import dialog box. Using Character-Delimited Files You can create a character-delimited file by using Workgroup Manager or dsimportexport to export accounts in NetInfo or LDAPv3 directory domains into a file. You can also create a character-delimited file by hand or by using a database or spreadsheet application. The first record in the file must characterize the format of each account in the file. There are three options: m Write a full record description. m Use the shorthand “StandardUserRecord.” m Use the shorthand “StandardGroupRecord.” The other records in the file describe user or group accounts, encoded in the format described by the first record. Any line of a character-delimited file that begins with “#” is ignored during importing.188 Chapter 3 Writing a Record Description A record description identifies the fields in each record you want to import from a characterdelimited file; indicates how records, fields, and values are separated; and describes the escape character that precedes special characters in a record. Encode the record description using the following elements in the order specified, separating them using a space: End-of-record indicator (in hex notation) Escape character (in hex notation) Field separator (in hex notation) Value separator (in hex notation) Type of accounts in the file (DSRecTypeStandard:Users or DSRecTypeStandard:Groups) Number of attributes per account List of attributes For user accounts, the list of attributes must include the following, although you can omit UID and PrimaryGroupID if you specify a starting UID and a default primary group ID when you import the file: RecordName (the user’s short name) Password UniqueID (the UID) PrimaryGroupID RealName (the user’s full name) In addition, you can include UserShell (the default shell) NFSHomeDirectory (the path to the user’s home directory on the user’s computer) Other user attributes, described in Appendix A For group accounts, the list of attributes must include RecordName (the group name) PrimaryGroupID (the group ID) GroupMembership In addition, you can include other user attributes, described in Appendix A. Here is an example of a record description: 0x0A 0x5C 0x3A 0x2C DSRecTypeStandard:Users 7 RecordName Password UniqueID PrimaryGroupID RealName NFSHomeDirectory UserShell Here is an example of a record encoded using the description:Users and Groups 189 jim:Adl47E$:408:20:J. Smith, Jr., M.D.:/Network/Servers/somemac/Homes/jim:/bin/csh Using the StandardUserRecord Shorthand When the first record in a character-delimited import file contains “StandardUserRecord,” the record description assumed is 0x0A 0x5C 0x3A 0x2C DSRecTypeStandard:Users 7 RecordName Password UniqueID PrimaryGroupID RealName NFSHomeDirectory UserShell An example user account looks like this: jim:Adl47E$:408:20:J. Smith, Jr., M.D.:/Network/Servers/somemac/Homes/jim:/bin/csh Using the StandardGroupRecord Shorthand When the first record in a character-delimited import file contains “StandardGroupRecord,” the record description assumed is 0x0A 0x5C 0x3A 0x2C DSRecTypeStandard:Groups 4 Record Name PrimaryGroupID GroupMembership Here is an example of a record encoded using the description: students:Ad147:88:jones,thomas,smith,wong Understanding Password Validation A user’s password can be validated using one of these options: m Using a value stored as a readable attribute in the user’s account. The account can be stored in a directory domain residing on Mac OS X Server or on another vendor’s directory server, such as an LDAP or Active Directory server. m Using a value stored in the Open Directory Password Server. m Using a Kerberos server.190 Chapter 3 m Using LDAP bind authentication with a non-Apple LDAPv3 directory server. Clients needing password validation, such as login window and the AFP server, call Mac OS X directory services. Directory services determines from the user’s account how to validate the password. m Directory services can validate a password stored in the account or by interacting with the Password Server or a remote LDAP directory server (using LDAP bind authentication). m If a Kerberos server is used to validate a user, when the user accesses a Kerberized client, such as the AFP server in the following picture, the client interacts directly with the Kerberos server to validate the user. Then the client interacts with directory services to retrieve the user’s record for other information it needs, such as the UID or primary group ID. See “The Authentication Authority Attribute” on page 192 for information about the attribute in a user’s account that indicates how to validate a particular user’s password. Directory services Password Server Kerberos server Directory server User account Password provided can be validated using value stored in account. Password can also be validated using value stored on another server on the network. Directory services Login window Telenet and SSH AFP file server Kerberos server Password Server Mac OS X lock icon User accountUsers and Groups 191 Contrasting Password Validation Options Here are the pros and cons of the options for validating a user’s password: m Storing a password in the user’s account. This approach, referred to as the “basic” password validation strategy, is the default strategy. It is the simplest and fastest strategy, since it does not depend on another infrastructure for password validation. It is the strategy most compatible with software that needs to access user records directly, such as legacy UNIX software. It supports users logging in to computers running Mac OS X version 10.1 and earlier as well as Windows users authenticated using Authentication Manager when they log in to a Mac OS X Server version 10.1. When integrating with existing directory systems, such as LDAP and Active Directory servers, this strategy offers the greatest opportunity for both Mac OS X Server and the directory server to use the same record to authenticate a user who wants to use that server. This strategy may not support clients that require certain network-secure authentication protocols (such as SMB, APOP, or CRAM-MD5) when transmitting passwords to a particular service. Also, this strategy can make your server vulnerable to offline attacks, since readable versions of passwords are used. See “The Problem With Readable Passwords” on page 194 for more information about offline attacks. See “Storing Passwords in User Accounts” on page 193 for details about this strategy. m Using a Password Server. This strategy lets you set up user-specific password policies for users. You can require a user to change his password periodically or use only passwords having more than a minimum number of characters. It supports clients that can use basic authentication as well as clients requiring network-secure authentication protocols that protect the privacy of a password during transmission. It is the recommended method to use for Windows clients. It is the only way to authenticate AFP clients prior to version 3.8.3, because they require AFP 2-Way Random authentication, which Password Server supports. Password Server passwords can’t be used during login to computers running Mac OS X version 10.1 or earlier. In addition, this strategy relies on the availability of a Password Server on a Mac OS X Server; if the Password Server goes down, password validation cannot occur, because you cannot replicate a Password Server. Also, you must ensure that physical access to the server on which Password Server resides is controlled. See “Using a Password Server” on page 195 for details about this strategy. m Using a Kerberos server. This option is not supported by all services but offers the opportunity to integrate into existing Kerberos environments. As in the case of the Password Server, if the Kerberos server is unavailable, users whose passwords are verified using it are unable to use your server. See “Using Kerberos” on page 197 for details about this strategy.192 Chapter 3 m Using an LDAP server. This option, like Kerberos, offers a way to integrate your Mac OS X Server into an existing authentication scheme. See “Using LDAP Bind Authentication” on page 201 for details about this strategy. The Authentication Authority Attribute To authenticate a user, Mac OS X directory services first locates the user’s record using the user name provided by the user. Then it determines which password validation scheme to use by consulting the “authentication authority” attribute in the user’s account. The authentication authority attribute identifies the password validation scheme and provides additional information as required. For example, if a Password Server is being used, the location of the Password Server is part of the authentication authority value. If a user’s account contains no authentication authority attribute, the basic strategy is used. For example, user accounts created using Mac OS X version 10.1 and earlier contain no authentication authority attribute. Choosing a Password The password associated with a user’s account must be entered by the user before he or she can be authenticated. The password is case-sensitive (except for SNB LAN Manager passwords) and does not appear on the screen as it is entered. Regardless of the password validation option you use for any user, here are some guidelines for composing a password for Mac OS X Server users. A password should contain letters, numbers, and symbols in combinations that won’t be easily guessed by unauthorized users. Avoid spaces and Option-key combinations. Also avoid characters that can’t be entered on computers the user will be using. (Some computers do not support passwords that contain double-byte characters, leading spaces, embedded spaces, and so forth.) A zero-length password is not recommended, and some systems (such as LDAP bind) do not allow them. Most of the Mac OS X Server applications and services that require passwords support 7-bit or 8-bit ASCII passwords without leading or trailing spaces. Use the following information to determine whether you need to take these restrictions into account when defining passwords for server users: m Apple file service accepts 7-bit or 8-bit ASCII passwords. m File Transfer Protocol (FTP) service accepts 7-bit ASCII passwords. m IMAP accepts 7-bit ASCII passwords. Some IMAP clients accept 8-bit ASCII passwords. m Macintosh Manager accepts 7-bit or 8-bit ASCII passwords. m POP3 accepts 7-bit ASCII passwords. m Web service accepts 7-bit ASCII passwords.Users and Groups 193 m Windows service accepts 7-bit ASCII passwords. m Server Settings accepts 7-bit or 8-bit ASCII passwords. Migrating Passwords When you import user accounts from computers running Mac OS X Server version 10.1 or earlier, no authentication authority attribute exists. Therefore all these users have basic password validation enabled initially. When importing users from servers supporting Windows users, Authentication Manager passwords may have been used to set the passwords. While all the existing passwords can continue to be used after importing the users, if you want to use the Password Server for imported users, you’ll need to reset their passwords after importing them. “Enabling the Use of a Password Server for a User” on page 196 describes how to change a basic password to a Password Server password. Setting Up Password Validation Options The sections that follow describe how to set up the different kinds of password validation for individual users: m To store a password in a user’s account, see “Storing Passwords in User Accounts” on page 193. m To use a Password Server to validate a user’s password, see “Enabling the Use of a Password Server for a User” on page 196. m To use a Kerberos server, see “Integrating Mac OS X With a Kerberos Server” on page 199. m To use LDAP bind authentication, see “Using LDAP Bind Authentication” on page 201. Storing Passwords in User Accounts This password management strategy is the default strategy, but cannot be used to validate the passwords of clients that require network-secure authentication protocols. (The single exception is users created using Mac OS X Server version 10.1 in NetInfo domains with Authentication Manager enabled.) Use the Password Server if you need to support these kinds of client computers. Enabling Basic Password Validation for a User Basic password validation is the simplest form of password validation. It relies on a readable version of a user’s password, stored in the user account. Only the first 8 characters are used for password validation. 194 Chapter 3 A user’s password is stored in the user account in an encrypted form, derived by feeding a random number along with the clear text password to a mathematical function, known as a one-way hash function. A one-way hash function always generates the same encrypted value from particular input, but cannot be used to re-create the original password from the encrypted output it generates. To validate a password using the encrypted value, Mac OS X applies the function to the password entered by the user and compares it with the value stored in the user account. If the values match, the password is considered valid. You can use Workgroup Manager to enable using the basic password validation strategy for user accounts stored in a Mac OS X directory or non-Apple LDAPv3 directory domain. To enable basic password validation using Workgroup Manager: 1 In Workgroup Manager, open the account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the user’s account resides. Click the lock to be authenticated, then select the user in the list. 2 On the Advanced tab, choose Basic from the “Use Password Type” pop-up menu. 3 If the user’s password validation strategy is currently a different one, you will be prompted to enter and verify a new password. If you are working with a new user, enter the password on the Basic tab in the Password field, then reenter it in the Verify field. “Choosing a Password” on page 192 provides guidelines for choosing passwords. The Problem With Readable Passwords Whenever you store passwords in a readable form, they are potentially subject to hacking. Consider, for example, NetInfo user records. Although the passwords in NetInfo user records are encrypted using one-way encryption, they are readable because the nidump utility can be used to copy user records to a file. The file can be transported to a system where a malicious user can use various techniques to figure out which password values generate the encrypted values stored in the user records. This form of attack is known as an offline attack, since it does not require successive login attempts to gain access to a system. As soon as a password is identified, the correct user name and password can be supplied and the malicious user can log in successfully without notice.Users and Groups 195 Using a Password Server The Password Server stores passwords, but never allows passwords to be read. Passwords can only be set and verified. Malicious users must log in over the network to attempt to gain system access, and invalid password instances, logged by the Password Server, can alert you to such attempts. The Password Server is based on a standard known as SASL (Simple Authentication and Security Layer). This approach helps it support a wide range of network user authentication protocols that are used by clients of Mac OS X Server services, such as mail and file servers, that need to authenticate users. Some of the protocols also support clients that require clear text or unique hashes. Here are a few of the network authentication protocols that the Password Server supports: m CRAM-MD5 m MD5 m APOP m NT and LAN Manager (for SMB) m SHA-1 m DHX m AFP 2-Way Random m WebDAV Digest The account for a user whose password is validated using the Password Server does not store the user’s password. Instead, it stores—in its authentication authority attribute—a unique password ID, assigned by the Password Server when the account was set up to use the Password Server. To validate a password, directory services passes the password ID to the Password Server, which it locates using its network address, also stored in the authentication authority attribute. The Password Server uses the password ID as a key for finding the actual password and any associated password policy. For example, the Password Server may locate a user’s password, but discover that it has expired. If the user is logging in, login window presents the user with a dialog box for changing the password. After providing a new password, the user can be authenticated. The Password Server maintains a record for each user that includes m The password ID, a 128-bit value assigned when the password is created. The value includes a key for finding a user’s password record. m The password, stored in recoverable or hashed form. The form depends on the network authentication protocols enabled for the Password Server (using Open Directory Assistant). If APOP or 2-way Random is enabled, the Password Server stores a recoverable (encrypted) password. If neither of these methods is enabled, only hashes of the passwords are stored.196 Chapter 3 m Data about the user that is useful in log records, such as the short name. m Password policy data. Setting Up a Password Server The account for a user validated using the Password Server is stored in a NetInfo or LDAPv3 directory domain that resides on Mac OS X Server. Before you set up a user’s account to use a Password Server, you need to set up the Password Server. See Chapter 2, “Directory Services,” for instructions on how to set up a Password Server. It describes how to use Open Directory Assistant to m create a Password Server m associate a directory domain with a Password Server m designate an administrator for the Password Server Any user you designate to be an administrator for the Password Server becomes the domain administrator for the directory domain with which the server is associated. This administrator’s password is validated using that Password Server, so that the administrator is able to update passwords for user accounts that use that Password Server. Enabling the Use of a Password Server for a User Use Workgroup Manager to enable the use of a Password Server for validating passwords for user accounts stored in a NetInfo or LDAPv3 directory domain residing on Mac OS X Server. To enable the use of a Password Server for a user: 1 Make sure a Password Server has been associated with the directory domain in which the user’s account resides. 2 In Workgroup Manager, open the account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the directory domain where the user’s account resides. Click the lock to be authenticated, then select the user in the list. 3 On the Advanced tab, choose “Password Server” from the “Use Password Type” pop-up menu. 4 If the user’s password is currently being validated using a different strategy, you will be prompted to enter and verify a new password. If you are working with a new user, enter the password on the Basic tab in the Password field, then reenter it in the Verify field. The password must contain no more than 512 characters, although there may be different limits imposed by the network authentication protocol; for example, 128 characters for SMB NT, 14 for SMB LAN Manager, 8 for AFP 2-way random, and 8 for Crypt (basic). “Choosing a Password” on page 192 provides guidelines for choosing passwords.Users and Groups 197 5 On the Advanced tab, click Options to set up the user’s password policy. Click OK when you are done. The password ID is a unique 128-bit number assigned when the password is created on the Password Server. It may be helpful in troubleshooting, since it appears in the Password Server log when a problem occurs. View this log in the directory services section of Server Status. Exporting Users With Password Server Passwords The Password Server does not let you read passwords. Therefore when you export user accounts that have Password Server passwords, passwords are not exported. When you import such users, you must reset all their passwords after importing their accounts. “Enabling the Use of a Password Server for a User” on page 196 describes how. Making a Password Server More Secure Using a Password Server offers flexible and secure password validation, but you need to make sure that the server on which a Password Server runs is secure: m Set up Password Servers on a server that is not used for any other activity. m Since the load on a Password Server is not particularly high, you can have several (or even all) of your server-resident directory domains share a single Password Server. m Make sure that the Password Server’s computer is located in a physically secure location. Monitoring a Password Server Use the Password Server logs, visible using Server Status, to monitor failed login attempts. Password Server logs all failed authentication attempts, including IP addresses that generate them. Periodically review the logs to determine whether there are a large number of failed trials for the same password ID, indicating that somebody may be generating login guesses. Using Kerberos If you already use Kerberos to authenticate users, you can use Kerberos to validate passwords for the following services of Mac OS X Server version 10.2 and later: m Login window m Mail service m FTP m AFP server and client198 Chapter 3 m Telnet server These services have been “Kerberized.” Only services that have been Kerberized can use Kerberos to validate a user. Understanding Kerberos Like the Password Server, a Kerberos server is dedicated to handling data needed for user validation. Other user data is maintained in a separate server. Kerberized services are configured to authenticate principals who are known to a particular Kerberos realm. You can think of a “realm” as a particular Kerberos database or authentication domain, which contains validation data for users, services, and sometimes servers (known as “principals”). For example, a realm contains principals’ private keys, which are the result of a one-way function applied to passwords. Service principals are generally based on randomly generated secrets rather than passwords. Here are examples of realm and principal names; note that realm names are capitalized by convention to distinguish them from DNS domain names: m Realm: MYREALM.EXAMPLE.COM m User principal: smitty@MYREALM.EXAMPLE.COM m Service principal: afpserver/anothername.example.com@MYREALM.EXAMPLE.COM There are several phases to Kerberos authentication. In the first phase, the client obtains credentials to be used to request access to Kerberized services. In the second phase, the client requests authentication for a specific service. In the final phase, the client presents those credentials to the service. The following illustration summarizes these activities. Note that the service and the client in this picture may be the same entity (such as login window) or two different entities (such as a mail client and the mail server). 1 The client authenticates to a Kerberos Key Distribution Center (KDC), which interacts with realms to access authentication data. This is the only step in which passwords and associated password policy information needs to be checked. 2 The KDC issues the client a ticket-granting ticket, the credential needed when the client wants to use Kerberized services. the ticket-granting ticket is good for a configurable period of time, but can be revoked before expiration. It is cached on the client until it expires. Key Distribution Center (KDC) Kerberized service 1 2 3 4 5 6 ClientUsers and Groups 199 3 The client contacts the KDC with the ticket-granting ticket when it wants to use a particular Kerberized service. 4 The KDC issues a ticket for that service. 5 The client presents the ticket to the service. 6 The service verifies that the ticket is valid. If the ticket is valid, usage of the service is granted to the client if the client is authorized to use the service. (Kerberos only authenticates clients; it does not authorize them to use services. An AFP server, for example, needs to consult a user’s account in a directory domain to obtain the UID.) The service uses information in the ticket if required to retrieve additional information about the user from a directory domain. Note that the service does not need to know any password or password policy information. Once a ticket-granting ticket has been obtained, no password information needs to be provided. For more information on Kerberos, go to the MIT Kerberos home page: web.mit.edu/kerberos/www/index.html Integrating Mac OS X With a Kerberos Server To integrate Mac OS X with a Kerberos server: 1 Make sure that one or more realms supported by your Kerberos server contain information for all the users to be validated using Kerberos and for all the Mac OS X Kerberized services they will use. The Kerberos principal name must be the same as the short name in the user’s directory domain account. 2 Create user accounts for each of the same users in directory domains accessible from Mac OS X computers on which Kerberized services will be used. Set the password type to Basic, and specify passwords that will never be used to authenticate the users. Kerberized services on Mac OS X computers retrieve user accounts by extracting the user name part of the principal out of the KDC certificate, which is passed to directory services to find the account. 3 Before enabling Kerberos for a specific Kerberized service, create one or more principals in the KDC for it, save the shared secrets into a keytab file, and copy the keytab file from the KDC to /etc/krb5.keytab on your Mac OS X Server. Use the kadmin command-line tool to create principals and a keytab file, and use a file sharing protocol to transfer the keytab file from the Kerberos server to Mac OS X Server. FTP or SCP (secure copy over SSH) are most likely to be present on the KDC. Keytab files are sensitive, because they contain information used to determine whether a client or service is trustworthy.200 Chapter 3 4 On Mac OS X Server, place the edu.mit.Kerberos configuration file in /Library/Preferences/. This file is not sensitive, so it can be placed on a guest-accessible volume. This file must also reside in /Library/Preferences/ in the home directory of users you want to authenticate using Kerberos. 5 Enable individual services (mail, AFP, and FTP) and clients (login window, AFP client, mail client) to support Kerberos authentication. 6 Make sure that users you want authenticated using Kerberos are in the search path of the server hosting the Kerberized services. Enabling Kerberos Authentication for Mail Use Server Settings to enable mail server support for Kerberos. See “Requiring or Allowing Kerberos Authentication” on page 381 for details. To enable mail client support, set up Mac OS X Mail application account preferences to use Kerberos V5 authentication. Also make sure that edu.mit.Kerberos resides in /Library/ Preferences/ on the user’s computer. Enabling Kerberos Authentication for AFP Use Server Settings to enable AFP server support for Kerberos. See Chapter 5, “File Services,” for details. AFP client has no special requirements beyond access to /Library/Preferences/ edu.mit.Kerberos. Enabling Kerberos Authentication for FTP Use Server Settings to enable FTP server support for Kerberos. See Chapter 5, “File Services,” for details. Enabling Kerberos Authentication for Login Window In addition to access to /Library/Preferences/edu.mit.Kerberos, login window depends on these settings in /etc/authorization: system.login.done eval switch_to_user,krb5auth:login Users and Groups 201 Enabling Kerberos Authentication for Telnet To set up Telnet support, edit the /etc/inetd.conf file to enable Telnet. Solving Problems With Kerberos See “Kerberos Users Can’t Authenticate” on page 204 for troubleshooting tips. Using LDAP Bind Authentication When you use this password validation technique, you rely on an LDAPv2 or LDAPv3 server to authenticate a user’s password. Because it supports the Secure Socket Layer (SSL) protocol, LDAPv3 is preferred. You can use Workgroup Manager to enable the use of LDAP bind authentication for user accounts stored in a NetInfo or LDAPv3 directory domain. To enable LDAP bind user authentication using Workgroup Manager: 1 Make sure the account for a user whose password you want to validate using LDAP bind resides on an LDAPv3 server in the search path of the Mac OS X computer that needs to validate the password. See Chapter 2, “Directory Services,” for information about configuring LDAPv3 server connections. Avoid mapping the password attribute when configuring the connection; bind authentication will occur automatically. Also, set up the connection so it uses SSL in order to protect the password, passed in clear text, while it is in transit. 2 In Workgroup Manager, open the account you want to work with if it is not already open. To open an account, click the Account button, then use the At pop-up menu to open the LDAPv3 directory domain where the user’s account resides. Click the lock to be authenticated, then select the user in the user list. 3 On the Advanced tab, choose Basic from the “Use Password Type” pop-up menu. 4 On the Basic tab, make sure the Password field is empty. Backing Up and Restoring Files Regularly back up your Password Server as well as your root and administrator user accounts. Backing Up a Password Server Back up your Password Server frequently. When you do so, also back up any directory domain(s) that use the Password Server: 202 Chapter 3 m To back up a Password Server, back up these two files: /var/db/authserver/ authservermain and /var/db/authserver/authserverfree. Make sure that your Password Server backup files are as carefully secured as the computer hosting your Password Server. m See Chapter 2, “Directory Services,” for information on backing up directory domains. If you restore the Password Server, make sure you also restore the corresponding directory domains at the same time. Backing Up Root and Administrator User Accounts System files are owned by root or system administrator user IDs that exist at the time they are created. Should you need to restore system files, the same IDs should exist on the server so that the original permissions are preserved. To ensure that you can recreate these user IDs, periodically export the server’s user and group information to a file as “Importing and Exporting User and Group Information” on page 178 describes. Supporting Client Computers Validating Windows User Passwords Using the Password Server is recommended for validating passwords of Windows users supported by your server. Windows users supported by Mac OS X Server 10.1 and earlier were optionally authenticated using Authentication Manager, which offered encrypted password support. If you export users such as these and import them, Basic password validation is assumed and the Authentication Manager information is lost. You need to reset the passwords for such users before they can be used with certain network protocols. Setting Up Search Policies on Mac OS X Client Computers Mac OS X client computer search policies must be set up so that accounts and shared resources (such as network file servers and printers) are visible from the Mac OS X computer. See Chapter 2, “Directory Services,” for client configuration options and instructions. Solving Problems Follow the suggestions in this section when problems with user and group account administration arise. You Can’t Modify an Account Using Workgroup Manager Before you can modify an account using Workgroup Manager:Users and Groups 203 m You must be a domain administrator for any Apple directory domain storing the account. m The directory domain must be a NetInfo or LDAPv3 directory domain. Only these domains can be updated using Workgroup Manager. A Password Server User’s Password Can’t Be Modified Before you can modify the password of a user whose password is validated using a Password Server, you must m be a domain administrator for the directory domain storing the user’s account m have your own password validated by the same Password Server Users Can’t Log In or Authenticate Try these techniques to determine whether the source of the authentication problem is configuration or the password itself: m Reset the password to a known value, then determine whether there is still a problem. Try using a 7-bit ASCII password, which is supported by most clients. m If a Password Server is being used for the user and it is not set up to support the authentication protocol needed by the user’s client, you can use Open Directory Assistant to enable additional Password Server protocols. You may need to reset the user’s password after changing the Password Server configuration. m Basic authentication does not support many authentication protocols. To increase the possibility that a user’s client applications will be supported, use the Password Server or suggest that the user try a different application. m For Kerberos troubleshooting tips, see “Kerberos Users Can’t Authenticate” on page 204. m If a Password Server or non-Apple directory server used for password validation is not available, reset the user’s password to use a server that is available. m Make sure that the password contains characters supported by the authentication protocol. Leading, embedded, and trailing spaces as well as special characters (for example, option-8) are not supported by some protocols. For example, leading spaces work over POP or AFP, but not over IMAP. m Make sure that the keyboard being used by the user supports the characters necessary for authentication. m Make sure the client software encodes the password so that it is recognized correctly. For example, Password Server recognizes UTF-8 encoded strings, which may not be sent by some clients. m Make sure that the client being used by the user supports the password length. For example, LAN Manager only supports 14-character passwords, so passwords longer than 14 characters would cause an authentication failure even though Mac OS X Server’s Windows service supports longer passwords.204 Chapter 3 m If an AFP client prior to version 3.8.3 fails to authentiocate, use AFP 2-Way Random authentication in Password Server for these older clients. You Can’t Assign Server Administrator Privileges In order to assign server administrator privileges to a user for a particular server, first log in to that server in Workgroup Manager. Users Can’t Access Their Home Directories Make sure that users have access to the share point in which their home directories are located and to their home directories. Users need Read access to the share point and Read & Write access to their home directories. Mac OS X User in Shared NetInfo Domain Can’t Log In This problem occurs when a user tries to log in to a Mac OS X computer using an account in a shared NetInfo domain, but the server hosting the domain isn’t accessible. The user can log in to the Mac OS X computer by using the local user account created automatically when he or she set up the computer to use a NetInfo account. The user name is “administrator” (short name is “admin”) and the password is the NetInfo password. Kerberos Users Can’t Authenticate When a user or service that uses Kerberos experiences authentication failures, try these techniques: m Kerberos behavior is based on encrypted timestamps. If there’s more than 5 minutes difference between the KDC, client, and service computers, authentication may fail. Make sure that the clocks for all computers are synchronized using a network time server. m If Kerberos is being used, make sure that Kerberos authentication is enabled for the service in question. m If a Kerberos server used for password validation is not available, reset the user’s password to use a server that is available. m Make sure that the server providing the Kerberized service has access to directory domains containing accounts for users who are authenticated using Kerberos. One way to do this is to use a shared directory domain on the KDC server that hosts user records that correspond to all the user principals. m Refer to the KDC log (kdc.log) for information that can help you solve problems. Incorrect setup information such as wrong configuration file names can be detected using the logs. m Make sure all your configuration files are complete and correct. For example, make sure the keytab file on your server has the principals of interest in it.205 C H A P T E R 4 4 Sharing The Sharing module of Workgroup Manager lets you share information with clients of the Mac OS X Server and control access to shared information by assigning access privileges. You share information by designating share points. A share point is a folder, hard disk (or hard disk partition), or CD that you make accessible over the network. It’s the point of access at the top level of a group of shared items. Users see share points as volumes mounted on their desktops, and as volumes in the Finder in Mac OS X. Setting up share points and assigning privileges is an integral part of setting up file services. See Chapter 5, “File Services.” Privileges Privileges define the kind of access users have to shared items. There are four types of privileges that you can assign to a share point, folder, or file: Read & Write, Read Only, Write Only, and None. The table below shows how the privileges affect user access to different types of shared items (files, folders, and share points). You can assign Write Only privileges to a folder to create a drop box. The folder’s owner can see and modify the drop box’s contents. Everyone else can only copy files and folders into the drop box, without seeing what it contains. Users can Read & Write Read Only Write Only None Open a shared file Yes Yes No No Copy a shared file Yes Yes No No Open a shared folder or share point Yes Yes No No Copy a shared folder or share point Yes Yes No No Edit a shared file’s contents Yes No No No Move items into a shared folder or share point Yes No Yes No Move items out of a shared folder or share point Yes No No No206 Chapter 4 Note: QuickTime Streaming Server and WebDAV have their own privileges settings. For information about QTSS, refer to the QTSS online help and the QuickTime Web site (www.apple.com/quicktime/products/qtss/). You’ll find information on Web privileges in “Understanding WebDAV” on page 339. Explicit Privileges Share points and the shared items contained in share points (including both folders and files) have their own individual privileges. If you move an item to another folder, it retains its own privileges and doesn’t automatically adopt the privileges of the folder where you moved it. In the following illustration, the second folder (Designs) and the third folder (Documents) were assigned privileges that are different from those of their “parent” folders: When new files and folders are created, however, they inherit the privileges of their parent folder. See “Privileges in the Mac OS X Environment” on page 207. User Categories You can assign access privileges separately to three categories of users: Owner A user who creates a new item (file or folder) on the file server is its owner and automatically has Read & Write privileges to that folder. By default, the owner of an item and the server administrator are the only users who can change its access privileges—allow a group or everyone to use the item. The administrator can also transfer ownership of the shared item to another user. Note: When you copy an item to a drop box on an Apple file server, ownership of that item is transferred to the owner of the drop box. This is done because only the owner of the drop box has access to items copied to it. Group You can put users who need the same access to files and folders into group accounts. Only one group can be assigned access privileges to a shared item. For more information on creating groups see Chapter 3, “Users and Groups.” Engineering Read & Write Designs Documents Read Only Read & WriteSharing 207 Everyone Everyone is any user who can log in to the file server: registered users, guests, anonymous FTP users, and Web site visitors. Privileges Hierarchy If a user is included in more than one category of users, each of which has different privileges, these rules apply: m Group privileges override Everyone privileges. m Owner privileges override Group privileges. For example, when a user is both the owner of a shared item and a member of the group assigned to it, the user has the privileges assigned to the owner. Client Users and Privileges Users of AppleShare Client software can set access privileges for files and folders they own. Windows file sharing users can set folder properties, but not privileges. Privileges in the Mac OS X Environment If you are new to Mac OS X and are not familiar with UNIX, it is important to know that there are some differences from the Mac OS 9 environment in how ownership and privileges are handled. To increase security and reliability, Mac OS X sets many system directories, such as /Library, to be owned by the root user. Files and folders owned by root can’t be changed or deleted by you unless you are logged in as the root user. Be careful when you log in as the root user since changing system data can cause problems. As mentioned above, files and folders are, by default, owned by the user who created them. They inherit the privileges of the folder in which they are created. After they are created items keep their privileges even when moved, unless the privileges are explicitly changed by their owners or an administrator. Therefore new files and folders you create are not accessible by client users if they are created in a folder for which the users do not have privileges. When setting up share points, make sure that items allow appropriate access privileges for the users with whom you want to share them. Network Globe Contents You can customize the directory structure and contents of the Network Globe for clients by setting up automounting for share points. You can add system resources such as fonts and preferences by automounting share points in specific directory locations.208 Chapter 4 Share Points in the Network Globe The Network globe on OS X clients represents the Darwin /Network directory. By default, the Network globe contains the following four folders: m Applications m Library m Servers m Users You can mount share points into any of these folders. See “Automounting Share Points” on page 214 for instructions. Static Versus Dynamic Linking Share points can be automounted statically or dynamically. Statically mounted share points are mounted when the client computer starts up. A connection to the server is opened for static mounts during startup and remains open until the user shuts down the computer. Dynamically mounted share points are not mounted until the user opens the directory. Although an icon for the directory appears in the Network globe during startup, the actual connection to the server where the directory resides is not made until the user selects the icon and attempts to access the directory’s contents. In both cases, when an automounted share point is defined on the server it is not available to a client computer until the client has restarted. Adding System Resources to the Network Library Folder This Library folder in the Network globe is included in the system search path. This gives you the ability to make available, from the network, any type of system resource that resides in the local Library folder. These resources could include fonts, application preferences, ColorSync profiles, desktop pictures, and so forth. OS X accesses the network Library folder before the local Library folder, so network resources with the same name take precedence. You can use this capability to customize your managed client environment. For example, suppose you wish to have a specific set of fonts available to each user in a given Open Directory domain. You would create a share point containing the desired fonts and then set the share point to automount into the /Network/Library/Fonts folder on client machines. See “Automounting Share Points” on page 214 for instructions on setting up automounting. Setup Overview You use the Sharing module of Workgroup Manager to create share points and set privileges for them. Here is an overview of the basic steps for setting up sharing:Sharing 209 Step 1: Read “Before You Begin” Read “Before You Begin” on page 209 for issues you should consider before sharing information on your network. Step 2: Locate or create the information you want to share Decide which volumes, partitions, folders, and CDs you want to share. You may want to move some folders and files to different locations before setting up sharing. You may want to partition a disk into volumes to give each volume different access privileges or create folders that will have different levels of access. See “Organize Your Shared Information” on page 210. Step 3: Designate share points and set privileges When you designate an item to be a share point, you set its privileges at the same time. You create share points and set privileges in the Sharing module of Workgroup Manager. See “Setting Up Sharing” on page 211. Step 4: Turn file services on In order for users to be able to access share points, you must turn on the Mac OS X Server file services. Turn on each file service that you use to share items. For example, if you use Apple File Protocol with your share point, you must turn on Apple File Server. You can share an item using more than one protocol. See Chapter 5, “File Services,” on page 221. Before You Begin Before you assign privileges, you need to understand how privileges for shared items work. Consider which users need access to shared items and what type of privileges you want those users to have. Privileges are described at the beginning of this chapter—see “Privileges” on page 205. You also need to determine which protocols clients will use to access share points. In general, you will want to set up independent share points for each type of client, and share the item using a single protocol: m Mac OS clients—Apple Filing Protocol (AFP) m Windows clients—Server Message Block (SMB) m FTP clients—File Transfer Protocol (FTP) m UNIX clients—Network File System (NFS) In some cases you will want to share an item using more than one protocol. If client users will be sharing files that have common formats across platforms, you will want to create a share point that supports users of each platform. For example, Mac OS and Windows users might want to share graphics or word processing files that can be used on either platform. 210 Chapter 4 Conversely, you might want to set up share points using a single protocol even though you have different kinds of clients. For example, if almost all of your clients are UNIX users and just a couple are Mac OS clients, you may want to share items using only NFS in order to keep your setup simple. Keep in mind, however, that Mac OS users will not enjoy the features of AFP not provided by NFS, such as the ability to search server contents using Sherlock, and performance optimization. See Chapter 5, “File Services,” on page 221 for more information. Organize Your Shared Information Once you have created share points, users will start to form “mental maps” of the share points you have set up and the items contained in them. Changing share points and moving information around could cause confusion. If you can, organize the information you share before you start creating share points. This is especially important if you are setting up network home directories (see “Administering Home Directories” on page 155). Windows Users If you have Windows clients, you should set up at least one share point to be used only by your Windows users. This provides a single point of access for the Windows users. Security Issues Security of your data and your network is critical. The most effective method of securing your network is to assign appropriate privileges for each file, folder, and share point as you create it. Be careful when creating and granting access to share points, especially if you’re connected to the Internet. Granting access to Everyone, or to World (in NFS service), could potentially expose your data to anyone on the Internet. NFS share points don’t have the same level of security as AFP and SMB, which require user authentication (typing a user name and password) to gain access to a share point’s contents. If you have NFS clients, you may want to set up a share point to be used only by NFS users. Restricting Access by Unregistered Users (Guests) When you configure any file service, you have the option of turning on guest access. Guests are users who can connect to the server anonymously without entering a valid user name or password. Users who connect anonymously are restricted to files and folders with privileges set to Everyone. To protect your information from unauthorized access, and to prevent people from introducing software that might damage your information or equipment, you can take these precautions using the Sharing module of Server Settings: m Share individual folders instead of entire volumes. The folders should contain only those items you want to share.Sharing 211 m Set privileges for Everyone to None for files and folders that guest users should not access. Items with this privilege setting can only be accessed by the item’s owner or group. m Put all files available to guests in one folder or set of folders. Assign the Read Only privilege to the Everyone category for that folder and each file within it. m Assign Read & Write privileges to the Everyone category for a folder only if guests must be able to change or add items in the folder. Make sure you keep a backup copy of information in this folder. m Check folders frequently for changes and additions and check the server for viruses regularly with a virus-protection program. m Disable anonymous FTP access using the FTP module of Server Settings. m Don’t export NFS volumes to World. Restrict NFS exports to a specific set of computers. Setting Up Sharing This section describes how to create share points and set access privileges for the share points. It also tells you how to configure the different protocols (AFP, SMB, FTP, and NFS) that you use to share items and how to automount share points on clients’ desktops. See “Managing Sharing” on page 215 for additional tasks that you might perform after you have set up sharing on your server. Creating Share Points and Setting Privileges You designate volumes, partitions, folders, or CDs to be share points using the Sharing module of Workgroup Manager. To create a share point and set privileges: 1 In Workgroup Manager, click the Sharing button. 2 Select the volume or folder in the All list that you want to make a share point. 3 Click the Sharing tab. 4 Select “Share the selection and its contents.” Change the owner and group of the shared item by typing names into those fields or by dragging names from the Users & Groups drawer. You can open the drawer by clicking “Users & Groups.” Use the pop-up menus next to the fields to change the privileges for the Owner, Group, and Everyone. Everyone is any user who can log in to the file server: registered users, guests, anonymous FTP users, and Web site visitors. If you don’t want everyone to have access, set the Everyone access privileges to None.212 Chapter 4 Note: You should not assign Write Only access privileges to a file or share point. Only folders inside a share point should be assigned Write Only access privileges. Otherwise users won’t be able to see the file or the contents of the share point. Click the Copy button to apply the ownership and privileges to all items (files and folders) contained within the share point. This will override privileges that other users may have set. By default, the new share point is shared through AFP, SMB, and FTP protocols. Use the Advanced pane to change the settings or stop sharing via these protocols or to export the item using NFS. The Advanced settings are described in the following sections. Configuring Apple File Protocol (AFP) Share Points You can make share points available to Mac OS 8, Mac OS 9, and Mac OS X clients by sharing them using AFP. To configure an AFP share point: 1 In Workgroup Manager, click Sharing. 2 Click the Share Points tab and select the share point you want to share using AFP. 3 Click the Advanced tab and choose AFP Settings from the pop-up menu. 4 Select the “Share this item using Apple File Protocol” option. 5 Select “Allow AFP guest access” to allow clients to have guest access to this item. For greater security, do not select this item. 6 Select “AFP clients see custom name for this item” if you want the share point to appear with a name different from its real one. 7 Enter the name you want AFP users to see in the text field. 8 Click Save. Configuring Server Message Block (SMB) Share Points You can make share points available to Windows clients by sharing them using Windows SMB. To configure an SMB share point: 1 In Workgroup Manager, click Sharing. 2 Click the Share Points tab and select the share point you want to share using SMB. 3 Click the Advanced tab and choose SMB Settings from the pop-up menu. 4 Select the “Share this item using Server Message Block” option.Sharing 213 5 Select “SMB clients see custom name for this item” if you want the item to appear with a name different from its real one. 6 Enter the name you want SMB users to see in the text field. 7 Click Save. Configuring File Transfer Protocol (FTP) Share Points You can make share points available to clients over the Internet by sharing them using FTP. To configure an FTP share point: 1 In Workgroup Manager, click Sharing. 2 Click the Share Points tab and select the share point you want to share using FTP. 3 Click the Advanced tab and choose FTP Settings from the pop-up menu. 4 Select the “Share this item using FTP” option. 5 Select “Allow FTP guest access” to allow FTP users with guest access to use this item. For greater security, do not select this item. 6 Select “FTP clients see custom name for this item” if you want the item to appear with a name different from its real one. 7 Enter the name you want FTP users to see in the text field. 8 Click Save. Sharing (Exporting) Items Using Network File System (NFS) You can export share points to UNIX clients using NFS. (Export is the NFS term for sharing.) To export an item using NFS: 1 In Workgroup Manager, click Sharing. 2 Click the Share Points tab and select the share point you want to share using NFS. 3 Click the Advanced tab and choose NFS Export Settings from the pop-up menu. 4 Select “Export this item and its contents to” to export the item using NFS. 5 Use the pop-up menu to select who you want to be able to use this information—Client or World. By default, NFS exports to the client address 127.0.0.1, which is a loopback to the server computer. This prevents you from inadvertently exporting a folder to World. For greater security, do not export to World. 6 Click Add to specify clients who can receive this export. 214 Chapter 4 7 In the text box that appears, type the IP address or host name to add the client to the “Computer or Netgroup” list. 8 Select ”Map Root user to nobody” if you want users identified as “root” on the remote client system to have only minimal privileges to read, write, and execute commands. 9 Select “Map All users to nobody” if you want all users to have minimal privileges to read, write, and execute. 10 Select “Read-only” if you don’t want client users to be able to modify the contents of the shared item in any way. This overrides any other privileges set for the shared item. For example, if you allow the “Everybody” category Read & Write privileges for the item (a setting in the General tab), you can also define it as an NFS export to “World” with “Read only” privileges. 11 Click Save. Automounting Share Points Automount lets you have share points appear automatically on client computers when their computers start up or in their /Network/Servers folders. You can use the automount feature with AFP or NFS. When you configure a share point to mount automatically, a mount record is created in the Open Directory database. You should publish automounts in the same shared domain in which the user records exist. This ensures that the users will always have access to the share point. Be sure to enable guest access both for the share point and for the protocol under which it is shared. Note: Automounted share points are available to clients only when their computers start up. To automount a share point: 1 In Workgroup Manager, click Sharing. 2 Click the Share Points tab and select the share point you want to automount. 3 Click the Advanced tab and choose Automount Settings from the pop-up menu. 4 Select “Automount to client in domain.” 5 Use the pop-up menu to choose the shared directory domain to which you want to publish (automount) this item. The share point will be mounted automatically on any computer configured to use the shared domain. 6 Enter your user name and password. Note: You must be authorized (have write privileges) to change the domain. 7 After you are authenticated, click “Automount this item to clients in domain.”Sharing 215 8 For the Mount option: Choose “dynamically in Network/Servers” if you want client users to see share points in the /Network/Servers folder of their computers. When a user selects a share point in the folder, the share point is mounted on the user’s computer. You should choose this option for home directories. Choose “statically in” if you want the share point to mount automatically when the client computer starts up and enter the location in the user’s directory hierarchy where you want the item to appear. The share point appears as a folder in the location you specify. 9 For the “Mount using” option, choose whether you want to automount the share point using AFP or NFS. 10 Click Save. Resharing NFS Mounts as AFP Share Points Resharing NFS mounts (NFS volumes that have been exported to the Mac OS X Server) as AFP share points allows clients to access NFS volumes using the secure authentication of an AFP connection. Resharing NFS mounts also allows Mac OS 9 clients to access NFS file services on traditional UNIX networks. To reshare an NFS mount as an AFP share point: 1 From the NFS server, export the directories you want to reshare to the Mac OS X server. Since AFP runs as root, the NFS export must map root-to-root so that AFP will be able to access the files for the clients. Restrict the export to the single AFP server (seen as the client to the NFS server). This can be made even more secure by having a private network for the AFP-to-NFS connection. 2 On the AFP server, create a mount record that mounts the reshared volumes in the /nfsreshare directory. 3 Use the Sharing module in Workgroup Manager to share the NFS mounts as AFP share points. The NFS mounts appear as normal volumes in the All list. ( You can also share the NFS mounts using SMB and FTP, but it is recommended that you only use AFP.) You can change privileges and ownership, but not enable quotas (quotas work only on local volumes). However, if quotas are enabled on the NFS server, they should apply to the reshared volume as well. Managing Sharing This section describes tasks you might perform after you have set up sharing on your server. Setup information appears in “Setting Up Sharing” on page 211.216 Chapter 4 Turning Sharing Off Because sharing is not a service, you cannot turn sharing on and off on a Mac OS X Server. You “turn sharing off ” by no longer sharing an item. You can also remove the share point or stop the file service that clients are using to access the share point. To stop sharing an item: 1 In Workgroup Manager, click Sharing. 2 Click the Share Points tab and select the item you want to stop sharing. 3 Click the Advanced tab and choose the protocol used to share the item. 4 Deselect the “Share this item” option. To completely stop sharing an item, repeat steps 3 and 4 for each protocol you used to share the item. 5 Click Save. Removing a Share Point To “remove a share point” is to stop sharing a volume or folder. You may want to notify users that you are removing a share point so that they know why the share point is no longer available. To remove a share point: 1 In Workgroup Manager, click Sharing. 2 Click the Share Points tab and select the share point you want to remove. 3 In the Sharing pane, deselect the “Share the selection and its contents” option. Any Advanced and Automount settings that you have configured for the item are discarded. Browsing Server Disks You can view the folders (but not files) located on servers using the Sharing module of Workgroup Manager. To browse the folders on a share point or server: 1 In Workgroup Manager, click Sharing. 2 Click the Share Points tab to browse the folders of share items, or click the All tab to browse all the folders on the local server. Viewing Share Points Workgroup Manager lets you view all volumes and folders on a server or just the share points.Sharing 217 To view share points on a server: 1 In Workgroup Manager, click Sharing. 2 Click the Share Points tab. Copying Privileges to Enclosed Items When you set the privileges for a share point, volume, or folder, you can copy the ownership and privileges to all the items contained on it. To copy privileges: 1 In Workgroup Manager, click Sharing. 2 Select the item whose privileges you want to propagate. To see shared items, select the Share Points tab. To see all volumes and folders on the server, select the All tab. 3 Click Copy. Viewing Share Point Settings You use Workgroup Manager to view the sharing and privilege settings for a share point. To view sharing and privileges for a share point: 1 In Workgroup Manager, click Sharing. 2 Select the Share Points tab and select the share point you want to view. 3 Select the Sharing tab. Changing Share Point Owner and Privilege Settings You use the Workgroup Manager to view and change the owner and privileges for a share point. To change privileges for a share point: 1 In Workgroup Manager, click Sharing. 2 Select the Share Points tab and select the share point you want to update. 3 Select the Sharing tab. Change the owner and group of the shared item by typing names into those fields, or by dragging names from the Users & Groups drawer. You can open the drawer by clicking “Users & Groups.” Use the pop-up menus next to the fields to change the privileges for the Owner, Group, and Everyone. Everyone is any user who can log in to the file server: registered users, guests, anonymous FTP users, and Web site visitors.218 Chapter 4 Changing the Protocols for a Share Point You use the Advanced pane of Workgroup Manager to change the protocols for a share point. To change the protocols for a share point: 1 In Workgroup Manager, click Sharing. 2 Select the share point you want to change. Select the Share Points tab to see shared items. 3 Select the Advanced tab. 4 Use the pop-up menu to choose the protocol settings you want to change. See the following sections for descriptions of the protocol settings: m “Configuring Apple File Protocol (AFP) Share Points” on page 212 m “Configuring Server Message Block (SMB) Share Points” on page 212 m “Configuring File Transfer Protocol (FTP) Share Points” on page 213 m “Sharing (Exporting) Items Using Network File System (NFS)” on page 213 Deleting an NFS Client from a Share Point You use the Advanced pane of Workgroup Manager to delete an NFS client from a share point. To delete an NFS client from a share point: 1 In Workgroup Manager, click Sharing. 2 Click the Share Points tab and select the NFS share point you want to change. 3 Click the Advanced tab and choose NFS Export Settings from the pop-up menu. 4 Select an IP address from the list and click Remove. 5 Click Save. Creating a Drop Box A drop box is a shared folder that you set up to allow others to write to, but not read its contents. Note: You should create drop boxes only within AFP share points. AFP is the only protocol that will automatically change the owner of an item put into a drop box to be the same as the owner of the drop box. For other protocols, the ownership of the item is not transferred even though the owner will no longer have access to the item. To create a drop box: 1 If the folder you want to make into a drop box doesn’t exist, create the folder within an AFP share point.Sharing 219 2 In Workgroup Manager, click Sharing. 3 Select Share Points and select the folder you want to use as a drop box. 4 Select the Sharing tab. 5 Set “Write Only” privileges for the users you want to have access to the drop box. To create a drop box for a select group of users, enter the group name (or drag the group from the U&G Drawer) and choose “Write Only” privileges from the Group pop-up menu. To create a drop box for all users, choose “Write Only” privileges from the Everyone pop-up menu. (For greater security, do not allow access to everyone—assign “None” for the Everyone privileges.) 6 Click Save. Supporting Client Computers Users can set some privileges for files or folders that they create on the server or in shared folders on their desktops. Users of AppleShare client software can set access privileges for folders they own. Windows file sharing users can set folder properties, but not privileges. Solving Problems Users Can’t Access a CD-ROM Disc m Make sure the CD-ROM disc is a share point. m If you share multiple CDs, make sure each CD is shared using a unique name in the Sharing pane. Users Can’t Find a Shared Item m If a user can’t find a shared item, check the access privileges for the item. The user must have Read access privileges to the share point where the item is located and to each folder in the path to the item. m Keep in mind that server administrators don’t see share points the same way a user does over AFP because administrators see everything on the server. To see share points from a user’s perspective, log in using a user’s name and password. m Although DNS is not required for file services, an incorrectly configured DNS could cause a file service to fail. Users Can’t See the Contents of a Share Point m If you set Write Only access privileges to a share point, users won’t be able to see its contents.221 C H A P T E R 5 5 File Services File services enable clients of the Mac OS X Server to access files, applications, and other resources over a network. Mac OS X Server includes four distinct file services: m Apple file service, which uses the Apple Filing Protocol (AFP), lets you share resources with clients who use Macintosh or Macintosh-compatible operating systems. m Windows services use Server Message Block (SMB) protocol to let you share resources with clients who use Windows or Windows-compatible operating systems, and to provide name resolution service for Windows clients. m File Transfer Protocol (FTP) service lets you share files with anyone using FTP. m Network File System (NFS) service lets you share files and folders with users who have NFS client software (UNIX users). The following applications help you set up and manage file services: m Server Settings—configure and turn file services on and off m Workgroup Manager—share information and set access privileges m Server Status—monitor the status of file services Before You Begin Before you start setting up file services you should determine which of the file services you need. In general, you will want to turn on and configure the file services needed to support all of your clients: m Apple file service for Mac OS clients m Windows services for Windows clients m FTP service for clients using FTP to connect via the Internet m NFS service for UNIX clients222 Chapter 5 You must configure and turn on file services in order for clients to be able to access shared information—the volumes and folders that you designate as share points—as described in Chapter 4, “Sharing.” You must also turn on Windows services if you want to share network printers using Windows Printing (SMB). Print service is described in Chapter 7, “Print Service,” on page 315. For descriptions of the file services, see m “Apple File Service” on page 224 m “Windows Services” on page 235 m “File Transfer Protocol (FTP) Service” on page 244 m “Network File System (NFS) Service” on page 256 Security Issues Security of your data and your network is the most critical issue you must consider when setting up your file services. The most important protection for your server is how you set the privileges for individual files. In Mac OS X, every file has its own privilege settings that are independent of the privileges for its parent folder. Users can set privileges for files and folders they place on the server, and the server administrator can do the same for share points. See “Privileges” on page 205. Allowing Access to Registered Users Only If you do not want to allow guests to access your server, make sure guest access is turned off for each file service. If you see a checkmark next to Allow Guest Access in AFP or SMB Access settings, guest access is turned on for that service. For FTP, guest access is called “anonymous” access. Click the box to remove the checkmark and turn guest (or anonymous) access off. AFP also allows you to control guest access for individual share points, if you allow guest access for the service. See “Configuring Apple File Protocol (AFP) Share Points” on page 212. The equivalent to allowing guest access for NFS service is to export a shared item to World. Unlike guest access, which you set when configuring a service, exporting to World for NFS is an option you set when sharing an item. See “Sharing (Exporting) Items Using Network File System (NFS)” on page 213. Note: NFS lacks authentication. NFS service allows users access to shared information based on their computers’ IP addresses. This is not as secure a method of preventing unauthorized access as the authentication techniques employed by the other file services that require users to enter their user names and passwords in order to gain access to shared information. File Services 223 Client Computer Requirements For information on client computer requirements, see “Supporting Client Computers” on page 259. Setup Overview Here’s is an overview of the basic steps for setting up file services. Step 1: Read “Before You Begin” Read “Before You Begin” on page 221 for issues you should consider before setting up file services. Step 2: Define users In order for users to be able access shared information, they must be given accounts that register them with the server. See Chapter 3, “Users and Groups,” for information about setting up user accounts. Step 3: Create share points and set privileges You share information on the network by designating volumes and folders as share points. Chapter 4, “Sharing,” tells you how to create share points and define access privileges for the shared information. Step 4: Configure and start up file services You use Server Settings to configure and start up file services. See these sections for setting up the individual services: m “Setting Up Apple File Service” on page 225 m “Setting Up Windows Services” on page 237 m “Setting Up File Transfer Protocol (FTP) Service” on page 250 m “Setting Up NFS Service” on page 257 Step 5: Check client configurations After you set up file services, you should make sure client computers are configured properly to connect to the server. Macintosh, Windows, and UNIX client computers all require TCP/IP in order to make connections to the server. See “Supporting Client Computers” on page 259.224 Chapter 5 Apple File Service Apple file service allows Macintosh client users to connect to your server and access folders and files as if they were located on the user’s own computer. If you are familiar with AppleShare IP 6.3, you will find that Apple file service in Mac OS X Server functions in the same way. It uses a new version of the Apple Filing Protocol (AFP), version 3.1, which supports new features such as Unicode file names and 64-bit file sizes. Unicode is a standard that assigns a unique number to every character regardless of language or the operating system used to display the language. One difference in the new Apple file service is that AppleTalk is no longer supported as a connection method. Mac OS X Server advertises its services over AppleTalk so clients using AppleTalk can see servers in the Chooser, but they will need to connect to the server using TCP/IP. See “Supporting Mac OS X Clients” on page 259 and “Supporting Mac OS 8 and Mac OS 9 Clients” on page 260. Automatic Reconnect Mac OS X Server provides the ability to automatically reconnect Mac OS X clients that have become idle or gone to sleep. When clients become idle or go to sleep, the Mac OS X Server disconnects those clients to free up server resources. Mac OS X Server can save Mac OS X client sessions, however, allowing these clients to resume work on open files without loss of data. You configure this setting in the Idle Users pane of the Apple file service configuration window. See “Configuring Apple File Service Idle Users Settings” on page 228. Find By Content Mac OS X clients can use Sherlock to search the contents of AFP servers. This feature enforces privileges so that only files to which the user has access are searched. Kerberos Authentication Apple File Service supports Kerberos authentication. Kerberos is network authentication protocol developed at MIT to provide secure authentication and communication over open networks. In addition to the standard authentication method, Mac OS X Server utilizes Generic Security Services Application Programming Interface (GSSAPI) authentication protocol to support Kerberos v.5. You specify the authentication method using the Access pane of Configure Apple File Service. See “Configuring Apple File Service Access Settings” on page 226. For information about integrating your Mac OS X Server with Kerberos, see “Understanding Kerberos” on page 198. Apple File Service Specifications Maximum number of connected users, depending on your license agreement Unlimited (hardware dependent) Maximum volume size 2 terabytes File Services 225 Before You Set Up Apple File Service If you asked the Server Assistant to configure Apple file service when you installed Mac OS X Server, you don’t have to do anything else to use Apple file service. However, you should check to see if the default settings meet all your needs. The following section steps you through each of the Apple file service settings. Setting Up Apple File Service You set up Apple file service by configuring four groups of settings in the Configure Apple File Service window: m General—set information that identifies your server, enable automatic startup, and create a login message for Apple file service m Access—set up client connections and guest access m Logging—configure and manage logs for Apple file service m Idle Users—configure and administer idle user settings The following sections describe the tasks for configuring these settings. A fifth section tells you how to start up Apple file service after you have completed its configuration. Configuring Apple File Service General Settings You use the General pane to set identifying information about your server, enable automatic startup, and create a login message for Apple file service. To configure Apple file service General settings: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Configure Apple File Service. 3 Click the General tab. 4 In the Computer Name field, type the name for the server you want users to see when using the Chooser or the Network Browser. The name you enter here must be unique among all computers connected to the network. If you leave this field blank, the server will register itself on the network using its IP address and the server’s DNS name will show in this field. 5 Select “Start Apple File Service on system startup” to ensure that file services will be available if the server is restarted after a power failure or other unexpected event. TCP port number 548 Log file location /Library/Logs in the AppleFileService folder226 Chapter 5 This option is selected automatically when you start the server and in most cases it’s best to leave it selected. 6 Select “Enable browsing with Network Service Location” if you want to allow users to see this server in the “Connect to Server” pane in Mac OS X or in the Network Browser in Mac OS 9. This option also registers with Rendezvous and is available to client computers that have Mac OS 9 or later installed. If you turn on this option, you must also enable IP multicasting on your network router. See Chapter 16, “SLP DA Service,” for more information about Service Location Protocol (SLP) and IP multicasting. 7 Select “Enable browsing with AppleTalk” if you want Mac OS 8 and Mac OS 9 clients to be able to find your file server using the Chooser. To find the server using the Chooser, AppleTalk must be enabled on both the client computer and the server. Clients will be able to see the server in the Chooser, but will need to connect using TCP/IP. 8 Choose a character set in the “Encoding for older clients” pop-up menu for the server that matches the character set used by your Mac OS 8 and Mac OS 9 client users. When Mac OS 9 and earlier clients are connected, the server converts file names from the system’s UTF-8 to the chosen set. This has no effect on Mac OS X client users. 9 Select “Do not send same message twice to the same user” if you want users to see your greeting only the first time they log in to the server. If you change the message, users will see the new message the next time they connect to the server. 10 In the Logon Greeting field, type the message that you want users to see when they connect. Note: The logon message does not appear when a user logs into his or her home directory. 11 Click Save. Configuring Apple File Service Access Settings You use the Access pane to control client connections and guest access. To configure Apple file service Access settings: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Configure Apple File Service. 3 Click the Access tab. 4 Choose the authentication method you want to use: Standard, Kerberos, or Any Method. 5 Select “Enable Guest access” if you want to allow unregistered users to access the file server. File Services 227 Guest access is a convenient way to provide occasional users with access to files and other items in share points that allow guest access. For better security, do not select this option. Note: If you allow guest access for Apple file service, AFP lets you control guest access for individual share points. See “Configuring Apple File Protocol (AFP) Share Points” on page 212. 6 Select “Enable secure connections” if you want to allow clients to connect using secure AFP (uses SSH). 7 Under the “Maximum client connections (including Guests)” option: Select Unlimited if you don’t want to limit the number of users who can be connected to your server at one time. Enter a number if you want to limit the number of simultaneous users. The maximum number of simultaneous users is also limited by the type of license you have. For example, if you have a 10-user license, then a maximum of 10 users can connect at one time. Limiting the number of connections can free resources to be used by other services and applications. 8 Under the “Maximum Guest connections” option: Select Unlimited if you don’t want to limit the number of guest users who can be connected to your server at one time. Enter a number if you want to limit how many of your maximum client connections can be used by guests. This number cannot be greater than the number of client connections allowed. 9 Click Save. Configuring Apple File Service Logging Settings You use the Logging pane to configure and manage logs for Apple file service. To configure Apple file service Logging settings: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Configure Apple File Service. 3 Click the Logging tab. 4 Select “Enable Access log” if you want to create an access log. The access log stores information about any of the events you select. 5 Select “Archive every __ days” and type the number of days to specify how often the log file contents are saved to an archive. 228 Chapter 5 The server closes the log at the end of each archive period, renames the log to include the current date, and then opens a new log file. You can keep the archived logs for your records or delete them to free disk space when they are no longer needed. The default setting is 7 days. 6 Select the events that you want Apple file service to log. Entries are logged each time a user performs one of the actions you select. Consider your server’s disk size when choosing events to log. The more events you choose, the larger the log file. 7 Select “Error Log: Archive every __ days” and type the number of days to specify how often the error log file contents are saved to an archive. The server closes the log at the end of each archive period, renames the log to include the current date, and then opens a new log file. You can keep the archived logs for your records or delete them to free disk space when they are no longer needed. The default setting is 7 days. 8 Click Save. You can use the log rolling scripts supplied with Mac OS X Server to reclaim disk space used by log files. See “Log Rolling Scripts” on page 555. Configuring Apple File Service Idle Users Settings You use the Idle Users pane to configure and administer idle user settings. Idle users are users who are connected to the server but haven’t used the server volume for a period of time. To configure Apple file service Idle Users settings: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Configure Apple File Service. 3 Click the Idle Users tab. 4 Select “Allow clients to sleep __ hour(s)—will not show as idle” and type the number of hours to allow clients to automatically reconnect to the server after becoming idle or going to sleep. Although the server disconnects clients when they become idle or go to sleep, the clients’ sessions are maintained for the specified period. When a user resumes work within that time, the client is reconnected with no apparent interruption. If a longer period elapses, open files are closed and any unsaved work is lost. 5 Select “Disconnect idle users after __ minutes” and type the number of minutes to disconnect idle users after the specified time. File Services 229 This ensures that server resources are available to active users. Mac OS X version 10.2 (and later) clients will be able to resume work on open files within the limits of the “Save sleep and reconnect session” setting. 6 Select the users that you want to exempt from being disconnected: Guests, Registered users (any user who is not also an administrator or guest), Administrators, or Idle users who have open files. 7 Type the message in the “Disconnect Message” field that you want users to see when they’re disconnected. If you do not type a message, a default message appears stating that the user has been disconnected because the connection has been idle for a period of time. Not all client computers can display disconnect messages. For example, Mac OS X version 10.2 (and later) clients will not see this message since they can automatically reconnect to the server. 8 Click Save. Starting Apple File Service Start Apple file service to make the service available to your client users. To start Apple file service: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Start Apple File Service. A globe appears on the service icon when the service is turned on. You can also set Apple file service to start up automatically each time your server starts up. See “Starting Up Apple File Service Automatically” on page 231. Managing Apple File Service This section tells you how to perform day-to-day management tasks for Apple file service once you have it up and running. Viewing Apple File Service Status You use Server Status to check the status of all Mac OS X Server devices and services. Important If you don’t select the last option, any idle user (guest, registered user, or administrator) who has open files will be disconnected and may lose unsaved changes to their work.230 Chapter 5 To view Apple file service status: 1 In Server Status, locate the name of the server you want to monitor in the Devices & Services list and select AppleFile in the list of services under the server name. If the services aren’t visible, click the arrow to the left of the server name. 2 Click the Overview tab to see whether the service is running and when it started, its throughput and number of connections, and whether guest access and logging are enabled. 3 Click the Logs tab to see the access and error logs. Use the Show pop-up menu to choose which log to view. 4 Click the Connections tab to see a list of the users currently connected to Apple file service. The table includes the user name, type of connection, user’s IP address or domain name, duration of connection, and the time since the last data transfer (idle time). Buttons at the bottom of the pane let you send a message to a user and disconnect the user. 5 Click the Graphs tab to see graphs of connected users or throughput. Use the pop-up menu to choose which graph to view. Adjust the time scale using the slider at the bottom of the pane. Viewing Apple File Service Logs You use Server Status to view the error and access logs for Apple file service (if you have enabled them). You can also save selected log entries in another file or folder. To view logs: 1 In Server Status, locate the name of the server you want to monitor in the Devices & Services list and select AppleFile in the list of services under the server name. If the services aren’t visible, click the arrow to the left of the server name. 2 Click the Logs tab and use the Show pop-up menu to choose between the access and error logs. Stopping Apple File Service To stop Apple file service: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Stop Apple File Service. 3 Enter the length of time you want to wait before file service stops. 4 Type a message in the Additional Message field if you want to send a message to users in addition to the default message when the service is stopped. Important When you stop Apple file service, connected users may lose any information they have not saved.File Services 231 5 Click Shutdown. Note: Stopping the server disables the “Start Apple File Service on system startup” option. Starting Up Apple File Service Automatically You can set Apple file service to start up automatically each time your server starts up. Note: Apple file service must already be running before you can set this option. See “Starting Apple File Service” on page 229. To set Apple file service to start up automatically: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Configure Apple File Service. 3 Click the General tab. 4 Select “Start Apple File Service on system startup” and click Save. Changing the Apple File Server Name By default, Apple file service registers itself on the network using its IP address, and the server’s DNS name is the name users see when using the Chooser or the Network Browser. To change the name of the file server: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Configure Apple File Service. 3 Click the General tab. 4 Type a new name for your server in the Computer Name field and click Save. The name you enter here must be unique among all computers connected to the network. Registering With Network Service Locator You can register your Apple file server with Network Service Locator (NSL) to allow users to find the server by browsing through available servers. Otherwise, users must type the server’s host name or IP address. To register with NSL: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Configure Apple File Service. 3 Click the General tab, select “Register with Network Service Location,” and click Save. This option also registers with Rendezvous. If you turn on this option, you must also enable and configure Service Location Protocol (SLP) service on your network router. See Chapter 16, “SLP DA Service,” for more information about SLP.232 Chapter 5 Enabling AppleTalk Browsing for Apple File Service If you enable browsing with AppleTalk, users can see your servers and other network resources using the Chooser. To enable browsing via AppleTalk: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Configure Apple File Service. 3 Click the Access tab and select “Allow clients to browse using AppleTalk.” 4 Click Save. Setting Maximum Connections for Apple File Service If your server provides a number of services, you can improve server performance by limiting the number of clients and guests who can be connected at the same time. To set the maximum number of connections: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Configure Apple File Service. 3 Click the Access tab. 4 Under the “Maximum client connections (including Guests)” option type the maximum number of connections you want to allow. 5 Click Save. Turning On Access Logs for Apple File Service The access log can record any time a user logs in or out, opens a file, creates a file or folder, or deletes a file or folder. To turn on access logs: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Configure Apple File Service. 3 Click the Logging tab and select “Enable access log.” 4 Select the events that you want Apple file service to log. Entries are logged each time a user performs one of the actions you select. Consider your server’s disk size when choosing events to log. The more events you choose, the larger the log file. You can use the log rolling scripts supplied with Mac OS X Server to reclaim disk space used by log files. See “Log Rolling Scripts” on page 555.File Services 233 Archiving Apple File Service Logs You can specify how often the contents of the access and error logs for Apple file service are saved to an archive file. To set how often logs are archived: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Configure Apple File Service. 3 Click the Logging tab. 4 Make sure the “Enable Access log” option is selected. 5 Select “Archive every __ days” and type the number of days to specify how often the log file contents are saved to an archive. The server closes the log at the end of each archive period, renames the log to include the current date, and then opens a new log file. You can keep the archived logs for your records or delete them to free disk space when they are no longer needed. The default setting is 7 days. 6 Select “Error Log: Archive every __ days” and type the number of days to specify how often the error log file contents are saved to an archive. The server closes the log at the end of each archive period, renames the log to include the current date, and then opens a new log file. You can keep the archived logs for your records or delete them to free disk space when they are no longer needed. The default setting is 7 days. 7 Click Save. You can use the log rolling scripts supplied with Mac OS X Server to reclaim disk space used by log files. See “Log Rolling Scripts” on page 555. Disconnecting a User From the Apple File Server To disconnect a user: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Show Apple File Service Status. 3 Select the user and click Disconnect. 4 Enter the amount of time before the user is disconnected, and type a disconnect message. If you don’t type a message, a default message will appear. 5 Click Disconnect. 234 Chapter 5 Disconnecting Idle Users From the Apple File Server You can set Apple file service to automatically disconnect users who are connected to the server but have not used the server volume for a period of time. To set how the server handles idle users: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Configure Apple File Service. 3 Click the Idle Users tab and choose the settings you want to use. 4 In the Disconnect Message field, type the message you want client users to see when they are disconnected. If you don’t enter a message, a default message will appear. 5 Click Save. Allowing Guest Access to the Apple File Server Guests are users who can see information on your server without using a name or password to log in. For better security, do not allow guest access. To enable guest access: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Configure Apple File Service. 3 Click the Access tab and select “Allow Guest access.” 4 Under the “Maximum guest connections” option: Select Unlimited if you don’t want to limit the number of guest users who can be connected to your server at one time. Enter a number if you want to limit how many of your maximum client connections can be used by guests 5 Click Save. Creating a Login Greeting for Apple File Service The login greeting is a message users see when they log in the server. To create a login greeting: 1 In Server Settings, click the File & Print tab. 2 Click Apple and choose Configure Apple File Service. 3 Click the General tab and type your message in the Logon Greeting field. 4 Select “Do not send same message twice to the same user” if you want users to see your greeting only the first time they log in to the server.File Services 235 If you change the message, users will see the new message the next time they connect to the server. 5 Click Save. Sending a Message to an Apple File Service User You use the Connections pane of Server Status to send messages to clients using Apple file service. To send a user a message: 1 In Server Status, locate the name of the server in the Devices & Services list to which the user is connected and select AppleFile in the list of services under the server name. If the services aren’t visible, click the arrow to the left of the server name. 2 Click Connections and select the user’s name in the list. 3 Click Send Message. 4 Type the message you want to send and click Send. Windows Services Windows services in Mac OS X Server provide four native services to Windows clients. These services are m file service—allows Windows clients to connect to the Mac OS X Server using Server Message Block (SMB) protocol over TCP/IP m print service—uses SMB to allow Windows clients to print to PostScript printers on the network m Windows Internet Naming Service ( WINS)—allows clients across multiple subnets to perform name/address resolution m browsing—allows clients to browse for available servers across subnets Windows services use the Windows code page setting to display the correct language for the client. Samba is public-domain software that provides file and print services to Windows clients. For more information about Samba, refer to the Samba web site: www.samba.org236 Chapter 5 Windows Services Specifications Before You Set Up Windows Services If you plan to provide Windows services on your Mac OS X Server, read the following sections for issues you should keep in mind. You should also check the Microsoft documentation for your version of Windows to find out more about the capabilities of the client software. Although Mac OS X Server does not require any special software or configuration on Windows client computers, you may want to read “Supporting Windows Clients” on page 261. Ensuring the Best Cross-Platform Experience Mac OS and Windows computers store and maintain files differently. For the best crossplatform experience, you should set up at least one share point to be used only by your Windows users. See “Creating Share Points and Setting Privileges” on page 211. In addition, you can improve the user experience by following these guidelines: m Use comparable versions of application software on both platforms. m Modify files only with the application they were created in. m Limit Windows file names to 31 characters (the limit for Mac OS 8 and Mac OS 9 clients). m Don’t use symbols or characters with accents in the names of shared items. Windows User Password Validation Mac OS X Server supports several methods of validating Windows user passwords. Password Server is the recommended method. It supports LDAP as well as NetInfo because the directory does not store the password, just a pointer to the proper Password Server and user ID. The Password Server database is a root readable file, and the contents are encrypted. Passwords are not accessible over the network for reading—they can only be verified. See “Using a Password Server” on page 195 and “Setting Up an Open Directory Domain and Password Server” on page 92. Maximum number of connected users, depending on your license agreement 1000 Maximum volume size 2 terabytes TCP port number 139 UDP port numbers 137, 138 Log file location /Library/Logs in the WindowsFileServices folderFile Services 237 Authentication Manager is supported for upgrades from earlier versions of Mac OS X Server (10.1 and earlier). Existing users will continue to use Authentication Manager. (If you export from Mac OS X Server and reimport, you do not get the tim_password set. You must manually set the password for each user after import.) You can enable Authentication Manager from the command line. Use Basic password validation. You should set Authentication Manager passwords on the server which is hosting the domain you are editing. See Understanding and Using NetInfo for information on how to use the command line utilities for Authentication Manager. This document is available on the Mac OS X Server Web site: www.apple.com/macosx/server/ Note: Authentication Manager is only supported with NetInfo. Setting Up Windows Services You set up Windows services by configuring four groups of settings: m General—set information that identifies your Windows server and enable automatic startup m Access—allow guest access and set the maximum number of client connections m Logging—choose the level of detail you want in your log m Idle Users—set up name resolution and enable browsing across subnets Because the default settings will work well in most cases, it may be that all you need to do to set up Windows services is to start it. Nonetheless, you should take a look at the settings and change anything that isn’t appropriate for your network. Each of the settings is described in the following sections on configuration. After the configuration tasks, other topics tell you how to start up Windows services. Configuring Windows Services General Settings You use the General pane to set identifying information about your Windows server and to enable automatic startup. To configure Windows General settings: 1 In Server Settings, click the File & Print tab. 2 Click Windows and choose Configure Windows Services. 3 Click the General tab. 4 In the Server Name field, type the server name you want users to see when they connect. The default name is the NetBIOS name of the Windows file server. The name should contain no more than 15 characters, and no special characters or punctuation.238 Chapter 5 If practical, make the server name match its unqualified DNS host name. For example, if your DNS server has an entry for your server as “server.apple.com,” give your server the name “server.” 5 In the Workgroup field, type the name of the workgroup that you want users to see in the Network Neighborhood window. If you have Windows domains on your subnet, use one of them as the workgroup name to make it easier for clients to communicate across subnets. Otherwise, consult your Windows network administrator for the correct group name. The workgroup name cannot exceed 15 characters. 6 In the Description field, type a description that is meaningful to you or your users. This description appears in the Network Neighborhood window on client computers, and it is optional. The Description cannot exceed 48 characters. 7 Use the Code Page pop-up menu to choose the code page for the language client computers will use. 8 Select the “Start Windows Services on system startup” option if you want to ensure that the server is restarted after a power failure or other unexpected event. This option is automatically selected when you start the server and in most cases it’s best to leave it selected. Configuring Windows Services Access Settings You use the Access pane to allow guest access and set the maximum client connections. To configure Windows services Access settings: 1 In Server Settings, click the File & Print tab. 2 Click Windows and choose Configure Windows Services. 3 Click the Access tab. 4 Select “Allow Guest access” only if you want to allow people who are not registered users to use Windows file sharing. This is a convenient way to provide occasional users with access to files and other items for which the appropriate privileges have been set. For better security, do not select this option. 5 Below “Maximum client connections” choose Unlimited if you do not want to limit the number of users who can be connected to your server at one time. 6 If you want to limit the number of simultaneous users, click the button below Unlimited and enter the number of connections.File Services 239 The maximum number of simultaneous users is also limited by the type of license you have. For example, if you have a 10-user license, then a maximum of 10 users can connect at one time. Limiting the number of connections can free resources to be used by other services and applications. Configuring Windows Services Logging Settings You use the Logging pane to choose the level of detail you want in your logs. To configure Windows services Logging settings: 1 In Server Settings, click the File & Print tab. 2 Click Windows and choose Configure Windows Services. 3 Click the Logging tab. 4 Use the Detail Level pop-up menu to choose the level of detail you want logged: None, Minimal, or Verbose. The more detailed the logging, the larger the log file. The table below shows the level of detail you get for each option. You can use the log rolling scripts supplied with Mac OS X Server to reclaim disk space used by log files. See “Log Rolling Scripts” on page 555. Configuring Windows Services Neighborhood Settings You use the Neighborhood pane to set up name resolution and enable browsing across subnets. To configure Windows services Neighborhood settings: 1 In Server Settings, click the File & Print tab. 2 Click Windows and choose Configure Windows Services. Events logged None Minimal Verbose Starting and stopping the server No Yes Yes When users try and fail to log in No Yes Yes Warnings and errors Yes Yes Yes When browser name registration occurs No Yes Yes Access events (each time a file is opened, modified, read, and so on) No No Yes240 Chapter 5 3 Click the Neighborhood tab. 4 Under WINS Registration, choose whether you want to register with a WINS server, either locally or externally: Choose “Off ” to prevent your server from registering itself with any external WINS server or local name resolution server. Choose “Enable WINS server” to have the file server provide local name resolution services. This allows clients across multiple subnets to perform name/address resolution. Choose “Register with WINS server” if your Windows clients and Windows server are not all on the same subnet, and your network has a WINS server. Then enter the IP address or DNS name of the WINS server. 5 Under Workgroup/Domain Services, choose whether to enable domain browsing services: “Master Browser” provides browsing and discovery of servers in a single subnet. “Domain Master Browser” provides browsing and discovery of servers across subnets. Starting Windows Services Start Windows services to make the services available to your client users. To start Windows services: 1 In Server Settings, click the File & Print tab. 2 Click Windows and choose Start Windows Service. A globe appears on the service icon when the service is turned on. Managing Windows Services This section tells you how to perform day-to-day management tasks for Windows services once you have the services up and running. Stopping Windows Services To stop Windows services: 1 In Server Settings, click the File & Print tab. 2 Click Windows and choose Stop Windows Services. Setting Automatic Startup for Windows Services You can set Windows services to start automatically each time your server starts up. Important When you stop Windows services, connected users will lose any information they haven’t saved.File Services 241 To set automatic startup: 1 In Server Settings, click the File & Print tab. 2 Click Windows and choose Configure Windows Services. 3 Click the General tab, then click “Start Windows Services on system startup.” 4 Click Save. Changing the Windows Server Name The default server name is the NetBIOS name of the Windows file server. The name should contain no more than 15 characters and no special characters or punctuation. To change the file server name: 1 In Server Settings, click the File & Print tab. 2 Click Windows and choose Configure Windows Services. 3 Click the General tab and enter a name in the Server Name field. 4 Click Save. Finding the Server’s Workgroup Name You can discover the server’s workgroup name in the General pane of Configure Windows Services. To find the server’s workgroup name: 1 In Server Settings, click the File & Print tab. 2 Click Windows and choose Configure Windows Services. The Workgroup name is shown in the General pane. Checking Windows Services Status You use Server Status to check the status of all Mac OS X Server devices and services. To view Windows services status: 1 In Server Status, locate the name of the server you want to monitor in the Devices & Services list and select Windows in the list of services under the server name. If the services aren’t visible, click the arrow to the left of the server name. 2 Click the Overview tab to see whether the services are running and when they started, the number of connections, and whether guest access and logging are enabled. 3 Click the Logs tab to see the Windows file service and name service logs. Use the Show pop-up menu to choose which log to view. 4 Click the Connections tab to see a list of the users currently connected to the Windows services.242 Chapter 5 The list includes the users’ names, IP addresses, and duration of connections. A button at the bottom of the pane lets you disconnect a user. 5 Click the Graphs tab to see graphs of connected users or throughput. The connected users are shown as a column chart. Use the slider to adjust the time scale. Registering with a WINS Server Windows Internet Naming Service ( WINS) matches server names with IP addresses. You can use your server as the local name resolution server, or you can register with an external WINS server. To register your server with a WINS server: 1 In Server Settings, click the File & Print tab. 2 Click Windows and choose Configure Windows Services. 3 Click the Neighborhood tab and select one of the options under WINS Registration. If you select “Register with WINS server,” enter the IP address or DNS name of the external WINS server you want to use. 4 Click Save. Enabling Domain Browsing for Windows Services If there are no Microsoft servers on your subnet or network to control domain browsing, use these options to restrict domain browsing to a single subnet or allow browsing across your network. To enable domain browsing: 1 In Server Settings, click the File & Print tab. 2 Click Windows and choose Configure Windows Services. 3 Click the Neighborhood tab, then select Master Browser or Domain Master Browser. Select Master Browser to let clients browse for and locate servers in a single subnet. Select Domain Master Browser to let clients browse for and locate servers across your network (subnets). 4 Click Save. Setting Maximum Connections for Windows Services You can limit the potential resources consumed by Windows services by limiting the maximum number of connections. To set the maximum number of connections: 1 In Server Settings, click the File & Print tab.File Services 243 2 Click Windows and choose Configure Windows Services. 3 Click the Access tab. 4 Click Unlimited, or type the maximum number of connections you want to allow. 5 Click Save. Setting Up the Windows Services Log When you set up logging for Windows services, you can choose the level of detail you want to log. To set up a log for Windows services: 1 In Server Settings, click the File & Print tab. 2 Click Windows and choose Configure Windows Services. 3 Click the Logging tab, then use the Detail Level pop-up menu to choose the level of detail you want to log: None, Minimal, or Verbose. The more detailed the logging, the larger the log file. 4 Click Save. Disconnecting a User From the Windows Server To disconnect a user: 1 In Server Status, locate the name of the server the user is connected to in the Devices & Services list. 2 Select Windows in the list of services under the server name. If the services aren’t visible, click the arrow to the left of the server name. 3 Click the Connections tab and select the user you want to disconnect. 4 Click the Disconnect button. Allowing Guest Access in Windows Services Guests are users who can see information on your server without using a name or password to log in. For better security, do not allow guest access. To enable guest access to the server: 1 In Server Settings, click the File & Print tab. 2 Click Windows and choose Configure Windows Services. 3 Click the Access tab and select “Allow Guest access.” 4 Click Save. Important Users who are disconnected will lose any information they haven’t saved.244 Chapter 5 Assigning the Windows Server to a Workgroup Users see the workgroup name in the Network Neighborhood window. If you have Windows domains on your subnet, use one of them as the workgroup name to make it easier for clients to communicate across subnets. Otherwise, consult your Windows network administrator for the correct name. To assign a workgroup name: 1 In Server Settings, click the File & Print tab. 2 Click Windows and choose Configure Windows Services. 3 Click the General tab and type a name in the Workgroup field. 4 Click Save. File Transfer Protocol (FTP) Service FTP allows computers to transfer files over the Internet. Clients using any operating system that supports FTP can connect to your file server and download files, depending on the permissions you set. Most Internet browsers and a number of freeware applications can be used to access your FTP server. FTP service in Mac OS X Server is based on the source code for Washington University’s FTP server, known as “wu-FTPd.” However, modifications have been made to the original source code to deliver a better user experience. Some of these differences are described in the following sections. Secure FTP Environment Most FTP servers provide a restricted directory environment that confines FTP users to a specific area within a server. Users can only see directories and data in this area, so the server is kept quite secure. However, users cannot access volumes mounted outside this restricted area. Symbolic links and aliases don’t reach across the boundaries set within the server. FTP service in Mac OS X Server expands the restricted environment to allow access to symbolic links and aliases while still providing a secure FTP environment. FTP users can potentially access directories and their contents located anywhere on the server, as long as the directories are share points configured for FTP. Access to the FTP root and FTP share points for individual users is determined by the user environment you specify (as described in the following section) and the access privileges set for the users. For information about creating share points and setting access privileges, see Chapter 4, “Sharing.” See “Configuring the FTP User Environment” on page 254.File Services 245 User Environments Mac OS X Server provides three different user environments that determine how the FTP root, share points, and home directories are made available to FTP users: m FTP root and share points m Home directory and FTP root m Home directory only You specify the user environment in the Advanced pane of Configure FTP Service. See “Configuring FTP Advanced Settings” on page 252. FTP Root and Share Points The “FTP Root and Share Points” user environment gives access—for both real and anonymous users—to the FTP root and any FTP share points to which the users have access privileges, as shown in the following figure. Users access FTP share points through symbolic links attached to the FTP Root directory. The symbolic links are created automatically when you create the FTP share points. bin etc Library system Data Volumes FTP server FTP root Looks like "/ " FTP share point incorporated within virtual root Bob Betty Data Users Photos Photos Share point Symbolic link Users246 Chapter 5 Note that in this example, /Users, /Volumes/Data, and /Volumes/Photos are FTP share points. All users can see the home directories of other users because they are subdirectories of the Users share point. Home Directory and FTP Root When the user environment option is set to “Home Directory and FTP Root,” real users are logged into their home directories and have access to the FTP root by means of a symbolic link automatically created in their home directories. Other FTP share points are accessible through symbolic links in the FTP root. As always, access to the FTP share points is controlled by the access privileges they are assigned. In this scenario, the /Users folder is not an FTP share point and users are not able to see the home directories of other users. If you create a custom FTP root, then the symbolic link in users’ home directories will reflect that custom name. For example, if you set a custom FTP root directory to be /Volumes/Extra/ NewRoot, the symbolic link created in the user’s home directory would be called NewRoot. Important Regardless of the user environment setting, anonymous users and users without home directories are always logged into the “FTP Root and Share Points” environment. bin etc Library system Data Volumes FTP server FTP root FTP Root Looks like "/ " FTP share point incorporated within virtual root Bob Betty Data Users Photos Photos Symbolic link Share point FTP RootFile Services 247 Home Directory Only In the Restricted user environment, real users are confined to their home directories and do not have access to the FTP root or other FTP share points, as shown in the following illustration. Anonymous users and users without home directories still have access to the FTP root and FTP share points. So that these users cannot see the home directories of real users, the /Users folder is not set up as an FTP share point. On-the-Fly File Conversion FTP service in Mac OS X Server allows users to request compressed or decompressed versions of information on the server. A file-name suffix such as “.Z” or “.gz” indicates that the file is compressed. If a user requests a file called “Hamlet.txt” and the server only has a file named “Hamlet.txt.Z,” it knows that the user wants the decompressed version, and delivers it to the user in that format. In addition to standard file compression formats, Mac OS X Server has the ability to read files from either HFS or non-HFS volumes and convert the files to MacBinary (.bin) format. This is one of the most commonly used file compression formats for the Macintosh operating system. bin etc Library system Data Volumes FTP server FTP root Looks like "/ " Reports Bob Betty Users Projects Photos FTP share point incorporated within virtual root Data Photos Share point Symbolic link248 Chapter 5 The table below shows common file extensions and the type of compression they designate. Custom FTP Root For increased security, Mac OS X Server lets you create a custom FTP root. You specify the directory path of the custom FTP root using the Advanced pane of Configure FTP Service. See “Configuring FTP Advanced Settings” on page 252. The custom root takes the place of the default FTP root directory. Kerberos Authentication FTP supports Kerberos authentication. You specify the authentication method using the Advanced pane of Configure FTP Service. See “Configuring FTP Advanced Settings” on page 252. For information about Kerberos, see “Kerberos Authentication” on page 224. FTP service specifications Before You Set Up FTP Service Consider the type of information you need to share and who your clients are when determining whether or not to offer FTP service. FTP works well when you want to transfer large files such as applications and databases. In addition, if you want to allow guest (anonymous) users to download files, FTP is a secure way to provide this service. File extension What it means .gz DEFLATE compression .Z UNIX compress .bin MacBinary encoding .tar UNIX tar archive .tZ UNIX compressed tar archive .tar.Z UNIX compressed tar archive .crc UNIX checksum file .dmz Mac OS X disk image Maximum number of connected users (the default setting is 50 for real users and 50 for anonymous users) 1000 FTP port number 21 Number of failed login attempts before user is disconnected 3File Services 249 Restrictions on Anonymous FTP Users (Guests) Enabling anonymous FTP poses a security risk to your server and data because you open your server to users that you do not know. The access privileges you set for the files and folders on your server are the most important way you can keep information secure. Anonymous FTP users are only allowed to upload files into a special directory named “uploads” in the FTP root. If the uploads share point doesn’t exist, anonymous users will not be able to upload files at all. To ensure the security of your FTP server, by default anonymous users cannot m delete files m rename files m overwrite files m change permissions of files Setup Overview Here is an overview of the major steps for setting up FTP service. Step 1: Before You Begin Read “Before You Set Up FTP Service” on page 248 for issues you should keep in mind when you set up FTP service. Step 2: Configure FTP General settings The General settings let you display banner and welcome messages, set the number of login attempts, and provide an administrator email address. See “Configuring FTP General Settings” on page 250. Step 3: Configure FTP Access settings The Access Settings let you specify the number of real and anonymous users. See “Configuring FTP Access Settings” on page 251. Step 4: Configure FTP Logging settings The Logging settings let you specify the events you want to log for real and anonymous users. See “Configuring FTP Logging Settings” on page 251. Step 5: Configure FTP Advanced settings The Advanced settings specify a custom FTP root to use. See “Configuring FTP Advanced Settings” on page 252.250 Chapter 5 Step 6: Create an “uploads” folder for FTP users (optional) If you enabled anonymous access in Step 2, you may want to create a folder for anonymous users to upload files. The folder must be named “uploads.” It is not a share point, but must have appropriate access privileges. See “Creating an Uploads Folder for Anonymous Users” on page 253. Step 7: Create share points and share them using FTP Use the Sharing module of Workgroup Manager to specify the share points that you want to make available through FTP. You must explicitly configure a share point to use FTP in order for FTP users to be able to access the share point. See “Creating Share Points and Setting Privileges” on page 211 and “Configuring File Transfer Protocol (FTP) Share Points” on page 213. Step 8: Start FTP service After you have configured FTP, start the service to make it available. See “Starting FTP Service” on page 252. Setting Up File Transfer Protocol (FTP) Service Configuring FTP General Settings The General settings let you display banner and welcome messages, set the number of login attempts, and provide an administrator email address. To configure the FTP General settings: 1 In Server Settings, click the File & Print tab. 2 Click FTP and choose Configure FTP Service. 3 Click the General tab. 4 Select the “Show Banner Message” option to display a message to users before they log in to the server. 5 Click the Edit Banner button to create or revise a banner message. 6 Select the “Show Welcome Message” option to display a message to users after they have logged in to the server. 7 Click the Edit Welcome button to create or revise a welcome message in the window that appears. 8 Select the “Disconnect after __ failed login attempts” and type a number to limit the number of failed login attempts users can make before they are automatically disconnected from the server. File Services 251 9 In the “Administrator E-mail Address” field, enter an email address if you want to provide a way for users to contact the administrator. 10 Click Save. Configuring FTP Access Settings The Access Settings let you specify the number of real and anonymous users. To configure the FTP Access settings: 1 In Server Settings, click the File & Print tab. 2 Click FTP and choose Configure FTP Service. 3 Click the Access tab. 4 Enter a value in the “Allow a maximum of __ real users” field to set the maximum number of registered users who can connect to your server at the same time. Real users are users who have been added in the Users & Groups module of Workgroup Manager. 5 Select “Enable anonymous access” to allow anonymous users to connect to the server and transfer files. Anonymous users can log in using the name “ftp” or “anonymous.” They do not need a password to log in, but they will be prompted to enter their email addresses. Before selecting this option, you should review the privileges assigned to your share points carefully to make sure there are no security holes. For more information about keeping your information secure, read Chapter 4, “Sharing.” 6 Enter a value in the “Allow a maximum of __ anonymous users” field to set the maximum number of anonymous users who can connect to your server at the same time. 7 Click Save. Configuring FTP Logging Settings The Logging settings let you specify the events you want to log for real and anonymous users. To configure the FTP Logging settings: 1 In Server Settings, click the File & Print tab. 2 Click FTP and choose Configure FTP Service. 3 Click the Logging tab. 4 In the “Log Real Users” section, select the events you want to appear in the FTP log for real users. You can select FTP Commands, Rule Violation Attempts, Uploads, and Downloads.252 Chapter 5 5 In the “Log Anonymous Users” section, select the events you want to appear in the FTP log for anonymous users. You can select FTP Commands, Rule Violation Attempts, Uploads, and Downloads. 6 Click Save. Configuring FTP Advanced Settings The Advanced settings allow you to specify a custom FTP root. A custom FTP root creates a higher level of security by isolating the files accessible through FTP from the main directory of the server. To configure the FTP Advanced settings: 1 In Server Settings, click the File & Print tab. 2 Click FTP and choose Configure FTP Service. 3 Click the Advanced tab. 4 Select the “Use custom FTP root” and enter the pathname in the Path field if you want to create a custom FTP root. See “Custom FTP Root” on page 248. 5 Choose the type of authentication you want to use: Standard, Kerberos, or Any Method. 6 Choose the type of user (chroot) environment you want to use: FTP Root and Share Points, Home Directory and FTP Root, or Home Directory Only. See “User Environments” on page 245. Starting FTP Service Start FTP file service to make the service available to your client users. To start FTP service: 1 In Server Settings, click the File & Print tab. 2 Click FTP and choose Start FTP Service. A globe appears on the service icon when the service is turned on. Managing File Transfer Protocol (FTP) Service This section tells you how to perform day-to-day management tasks for FTP service once you have it up and running. Stopping FTP Service Important When you stop FTP service, connected users will be disconnected without warning.File Services 253 To stop FTP service: 1 In Server Settings, click the File & Print tab. 2 Click FTP and choose Stop FTP. Setting Up Anonymous FTP Service You can allow guests to log in to your FTP server with the user name “ftp” or “anonymous.” They do not need a password to log in, but they will be prompted to enter their email addresses. For better security, do not enable anonymous access. To set up anonymous FTP service: 1 In Server Settings, click the File & Print tab. 2 Click FTP and choose Configure FTP. 3 Click the Access tab. 4 Select “Anonymous access enabled.” 5 Click Save. If the “Anonymous access enabled” box has a checkmark, anonymous access is already enabled. Creating an Uploads Folder for Anonymous Users The uploads folder provides a place for anonymous users to upload files to the FTP server. It must exist at the top level of the FTP root directory and be named “uploads.” (If you have set up a custom FTP root directory, then the uploads folder must be at the root of that directory.) Use the Finder to create the folder and set write privileges for guest users. Specifying a Custom FTP Root The Advanced settings allow you to specify the path for a custom FTP root. To specify a custom FTP root: 1 In Server Settings, click the File & Print tab. 2 Click FTP and choose Configure FTP Service. 3 Click the Advanced tab. 4 Enter the pathname for the FTP root. 5 Select the “Use custom FTP root” and enter the pathname in the Path field if you want to create a custom FTP root. 6 If it does not already exist, create the directory you’ve specified and configure it as an FTP share point. 254 Chapter 5 Specifying the FTP Authentication Method You use the Advanced pane of Configure FTP Service to specify the authentication method. To specify the FTP authentication method: 1 In Server Settings, click the File & Print tab. 2 Click FTP and choose Configure FTP Service. 3 Click the Advanced tab. 4 Choose the type of authentication you want to use: Standard, Kerberos, or Any Method. See “Kerberos Authentication” on page 248. Configuring the FTP User Environment You use the Advanced pane of Configure FTP Service to specify the user environment. To configure the FTP user environment: 1 In Server Settings, click the File & Print tab. 2 Click FTP and choose Configure FTP Service. 3 Click the Advanced tab. 4 Choose the type of user environment you want to provide. The “FTP Root and Share Points” environment sets up the Users directory as a share point. Real users log in to their home directories, if they are available within the restricted environment. Both real and anonymous users can see other users’ home directories in a share point. (The directories are only accessible to users who have access privileges, however.) The “Home Directory and FTP Root” environment logs real FTP users in to their home directories. They have access to their home directories, to the FTP root, and to FTP share points. The “Home Directory Only” environment restricts real FTP to users’ home directories only. Regardless of the user environment you choose, access to all data is controlled by access privileges. Anonymous users and real users who don’t have home directories (or whose home directories are not located in a share point to which they have access) are always logged in at the root level of the restricted FTP environment. Viewing FTP Logs You use Server Settings to view FTP logs. To view FTP logs: 1 In Server Settings, click the File & Print tab.File Services 255 2 Click FTP and choose Configure FTP Service. 3 Click the Logging tab. 4 Select the log options for real users: FTP Commands, Rule Violation Attempts, Uploads, and Downloads. 5 Select the log options for anonymous users: FTP Commands, Rule Violation Attempts, Uploads, and Downloads. Displaying Banner and Welcome Messages to Users FTP service in Mac OS X Server allows you to create certain messages that you can send to real users and to anonymous FTP users when they log in to your server. Some FTP clients may not display the message in an obvious place, or they may not display it at all. For example, the FTP client Fetch displays a banner message in the “RemoteHostname Messages” window. To display banner and welcome messages to users: 1 In Server Settings, click the File & Print tab. 2 Click FTP and choose Configure FTP Service. 3 Click the General tab. 4 Select the “Show Banner Message” option to display a message to users before they log in to the server. 5 Click the Edit Banner button to create or revise a banner message. 6 Select the “Show Welcome Message” option to display a message to users after they have logged in to the server. 7 Click the Edit Welcome button to create or revise a welcome message in the window that appears. 8 Click Save. Displaying Messages Using message.txt files When a user encounters a directory that contains a file named “message.txt,” the file content is displayed as a message. The user only sees the message the first time he or she connects to the directory during that FTP session. You can use the message to notify users of important information or changes users need to be aware of. Using README Message You can also place a file called “README” in a directory. When users encounter a directory that contains a README file, they receive a message letting them know that the file exists and when it was last updated. Users can choose whether or not to open and read the file.256 Chapter 5 Network File System (NFS) Service Network File System is the protocol used for file services on UNIX computers. Use NFS to provide file service for your UNIX clients (other than Mac OS X clients). You can export a shared item to a set of client computers or to “World.” Exporting an NFS volume to World means that anyone who can access your server can also access that volume. Note: The NFS term for sharing is export. This guide, therefore, uses that term to be consistent with standard NFS terminology. You use the NFS module of Server Settings to configure and manage NFS service. You also use the Sharing module of Workgroup Manager to set privileges and access levels for the share points or folders you want to export. Before You Set Up NFS Service Be sure to consider the security implications of exporting in NFS before you set up NFS service. Security Implications NFS was created for a secure networking environment, in which you can trust the client computer users and the people who administer the clients. Whereas access to Apple file service, Windows file sharing, and FTP service share points is controlled by authentication (user name and password), access to NFS shared items is controlled by the client software and file permissions. NFS allows access to information based on the computer’s IP address. This means that a particular client computer will have access to certain share points regardless of who is using the computer. Whenever the computer is started up, some volumes or folders are automatically mounted or made available, and anyone who uses the computer has access to them. With NFS, it’s possible for a user to spoof ownership of another person’s files. For example, if a file on the server is owned by a user with user ID 1234, and you export a folder that contains that file, someone on a remote computer can create a local user on the remote computer, give it a user ID of 1234, mount that folder, and have the same access to the folder’s contents as the file’s original owner. You can take some steps to prevent this by creating unique user IDs and by safeguarding user information. If you have Internet access and plan to export to World, your server should be behind a firewall. Setup Overview Here is an overview of the major steps for setting up NFS service. File Services 257 Step 1: Before You Begin Read “Before You Set Up NFS Service” on page 256 for issues you should keep in mind when you set up NFS service. Step 2: Configure NFS settings The NFS settings let you set the maximum number of daemons and choose how you want to serve clients—via TCP, UDP, or both. See “Configuring NFS Settings” on page 257. Step 3: Create share points and share them using NFS Use the Sharing module of Workgroup Manager to specify the share points that you want to export (share) using NFS. You must explicitly configure a share point to use NFS in order for NFS users to be able to access the share point. See “Creating Share Points and Setting Privileges” on page 211, “Sharing (Exporting) Items Using Network File System (NFS)” on page 213, and “Automounting Share Points” on page 214. You don’t need to start or stop NFS service; when you define a share point to export, the service starts automatically. When you delete all exports, the service stops. You can tell if NFS service is running by looking for the globe on the NFS icon in Server Settings. Setting Up NFS Service Configuring NFS Settings The NFS settings let you set the maximum number of daemons and choose how you want to serve clients—via TCP, UDP, or both. To configure NFS settings: 1 In Server Settings, click the File & Print tab. 2 Click NFS and choose Configure NFS. 3 Enter a value in the “Allow a maximum of __ daemons” field to set the maximum number of nfsd daemons you want to allow at one time. An nfsd daemon is a server process that runs continuously behind the scenes and processes reading and writing requests from clients. The more daemons that are available, the more concurrent clients can be served. Typically, four to six daemons is adequate to handle the level of concurrent requests. 4 Choose how you want to serve data to your client computers. Transmission Control Protocol (TCP) separates data into packets (small bits of data sent over the network using IP) and uses error correction to make sure information is transmitted properly. 258 Chapter 5 User Datagram Protocol (UDP) doesn’t break data into packets, so it uses fewer system resources. It’s more scalable than TCP, and a good choice for a heavily used server. Do not use UDP, however, if remote clients are using the service. Select both TCP and UDP unless you have a specific performance concern. TCP provides better performance for clients, and UDP puts a smaller load on the server. 5 Click Save. Managing NFS Service This section tells you how to perform day-to-day management tasks for NFS service once you have it up and running. Stopping NFS Service When the server starts up, a startup script checks to see if any NFS exports have been defined; if so, NFS starts automatically. If NFS is not running and you add exports, wait a few seconds for the service to launch. When the service is running, a globe appears on the service icon. To stop NFS service: m Delete all exports. The globe on the service icon disappears. However, the nsfd daemons continue to run until the server is restarted. Viewing NFS Service Status You use Server Status to check the status of all Mac OS X Server devices and services. To view NFS service status: m In Server Status, locate the name of the server you want to monitor in the Devices & Services list and select NFS in the list of services under the server name. If the services aren’t visible, click the arrow to the left of the server name. The Overview tab tells you whether or not the service is running and if mountd, nfsd, and portmap process are running. The mountd process handles mount requests from client computers (only one mountd process will appear in the status window if you’ve defined any exports). The nfsd process responds to read/write requests from client computers that have mounted folders. The portmap process allows client computers to find nfs daemons (always one process). Viewing Current NFS Exports You can use the Terminal application to view a list of the current NFS exports.File Services 259 To view current NFS exports: m In Terminal, enter “showmount -e”. If this command does not return results within a few seconds, there are no exports and the process is blocked (hung). Press Control-C to exit the showmount command and return to an active command line in your Terminal window. Supporting Client Computers This section describes the client computer requirements for using Mac OS X file services. Supporting Mac OS X Clients Apple file service requires the following Mac OS X system software: m Mac OS X version 10.2 m TCP/IP connectivity m AppleShare 3.7 or later Go to the Apple support Web site at www.apple/support/ to find out the latest version of AppleShare client software supported by Mac OS X. Connecting to the Apple File Server in Mac OS X You can connect to Apple file servers by entering the DNS name of the server or its IP address in the Connect to Server window, or, if the server is registered with Network Service Location, you can select its name in the list of servers there. Note: Apple file service does not support AppleTalk connections, so clients need to use TCP/ IP to access file services. You can use AppleTalk to find Apple file servers, but the connection must be made using TCP/IP. To connect to the Apple file server in Mac OS X: 1 In the Finder, choose “Connect to Server” from the Go menu. 2 In the Connect to Server pane, do one of the following: Select the name of the server in the list (if it appears there). Type the DNS name of the server in the Address field. You can enter DNS names in any of the following forms: dns afp://dns afp://dns/sharepoint Type the server’s IP address in the Address field.260 Chapter 5 3 Click Connect. 4 Enter your user name and password, then click Connect. 5 Select the server volume you want to use and click OK. Setting Up a Mac OS X Client to Mount a Share Point Automatically As an alternative to using the automount feature of Apple file service, FTP, or NFS, Mac OS X clients can set their computers to mount server volumes automatically. To set a Mac OS X client computer to mount a server volume automatically: 1 Choose Connect to Server from the Finder’s Go menu to mount the volume on the client computer. 2 Open System Preferences and select the Login pane. 3 Click Add, then locate the Recent Servers folder and double-click the volume you want automatically mounted. The volume is added to the list of items in the Recent Servers folder in the user’s home Library folder. When the client user logs in the next time, the server—if available—will be mounted automatically. The client user can also add the server volume to Favorites and then use the item in the Favorites folder in the home Library. Changing the Priority of Network Connections Mac OS X uses its multihoming capabilities to support multiple network connections. When more than one connection is available, Mac OS X selects the best connection according to the order you specify in the Network preferences. To change the priority of network connections: 1 Open the Network pane of System Preferences. 2 Choose a configuration set from the Location menu if you have configurations set up, or use Automatic. 3 Choose Active Network Ports from the Show pop-up menu. 4 Drag the connections in the Active Ports list into the desired order. Mac OS X uses the first available connection from the top of the list. Supporting Mac OS 8 and Mac OS 9 Clients Apple file service requires the following Mac OS 8 or 9 system software: m Mac OS 8 (version 8.6) or Mac OS 9 (version 9.2.2) File Services 261 m TCP/IP m AppleShare 3.7 or later Go to the Apple support Web site at www.apple/support/ to find out the latest version of AppleShare client software supported by Mac OS 8 and Mac OS 9. Connecting to the Apple File Server in Mac OS 8 or Mac OS 9 Apple file service does not support AppleTalk connections, so clients need to use TCP/IP to access file services. You can use AppleTalk to find Apple file servers, but the connection must be made using TCP/IP. To connect to the Apple file server in Mac OS 8 or Mac OS 9: 1 Open the Chooser and click Server IP Address. 2 Enter the IP address or the name of the server in the window that appears and click Connect. 3 Enter your user name and password, then click Connect. 4 Select the volume you want to use and click OK. Setting up a Mac OS 8 or Mac OS 9 Client to Mount a Share Point Automatically As an alternative to using the automount feature of AFP, FTP, or NFS, clients can set their computers to mount server volumes automatically. To set a Mac OS 8 or Mac OS 9 client computer to mount a server volume automatically: 1 Use the Chooser to mount the volume on the client computer. 2 In the select-item dialog that appears after you log in, check the server volume you want to mount automatically. Supporting Windows Clients Mac OS X Server supports the native Windows file sharing protocol, Server Message Block (SMB). SMB is also known as Common Internet File System (CIFS). Mac OS X Server comes with built-in browsing and name resolution services for your Windows client computers. You can enable Windows Internet Naming Service ( WINS) on your server, or you can register with an existing WINS server. Windows services in Mac OS X Server also provide Windows Master Browser and Domain Master Browser services. You do not need a Windows server or a primary domain controller on your network to allow Windows users to see your server listed in the Network Neighborhood window. Also, your Windows clients can be located on a subnet outside of your server’s subnet.262 Chapter 5 See “Ensuring the Best Cross-Platform Experience” on page 236 for information about setting up a dedicated share point for Windows users, and “Windows User Password Validation” on page 236 for information about different techniques of validating Windows user passwords. TCP/IP In order to have access to Windows services, Windows client computers must be properly configured to connect over TCP/IP. See your Windows networking documentation for information on TCP/IP configuration. Using the Network Neighborhood to Connect to the Windows Server Before trying to connect to the server from a Windows client computer, find out the workgroup or domain of both the client computer and the file server. You can find the workgroup name of a Windows client computer in the computer’s Network Neighborhood window. To find the server’s workgroup name, click the File & Print tab in Server Settings, then click Windows and choose Configure Windows Services. To connect to a Windows server using the Network Neighborhood: 1 On the Windows client computer, open the Network Neighborhood window. If you are in the same workgroup or domain as the server, skip to step 4. 2 Double-click the Entire Network icon. 3 Double-click the icon of the workgroup or domain the server is located in. 4 Double-click the server’s icon. 5 Log in using your Windows login name. Connecting to the Windows Server Without the Network Neighborhood You can connect to the Windows server by double-clicking its name in the Network Neighborhood. You can also connect without using the Network Neighborhood. To connect to the Windows server without the Network Neighborhood: 1 On the Windows client computer, choose Find from the Start menu, then choose Computer from the submenu. 2 Type the name or IP address of your Windows server. 3 Double-click the server to connect. 4 Log in using your Mac OS X Server login name. Supporting NFS Clients Consult your UNIX documentation or system administrator for information on managing mounts.File Services 263 Solving Problems With File Services Solving Problems With Apple File Service User Can’t Find the Apple File Server m Make sure the network settings are correct on the user’s computer and on the computer that is running Apple file service. If you can’t connect to other network resources from the user’s computer, the network connection may not be working. m Make sure the file server is running. You can use a “pinging” utility to check whether the server is operating. m If the user is searching for the server via AppleTalk (in the Chooser), make sure you’ve enabled browsing over AppleTalk in the Access pane of the Apple File Server Settings window, and that AppleTalk is active on both the server and the user’s computer. m Check the name you assigned to the file server and make sure users are looking for the correct name. User Can’t Connect to the Apple File Server m Make sure the user has entered the correct user name and password. The user name is not case-sensitive, but the password is. m Verify that logging in is enabled for the user in the Users & Groups module of Workgroup Manager. m Check to see if the maximum number of client connections has been reached (in the Apple File Service Status window). If it has, other users should try to connect later. m Make sure the server that stores users and groups is running. m Verify that the user has AppleShare 3.7 or later installed on his or her computer. Administrators who want to use the admin password to log in as a user need at least AppleShare 3.8.5. m Make sure IP filter service is configured to allow access on port 548 if the user is trying to connect to the server from a remote location. For more on IP filtering, see Chapter 15, “Firewall Service.” User Doesn’t See Login Greeting m Upgrade the software on the user’s computer. Apple file service client computers must be using Appleshare client software version 3.7 or later. Solving Problems With Windows Services User Can’t See the Windows Server in the Network Neighborhood m Make sure users’ computers are properly configured for TCP/IP and have the appropriate Windows networking software installed. m Enable guest access for Windows users.264 Chapter 5 m Go to the DOS prompt on the client computer and type “ping [IP address],” where “IP address” is your server’s address. If the ping fails, then there is a TCP/IP problem. m If users’ computers are on a different subnet from the server, you need to have a WINS server on your network. Note: If Windows computers are properly configured for networking and connected to the network, client users can connect to the file server even if they can’t see the server icon in the Network Neighborhood window. User Can’t Log in to the Windows Server m If you are using Password Server to authenticate users, check to make sure that it is configured correctly. See “Setting Up an Open Directory Domain and Password Server” on page 92. m If you have user accounts created in a previous version of Mac OS X Server (version 10.1 or earlier) that are still configured to use Authentication Manager, make sure that Authentication Manager is enabled. Then reset the passwords of existing users who will be using Windows services. Reset the user’s password and try again. See Understanding and Using NetInfo for information on how to use the command line utilities to configure Authentication Manager. This document is available on the Mac OS X Server Web site: www.apple.com/macosx/server/ Solving Problems With File Transfer Protocol (FTP) FTP Connections Are Refused m Verify that the user is entering the correct DNS name or IP address for the server. m Make sure FTP service is turned on. m Make sure the user has appropriate access privileges to the shared volume. m See if the maximum number of connections has been reached. To do this, click the Networking tab in Server Settings, click FTP, then choose Configure FTP. m Verify that the user’s computer is configured correctly for TCP/IP. If there doesn’t appear to be a problem with the TCP/IP settings, use a “pinging” utility to check network connections. m See if there is a DNS problem by trying to connect using the IP address of the FTP server instead of its DNS name. If the connection works with the IP address, there may be a problem with the DNS server. m Verify that the user is correctly entering his or her short name and typing the correct password. User names and passwords with special characters or double-byte characters will not work. To find the user’s short name, double-click the user’s name in the Users & Groups list.File Services 265 m See if there are any problems with directory services, and if the directory services server is operating and connected to the network. For help with directory services, see Chapter 2, “Directory Services.” m Verify that IP filter service is configured to allow access to the appropriate ports. If clients still can’t connect, see if the client is using FTP passive mode and turn it off. Passive mode causes the FTP server to open a connection to the client on a dynamically determined port, which could conflict with port filters set up in IP filter service. For a list of common TCP and UDP ports, see “Port Reference” on page 540. Clients Can’t Connect to the FTP Server m See if the client is using FTP passive mode, and turn it off. Passive mode causes the FTP server to open a connection on a dynamically determined port to the client, which could conflict with port filters set up in IP filter service. Anonymous FTP Users Can’t Connect m Verify that anonymous access is turned on. m See if the maximum number of anonymous user connections has been reached. To do this, click the Networking tab in Server Admin, click FTP, then choose Configure FTP. Where to Find More Information About File Services For more information about the protocols used in Mac OS X Server file services, see these resources: m Apple Filing Protocol (AFP): www.apple.com/developer/ m Server Message Block (SMB) protocol ( for Windows file services): www.samba.org m FTP: You can find a Request for Comments (RFC) document about FTP at the following Web site: www.faqs.org/rfcs/rfc959.html RFC documents provide an overview of a protocol or service that can be helpful for novice administrators, as well as more detailed technical information for experts. You can search for RFC documents by number at this Web site: www.faqs.org/rfcs To obtain the UNIX manual pages for FTP, open the Terminal application in Mac OS X. At the prompt, type “man ftp” and press the Return key. m NFS: To obtain the UNIX manual pages for NFS, open the Terminal application in Mac OS X. At the prompt, type “man nfs” and press the Return key.267 C H A P T E R 6 6 Client Management: Mac OS X Workgroup Manager provides network administrators with a centralized method of managing Mac OS X workstations, controlling access to software and removable media, and providing a consistent, personalized experience for users at different levels, whether they are beginners in a classroom or advanced users in an office. Mac OS X Server saves user documents and preferences in a home directory, so your users can access their files from any Mac on your network. Using Workgroup Manager, you can create user accounts, and then set up groups to provide convenient and efficient access to resources. You can also use account settings and managed preferences to allow more or less flexibility to suit the level of administrative control you want or need. User management is the result of combining a user’s individual settings and preferences, plus settings and preferences for the workgroup and computer he or she is using. The term managed client refers to a user, group, or computer whose access privileges and/or preferences are under administrative control. Managing clients gives you control over user access to applications, removable media, printers, computers, and system resources. Computers and desktops Client Management Applications, folders and files Printers and volumes Users & Groups268 Chapter 6 This chapter summarizes certain aspects of Mac OS X client management, describes how to set up Mac OS X computer accounts using Workgroup Manager, and gives details about using managed preferences to customize and control the Mac OS X user experience. You’ll learn how to m use Workgroup Manager to control user settings and privileges m set up and manage computer accounts m manage preference settings for users, groups, and computer accounts m set up and manage mobile computers Transition Strategies for Mac OS X Client Management If you currently manage your Mac OS 9 or Mac OS 8 clients using Macintosh Manager and you want to upgrade to Mac OS X, download “Upgrading to Mac OS X Server” from the Web site listed below: www.apple.com/macosx/server/ The User Experience This section describes both the actual user experience and the server processes for Mac OS X managed clients. Logging In When a managed client computer starts up, a login dialog box appears. Depending on the login settings selected, a user either types his or her user name or chooses it from a list. The user name and password are verified by directory services, and then the server returns a list of workgroups for that user and the user selects a workgroup. The user’s environment, privileges, and preferences are determined by the settings chosen for that user, the selected workgroup, and the computer he or she uses. When you create user accounts, the login settings determine the user experience. If you allow simultaneous login, the user can log in to more than one computer. Note: Simultaneous login is not recommended for most users. You may want to reserve simultaneous login privileges only for technical staff, teachers, or other users with administrator privileges. Locating the Home Directory User documents are stored in a user’s home directory, which users can access by clicking the Home icon in a Finder window’s toolbar. For more about home directories see Chapter 3, “Users and Groups.” Important If you need to manage Mac OS 9 or Mac OS 8 clients, read Chapter 10, “Client Management: Mac OS 9 and OS 8.”Client Management: Mac OS X 269 Before You Begin You should consider taking advantage of client management if m you want to provide users with a consistent, controlled interface while allowing them to access their documents from any computer m you want to control privileges on mobile computers m you want to reserve certain resources for only specific groups or individuals m you need to secure computer usage in key areas such as administrative offices, classrooms, or open labs Before you set up computer accounts or managed preferences for users, groups, or computers, be sure you follow these preliminary steps. Step 1: Make sure your computers meet minimum requirements Client Computer Software Requirements m Mac OS X v. 10.2 as the primary operating system Note: Workgroup Manager is not used to manage Mac OS 9 or Mac OS 8 clients. Client Computer Hardware Requirements m Macintosh computer with a G3 processor or better (except original PowerBook G3 or upgraded PowerPC processors) m 128 megabytes (MB) of physical random access memory (RAM) m 1.5 gigabytes (GB) of disk space available Administrator Computer Software Requirements m Mac OS X Server v. 10.2 installed Administrator Computer Hardware Requirements m Macintosh computer with a G3 processor or better (except original PowerBook G3 or upgraded PowerPC processors) m 128 MB of RAM m 4 GB of available disk space Step 2: Create a shared domain to store account information Use Open Directory Assistant to set up a shared domain where you can store user, group, and computer account information. For more information about domain hierarchies and how to use Open Directory Assistant, see Chapter 2, “Directory Services.”270 Chapter 6 Step 3: Make sure users and their home directories exist Use Workgroup Manager to set up user accounts and home directories. Once users are created in Workgroup Manager, they are ready to be managed on Mac OS X clients. You can set up various privileges (such as print or mail quotas) for users as you create them. Home directories can be stored on an Apple Filing Protocol (AFP) server. You can set up group volumes as AFP share points and add additional share points if you need them. Each user you want to manage must have a home directory. If no home directory exists for a user, he or she cannot log in. See Chapter 3, “Users and Groups,” for information about how to create users, define user privileges, and set up home directories. Designating Administrators For Mac OS X clients, the server administrator has the greatest amount of control over other users and their privileges. The server administrator can create users, groups, and computer accounts and assign settings, privileges, and managed preferences for them. He or she can also create other server administrator accounts, or give some users (for example, teachers or technical staff ) administrative privileges within certain directory domains. These “directory domain administrators” can manage users, groups, and computer accounts within the limits assigned to them by the server administrator. For more information about assigning administrative privileges to users with network accounts, see Chapter 3, “Users and Groups.” Setting Up User Accounts If you use Workgroup Manager to manage your OS X clients, you can set some privileges when you set up accounts. You can use “presets” like templates and apply various settings automatically when you create an account. See Chapter 3, “Users and Groups,” for more information about how to set up user accounts. Depending on your needs, you may want to set up local user accounts in addition to network user accounts. A network user has a user account associated with Mac OS X Server and you can allow that user to log in from various computers on your network. A local user has an account associated with a specific client computer, and his or her local account is independent from any network user account and other local accounts on other computers. An individual user may have both a network account that provides access to network services and a separate local account on a specific computer. You can set up managed preferences for any user with a network account, but the most convenient way to manage network users is by managing preferences for groups to which they belong. This makes it easier to manage users regardless of which computer they use.Client Management: Mac OS X 271 If users have local accounts on specific computers, you can still manage their user preferences on the client computer without using Workgroup Manager. However, it may be more useful to manage local users indirectly by using Workgroup Manager to manage preferences for the client computer and group that can access that computer. These group and computer preferences are cached for offline use, making this preference configuration especially useful for mobile computers. If a user on a mobile computer disconnects from the network, he or she is still managed. You can set up managed preferences for users after you create the user accounts. For more information about managed preferences and how to use them, see “Managing Preferences” on page 282. Setting Up Group Accounts Although Mac OS X users are not required to be added to group accounts in order to be managed, groups are still very important for efficient and effective client management. For example, you can use groups to provide users with the same access privileges to media, printers, and volumes. For more information about how to create group accounts using Workgroup Manager, see “Administering Group Accounts” on page 165. Managed preferences assigned to a particular group apply to all users in that group. However, managed user preferences may take precedence over group preferences. You can set up managed preferences for groups after you create the group account. For more information about how to manage preferences, see “Managing Preferences” on page 282. Setting Up Computer Accounts A computer account is a list of computers that have the same preference settings and are available to the same users and groups. You can create and modify computer accounts in Workgroup Manager. Computer accounts that you set up appear in the list on the left side of the window. The list of computer accounts is searchable. Settings appear on the List, Access, and Cache panes on the right side of the window. When you set up a computer account, make sure you have already determined how computers will be identified. Use descriptions that are logical and easy to remember (for instance, the description might be the computer name). You must use the “on board” or built-in Ethernet address for a computer’s Address information. This information is unique to each computer. The client computer uses this data to find preference information when a user logs in. You can browse for a computer and Workgroup Manager will enter the computer’s Ethernet address and name for you.272 Chapter 6 When a computer starts up, it checks directory services for a computer account record that contains its Ethernet address and uses settings for that computer account. If no record is found, the computer uses settings for the Guest Computers computer account. You can set up managed preferences for users after you create the user account. For more information about managed preferences and how to use them, see “Managing Preferences” on page 282. If you want a directory domain administrator to edit computer accounts, add or delete computers from a list, or edit computer account preferences, you must give that administrator those privileges. You can assign an administrator privileges for all computer accounts or for a set of specific computer accounts. For more information about assigning administrative privileges, see Chapter 3, “Users and Groups.” Creating a Computer Account You can use a computer account to assign the same privileges and preferences to multiple computers. You can add up to 2000 computers to a computer account. To set up a computer list: 1 Open Workgroup Manager. 2 Use the At pop-up menu to open the directory domain where you want to store the new account, then click Accounts. 3 Click the lock and enter your user name and password. 4 Click the Computers tab, then click List. 5 Click New Record, then type in a list name. 6 To add a computer to the list, click Add and type the computer’s Ethernet address in the Address field. Alternatively, you can click Browse, and Workgroup Manager will enter the computer’s Ethernet address and name for you. 7 Type a description, such as the computer name. 8 Type a comment. Comments are useful for providing additional information about a computer’s location, configuration (for example, a computer set up for individuals with special needs), or attached peripherals. You could also use the comment for additional identification information, such as the computer’s model or serial number. 9 Continue adding computers until your computer list is complete. 10 Save the account.Client Management: Mac OS X 273 Note: Computers cannot belong to more than one list, and you cannot add computers to the Guest Computers account. Creating a Preset for Computer Accounts You can select settings for a computer account and save them as a “preset.” Presets work like templates, allowing you to apply preselected settings and information to a new account. Using presets, you can easily set up multiple computer accounts with similar settings. You can use presets only during account creation. You cannot use a preset to modify an existing computer account. To set up a preset for computer accounts: 1 Open Workgroup Manager. 2 Use the At pop-up menu to open the directory domain where you want to create computer accounts using presets, then click Accounts. 3 Click the lock and enter your user name and password. 4 Click the Computers tab, then click List. 5 To create a new preset from a blank account, first create a new computer account. To create a preset using data in an existing computer account, open the account. 6 In each settings pane, fill in the information you want to use in the preset. 7 Choose Save Preset from the Presets pop-up menu. After you create a preset, you can no longer change its settings, but you can delete it or change its name. To change a preset’s name, choose the preset from the Presets pop-up menu, then choose Rename Preset. To delete a preset, choose a preset from the Presets pop-up menu, then choose Delete Preset. Using a Computer Accounts Preset When you create a new computer account, you can choose any preset from the Presets popup menu to apply initial settings, but you can still change the account settings to meet your needs. Until you save account information, changing to a different preset overwrites earlier information. Once the account is saved, the Preset menu dims and cannot be used again for that account. To use a preset for computer accounts: 1 Open Workgroup Manager. 2 Use the At pop-up menu to open the directory domain where you want to store the new account, then click Accounts.274 Chapter 6 3 Click the lock and enter your user name and password. 4 Click the Computers tab, then click List. 5 Choose the preset you want to use from the Presets pop-up menu. 6 Create a new account. 7 Add or update settings as needed, then save the account. Adding Computers to an Existing Computer Account You can easily add more computers to an existing list. However, you cannot add computers to the Guest Computers list. To add additional computers to a list: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the computer account you want, then click Accounts. 3 Click the lock and enter your user name and password. 4 Click the Computers tab, then click List. 5 Select the account to which you want to add computers. 6 If you are using presets, select the one from the Presets pop-up menu. 7 Click Add, then type the computer’s Ethernet address in the Address field. Alternatively, you can click Browse, and Workgroup Manager will enter the computer’s Ethernet address and name for you. 8 Type a description, such as the computer name. 9 Type a comment. Comments are useful for providing additional information about a computer’s location, configuration (for example, a computer set up for individuals with special needs), or attached peripherals. You could also use the comment for additional identification information, such as the computer’s model or serial number. 10 Click Save. 11 Continue adding computers and information until your list is complete. Editing Information About a Computer After you add a computer to a computer account, you can edit information when necessary. To change computer information: 1 Open Workgroup Manager.Client Management: Mac OS X 275 2 Use the At pop-up menu to find the directory domain that contains the computer account you want to modify, then click Accounts. 3 Click the lock and enter your user name and password. 4 Click the Computers tab, then click List. 5 Select a computer account. 6 In the List pane, select the computer whose information you want to edit, and click Edit. 7 Change information in the information fields as needed. Moving a Computer to a Different Computer Account Occasionally, you may want to group computers differently. Workgroup Manager lets you conveniently move computers from one list to another. Computers cannot belong to more than one list, and you cannot move computers to the Guest Computers account. To move a computer from one list to another: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the computer account you want to modify, then click Accounts. 3 Click the lock and enter your user name and password. 4 Click the Computers tab, then click List. 5 Select a computer account. 6 In the List pane, select the computer you want to move, and click Edit. 7 Select a new computer account in the “Move to list” pop-up menu, and click OK. Deleting Computers From a Computer List When you delete a computer from a computer account, that computer is no longer managed. To delete a computer from a list: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the computer account you want to modify, then click Accounts. 3 Click the lock and enter your user name and password. 4 Click the Computers tab, then click List. 5 Select a computer account.276 Chapter 6 6 In the List pane, select one or more computers in that account’s computer list. 7 Click Remove. Deleting a Computer Account If you no longer need an entire computer account, you can delete it. You cannot delete the Guest Computers account. To delete a computer account: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the computer account you want to modify, then click Accounts. 3 Click the lock and enter your user name and password. 4 Click the Computers tab, then click List. 5 Select a computer account. 6 Choose “Delete Selected Computer List” from the Server menu. Searching for Computer Accounts Workgroup Manager has a search feature that allows you to find specific computer accounts quickly. You can search within a selected domain and filter search results. To search for computer accounts: 1 Open Workgroup Manager. 2 Click the lock and enter your user name and password. 3 Click Accounts, then click the Computers tab. 4 Using the At pop-up menu below the computer accounts list, limit your search to one of the following locations: Local Directory: Search for account records on local volumes only. Search Path: Search for account records using the path defined in Directory Setup for the computer where you are logged in (for example, myserver.mydomain.com). Other: Browse and select an available directory domain to search for account records. 5 Select an additional filter from the filter pop-up menu next to the search field, if you wish. 6 Type search terms in the search field, then press Return.Client Management: Mac OS X 277 Managing Guest Computers If an unknown computer (one that isn’t already in a computer account) connects to your network and attempts to access services, that computer is treated as a “guest.” Settings chosen for the Guest Computers account apply to these unknown or “guest” computers. Using the Guest Computers account is not recommended for large numbers of computers. Most of your computers should belong to regular computer lists. During server software installation, a guest computer record is automatically created only in the original directory domain. Afterward, a server administrator can create additional guest computer accounts in other directory domains. After the account is created, “Guest Computers” appears in the list of computer accounts. Each directory domain can have only one guest computer account. Depending on network organization and setup, you may not be able to create a guest computer account in certain directory domains. Note: You cannot add or move computers to the Guest Computers account, and you cannot change the list name. To set up the Guest Computers account: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the guest computer account you want to modify, then click Accounts. 3 Click the lock and enter your user name and password. 4 Click the Computers tab. 5 Select Guest Computers in the account list. 6 Click List, then select a Preferences settings. Select Enable if you want to set up managed preferences. If you select this option, you should click Cache, and then set how often you want to update preferences. Select Inherit if you want guest computers to have the same managed preference settings as the parent server. 7 Click Access and select the settings you want to use. 8 Click Cache and set an interval for clearing the preferences cache, then click Save. After you set up the Guest Computers account, you can manage preferences for it if you wish. For more information about using managed preferences, see “Managing Preferences” on page 282.278 Chapter 6 If you do not select settings or preferences for the Guest Computers account, guest computers are not managed. However, if the person using the computer has a Mac OS X Server user account with managed user or group preferences, those settings still apply when the user connects to your network and logs in. If the user has an administrator account on the computer, he or she can choose not to be managed at login. Unmanaged users can still use the “Go to Folder” command to access a home directory on the network. To delete the Guest Computers account, select the account in the list of computer accounts, then choose Delete from the Edit menu. Working With Access Settings Settings in the Access pane let you make computers in a list available to users in groups. You can allow only certain groups to access computers in a list, or you can allow all groups (and therefore, all users) to access the computers in a list. You can also control certain aspects of local user access. Restricting Access to Computers You can reserve computers so that only certain users have access to them. This can make it easier to provide access to limited resources. For example, if you have two computers set up with the appropriate hardware and software needed to import and edit video, you can reserve those computers for users who need to do video production. First, make sure the user accounts exist, then add the users to a “video production” group, then give only that group access to your video production computers. Note: A user with a local administrator account may always log in. To reserve computers for specific groups: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the computer account you want to modify, then click Accounts. 3 Click the lock and enter your user name and password. 4 Click the Computers tab. 5 Select a computer account, then click Access. 6 Select “Restrict to groups below.” 7 Click Add, then select one or more groups and drag them to the list. To remove an allowed group, select it and click Remove.Client Management: Mac OS X 279 Making Computers Available to All Users If you want, you can make computers in a list available to any user in any group account you set up. To make computers available to all users: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the computer account you want to modify, then click Accounts. 3 Click the lock and enter your user name and password. 4 Click the Computers tab. 5 Select a computer account, then click Access. 6 Select “All groups can use the computer.” Using Local User Accounts Local accounts are useful for both stationary and mobile computers with either single or multiple users. Anyone with a local administrator account on a client computer can create local user accounts using the Accounts pane of System Preferences. Local users authenticate locally. If you plan to supply individuals with their own portable computers (iBooks, for example), you may want to make the user a local administrator for the computer. A local administrator has more privileges than a local or network user. For example, a local administrator can add printers, change network settings, or select not to be managed. The easiest way to manage preferences for local user accounts is to manage preferences for the computer that has those local accounts and for the workgroups assigned to the computer. To provide access for users with local accounts: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the computer account you want to modify, then click Accounts. 3 Click the lock and enter your user name and password. 4 Click the Computers tab. 5 Select a computer account that contains computers with local users, then click Access. 6 The account you select must allow local users to log in. Make sure “Allow users with localonly accounts” is selected. 7 If you want local users to see a list of all available workgroups during login, select “All groups can use the computer.” 280 Chapter 6 8 If you want to show only certain workgroups to users during login, select “Restrict to groups below,” and add groups to the list. 9 Click Save. Managing Portable Computers It is important to plan how you want to manage portable computers that have access to your network. This section gives suggestions for managing portable computers used by either multiple users or an individual user. Unknown Portable Computers To manage users who have their own personal portable computers running Mac OS X system software, you can use the Guest Computers account to apply computer-level management for unknown or “guest” computers on your network. If these users log in using a Mac OS X Server user account, user and group managed preferences and account settings also apply. For more information about setting up the Guest Computers account for Mac OS X users, see “Managing Guest Computers” on page 277. For information about managing unknown portable computers that use Mac OS 9 or OS 8 system software, see “Providing Quick Access to Unimported Users” on page 429. Portable Computers With Multiple Local Users One example of shared portable computers is an iBook Wireless Mobile Lab. An iBook Wireless Mobile Lab contains either 10 or 15 student iBooks (plus an additional iBook for an instructor), an Airport base station, and a printer, all on a mobile cart. The cart lets you take the computers to your users (for example, from one classroom to another). To manage the iBooks on your cart, create identical generic local user accounts on each computer (for example, all the accounts could use “Math” as the user name and “student” as the password). You might want to create different generic local accounts for different purposes, such as one for a History class, one for a Biology class, and so on. Each account should have a local home directory and should not have administrative privileges. Use a separate local administrator account on each computer to allow server administrators (or other individuals) to perform maintenance tasks and upgrades, install software, and administer the local user accounts. After creating the local user accounts, add each of the computers to a computer list, then manage preferences for that list. Because multiple users can store items in the local home directory for the generic account, you may want to periodically clean out that folder as part of your maintenance routine. Portable Computers With One Primary Local User There are two ways set up portable computers for a single user.Client Management: Mac OS X 281 m The user does not have administrator privileges, but has a local account. Set up a local administrator account on the computer (do not give the user information about this account), then set up a local account for the user. Users with local accounts that do not have administrator privileges cannot install software and can only add or delete items in their own home directories. A local user can share items with other local users by using the Public folder in his or her local home directory. m The user is the administrator for the computer. If the user is the local administrator, he or she can choose during login whether or not to be managed. For example, in order to access servers at school, the user should choose to be managed at login, but at home he or she may prefer not to be managed since access to the school servers may not be available. If the user also has a Mac OS X Server user account and network access is available, it may still be preferable to log in using the local account in order to reduce network traffic. The user can connect to his or her network home directory (to store or retrieve documents, for example) via the “Go to Folder” command in the Finder’s Go menu. Using Wireless Services You can provide wireless network service to managed clients using AirPort, for example. When a user with a portable computer leaves the wireless area or changes to a different network directory server (by moving out of one wireless area and into another), client management settings may be different. Users may notice that some network services, such as file servers, printers, shared group volumes, and so forth, are unavailable from the new location. Users can purge these unavailable resources by logging out and logging in again. If you need more information about using Airport, consult Airport documentation or visit the Web site: www.apple.com/airport/ How Workgroup Manager Works With System Preferences Workgroup Manager allows administrators to set and lock certain system settings for users on their network. You can set preferences once and allow users to change them, you can keep preferences under administrative control at all times and allow no user changes, or you can choose not to impose any settings at all.282 Chapter 6 In addition to various settings for users, groups, and computer accounts, Workgroup Manager provides control over these preferences: Managing Preferences In Workgroup Manager, information about users, groups, and computer accounts is integrated with directory services. Once you’ve set up users, groups, and computer accounts, you do not have to import them into a separate tool in order to manage them on Mac OS X client computers. Managing preferences means you can control settings for certain system preferences in addition to controlling user access to system preferences, applications, printers, and removable media. Workgroup Manager stores information about settings and preferences in user, group, or computer records on the Mac OS X server. Group preferences are stored on the group volume. User preferences are stored in the user’s home directory (the Home folder on Mac OS X clients). After user, group, and computer accounts are created, you can start managing preferences for them using the Preferences pane in Workgroup Manager. To manage preferences for Mac OS X clients, you must make sure each user you want to manage has a home directory. If a user doesn’t have a home directory, he or she will not be able to log in. For information about how to set up a group volume or how to set up home directories for users, see Chapter 3, “Users and Groups.” Preference pane What you can manage Applications Applications and system preferences available to users Classic Classic startup settings, sleep settings, and the availability of Classic items such as Control Panels Dock Dock location, behavior, and items Finder Finder behavior, desktop appearance and items, and availability of Finder menu commands Internet Email account preferences and Web browser preferences Login Login window appearance and items that open automatically when a user logs in Media Access Settings for CDs, DVDs, and recordable discs, plus settings for internal and external disks such as hard drives or floppy disks Printer Available printers and printer accessClient Management: Mac OS X 283 About the Preferences Cache Only local user accounts use a preference cache. The preference cache is created on the local hard drive when a user logs in. The cache stores only preferences for the computer account to which that computer belongs and preferences for groups associated with that computer, but this can influence how a user is managed offline. The cached preferences can help you manage local user accounts on portable computers even when they are not connected to a network. For example, you can create an account for the set of computers you want to manage, and then manage preferences for the computer accounts. Next, make these computers available to groups, then manage preferences for the groups. Finally, set up local user accounts on the computers, and associate those users with the groups you already manage. Now, if a user goes offline or disconnects from your network, he or she is still managed by the computer and group preferences in the cache. Updating the Managed Preferences Cache You can update a user’s managed preference cache regularly. This setting applies only to computer accounts. The computer checks the server for updated preferences according to the schedule you set. To set an update interval for the managed preferences cache: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the computer account you want to modify, then click Preferences. 3 Click the lock and enter your user name and password. 4 Click the Computers tab and select a computer account in the list. 5 Click Cache. 6 Type in a number representing how frequently you want to update the cache, then choose an update interval (seconds, minutes, hours, days, or weeks) from the pop-up menu. For example, you could update the cache every 5 days. Updating Cached Preferences Manually When you need to, you can manually update the managed preferences cache for every computer in a selected computer list. When the cache is updated manually, it will not be updated again automatically until the set interval has passed. To update the managed preferences cache: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the computer account you want, then click Preferences.284 Chapter 6 3 Click the lock and enter your user name and password. 4 Click the Computers tab and select a computer account from the list. 5 Click Cache, then click “Update the Cache.” How Preference Management Works Managed preference settings can be applied to user, group, or computer accounts. The final set of preferences a user has is a combination of preference settings for his or her own user account, preferences for the workgroup chosen at login, and preferences for the computer he or she is currently using. For some preferences, such as Finder preferences, user settings override group settings and group settings override computer settings. Other preferences, such as printer preferences, have an additive result. For example, the final list of printers available to a user is a combination of the computer printer list, the group printer list, and the user’s printer list. Preferences for applications, Dock items, and login items behave in a similar manner. In some cases, you may find it easier and more useful to set certain preferences for only one type of record. For example, you could set printer preferences only for computers, set application preferences only for workgroups, and set Dock preferences only for users. In such a case, no override or addition occurs for these preferences because the user inherits them without competition. Preference Management Options When you manage preferences for a user, group, or computer account, you can choose to set the preferences once, always, or never using radio buttons in the management bar. Preferences Computer (C) Group (G) User (U) C+G+U Added Overridden InheritedClient Management: Mac OS X 285 Managing a Preference Once If you want to manage a preference initially for users, but allow them to make changes if they have that privilege, select Once in the management bar. When a user logs in, preference files in his or her home directory are updated with any preferences that are managed “once.” These preference files are time stamped. If you update settings for a preference that is managed once, Workgroup Manager applies the most recent version to the user’s preference files the next time he or she logs in. For some preferences, such as Classic preferences or Media Access preferences, Once is not available. You can only select Never or Always. Always Managing a Preference You can force preference settings for a user by selecting Always in the management bar. The next time the user logs in, the preference reverts to the original settings chosen by the administrator even if the user is allowed to change the settings. Preferences that are “always” managed are stored in the /Library/Managed Preferences folder. Never Managing a Preference If you don’t want to manage settings for a preference at all, select Never in the management bar. If you provide users with access to an unmanaged preference, they can change settings as they wish. “Never” is the default setting for all preferences. Managing User Preferences You can manage preferences for individual users as needed. However, if you have large numbers of users, it may be more efficient to manage most preferences by group and computer instead. You might want to manage preferences at the user level only for specific individuals, such as directory domain administrators, teachers, or technical staff. You should also consider which preferences you want to leave under user control. For example, if you aren’t concerned about where a user places the Dock, you might want to set Dock Display management to Never. To manage user preferences: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the user account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Click the Users tab and select a user account in the account list. 5 Click the icon for the preference you want to manage.286 Chapter 6 6 In each tab for that preference, choose a management setting. Then select preference settings or fill in information you want to use. Some management settings are not available for some settings, and some preferences are not available to some types of accounts. Two preferences (Printing and Media Access) allow only one management setting that applies to all options for that preference. 7 When you are finished, click Apply Now. Managing Group Preferences Group preferences are shared among all users in the group. Setting some preferences only for groups instead of for each individual user can save space, especially when you have large numbers of managed users. Because users can select a workgroup at login, they have the opportunity to choose a group with managed settings appropriate to the current task, location, or environment. It can be more efficient to set preferences once for a single group instead of setting preferences individually for each member of the group. To manage group preferences: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the group account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a group account in the account list. 5 Click the icon for the preference you want to manage. 6 In each tab for that preference, choose a management setting. Then select preference settings or fill in information you want to use. Some management settings are not available for some settings, and some preferences are not available to some types of accounts. Two preferences (Printing and Media Access) allow only one management setting that applies to all options for that preference. 7 Click Apply Now. Managing Computer Preferences Computer preferences are shared among all computers in a list. In some cases, it may be more useful to manage preferences for computers instead of for users or groups. To manage computer preferences: 1 Open Workgroup Manager.Client Management: Mac OS X 287 2 Use the At pop-up menu to find the directory domain that contains the user account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a computer account in the account list. 5 In each tab for that preference, choose a management setting. Then select preference settings or fill in information you want to use. Some management settings are not available for some settings, and some preferences are not available to some types of accounts.Two preferences (Printing and Media Access) allow only one management setting that applies to all options for that preference. 6 In each tab for that preference, select the settings you want to use. 7 Click Apply Now. Editing Preferences for Multiple Records You can edit preference for more than one user, group, or computer account at a time. If some settings are not the same for two or more accounts, you may see a “mixed-state” slider, radio button, checkbox, text field, or list. For sliders, radio buttons, and checkboxes, a dash is used to indicate that the setting is not the same for all selected accounts. For text fields, the term “Varies...” indicates a mixed state. Lists show a combination of items for all selected accounts. If you adjust a mixed-state setting, every account will have the new setting you choose. For example, suppose you select three group accounts that each have different settings for the Dock size. When you look at the Dock Display preference pane for these accounts, the Dock Size slider is centered and has a dash on it. If you change the position of the Dock Size slider to Large, all selected accounts will have a large-size Dock. Disabling Management for Specific Preferences After you set up managed preferences for any account, you can turn off management for specific preference panes by setting the management setting to Never. To selectively disable preference management: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list. 5 Click the icon for a preference that is currently being managed. 6 Click the tab containing the preference settings you no longer want to manage.288 Chapter 6 Two preferences (Printing and Media Access) do not have a management settings bar for each tab. Instead, a management bar is displayed above the tabs. 7 Select Never in the management settings bar. 8 Click Apply Now. When you change the preference management settings, the new setting applies to all items in the active preference pane. If you want to disable all preference management for an individual preference (for example, Dock), make sure the management setting is set to Never in each pane of that preference. Managing Applications Preferences Use Applications settings to provide access to applications and to select which items appear in System Preferences. Applications Items Preferences Applications Items settings let you create lists of “approved” applications users are allowed to open, and you can allow users to open items on local volumes. Creating a List of Approved Applications You need to provide access to the applications you want users to open. To do this, use Items settings for the Applications preference and create a list of “approved” applications. If an application is not on the list, a user cannot open it. You can, however, allow applications to open “helper applications” that are not listed. You can make applications available to multiple users by managing Items settings for the Applications preference for groups or computer accounts. You can also set this preference for individual users. To add applications to a user’s list: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list. 5 Click the Applications preference icon, then click Items. 6 Set the management setting to Always. 7 Click Add to browse for the application you want, then add it to the list. To select multiple items, hold down the Command key.Client Management: Mac OS X 289 8 When you have finished adding applications to the list, click Apply Now. Preventing Users From Opening Applications on Local Volumes When users have access to local volumes, they can access applications on the computer’s local hard drive, in addition to approved applications on CDs, DVDs, or other external disks. If you don’t want to allow this, you can disable local volume access. To prevent access to local applications: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list. 5 Click the Applications preference icon, then click Items. 6 Set the management setting to Always. 7 Deselect “User can open items on local volumes.” 8 Click Apply Now. Managing Application Access to Helper Applications Sometimes, applications need to use “helper applications” for tasks they cannot complete themselves. For example, if a user tries to open a Web link in an email message, the email application might need to open a Web browser application to display the Web page. When you make an application list available for users, groups, or computer accounts, you may want to include common helper applications in that list. For example, if you give users access to an email application, you might also want to add a Web browser, a PDF viewer, and a picture viewer to avoid problems opening and viewing email contents or attached files. When you set up a list of “approved” items in the Applications preference settings, you can choose whether to allow applications to use helper applications that aren’t in the “approved” items list. To manage access to helper applications: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list.290 Chapter 6 5 Click the Applications preference icon, then click Items. 6 Set the management setting to Always. 7 If you have not already created a list of approved applications, do so now. Click Add to browse for the application you want to add to the list.To remove an application from the list, select it and click Remove. If you want to allow helper applications, be sure those applications are added to the list. 8 Select “Allow approved applications to open non-approved applications” to allow access to helper applications. Deselect this option to disable it. 9 Click Apply Now. Applications System Preferences You can choose which system preferences users see when they open System Preferences. Managing Access to System Preferences When you show an item in System Preferences, a user can open the preference, but may or may not be able to change its settings. For example, if you set preference management for the Dock to Always and you make Dock preferences available in System Preferences, a user can view the settings but cannot make any changes. Some System Preferences may not be available on your administrator computer. You should either install the missing preferences on the administrator computer you are using, or you should use Workgroup Manager on an administrator computer that has those preferences installed. To manage access to System Preferences: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Applications preference icon. 5 Click System Preferences. 6 Set the management setting to Always. 7 Deselect the Show checkbox for each item you do not want to display in a user’s System Preferences. Click Show None to deselect every item in the list. Click Show All to select every item in the list.Client Management: Mac OS X 291 8 Click Apply Now. Managing Classic Preferences Classic Preferences are used to set Classic startup options, select the Classic System Folder and set sleep options for Classic, and make certain Apple menu items available to users. Classic Startup Preferences Startup settings affect what happens when Classic starts. Making Classic Start Up After a User Logs In If users often need to work with applications that run in Classic, it is convenient to have Classic start up immediately after a user logs in. To start Classic after login: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list. 5 Click the Classic preference icon, then click Startup. 6 Set the management setting to Always. 7 Select “Start up Classic on login to this computer.” 8 If you don’t want users to see the Classic startup screens, select “Hide Classic while starting.” 9 Select “Warn at Classic startup” to show an alert when Classic starts. 10 Select “Show Classic in the menu bar” to place a Classic icon in the menu bar. 11 Click Apply Now. Choosing a Classic System Folder If the name of the hard disk or volume containing the Mac OS 9 System Folder is Macintosh HD, you do not have to specify a Classic System Folder. If you want to use a specific Mac OS 9 System Folder when Classic starts up, you can specify it in the Classic preference pane in Workgroup Manager. To choose a specific Classic System Folder: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences.292 Chapter 6 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list. 5 Click the Classic preference icon, then click Startup. 6 Set the management setting to Always. 7 Type in the path to the Classic System Folder you want to use (make certain the path you specify does not contain errors), or use Choose to browse for the folder you want. 8 Click Apply Now. Classic Advanced Preferences Advanced preference settings for Classic let you control items in the Apple menu, Classic sleep settings, and the user’s ability to turn off extensions or rebuild Classic’s desktop file during startup. Allowing Special Actions During Restart You can allow users to perform special actions, such as turning off extensions or rebuilding Classic’s desktop file, when they restart computers. You may want to allow this privilege for specific users, such as members of your technical staff. To allow special actions during restart: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list. 5 Click the Classic preference icon, then click Advanced. 6 Set the management setting to Always. 7 Select “Allow special startup modes.” 8 Click Apply Now. Keeping Control Panels Secure If you don’t want users to have access to Mac OS 9 control panels, you can remove the Control Panels item from the Apple menu. To prevent access to Control Panels: 1 Open Workgroup Manager.Client Management: Mac OS X 293 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Classic preference icon. 5 Click Advanced, and set the management setting to Always. 6 Select “Hide Control Panels.” 7 Click Apply Now. Preventing Access to the Chooser and Network Browser If you don’t want users to have access to the Chooser or Network Browser in Classic, you can remove these items from the Apple menu. To remove the Chooser and Network Browser from the Apple menu: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Classic preference icon. 5 Click Advanced and set the management setting to Always. 6 Select “Hide Chooser and Network Browser.” 7 Click Apply Now. Making Apple Menu Items Available in Classic You can hide or reveal Apple menu items (other than the Chooser, Network Browser, or Control Panels) as a group. This group includes items such as Calculator, Key Caps, and Recent Applications. To show other Apple menu items: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Classic preference icon.294 Chapter 6 5 Click Advanced and set the management setting to Always. 6 Deselect “Hide other Apple menu items.” 7 Click Apply Now. Adjusting Classic Sleep Settings When no Classic applications are open, Classic will go to sleep to reduce its use of system resources. You can adjust the amount of time Classic waits before going to sleep after a user quits the last Classic application. If Classic is in sleep mode, opening a Classic application may take a little longer. To adjust Classic sleep settings: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Classic preference icon. 5 Click Advanced and set the management setting to Always. 6 Drag the slider to set how long Classic waits before going to sleep. If you don’t want Classic to go to sleep at all, drag the slider to Never. 7 Click Apply Now. Managing Dock Preferences Dock settings allow you to adjust the behavior of the user’s Dock and specify what items appear in it. Dock Display Preferences Dock Display preferences control the Dock’s position and behavior. Controlling the User’s Dock Dock settings allow you to adjust the position of the Dock on the desktop and change the Dock’s size. You can also control animated Dock behaviors. To set how the Dock looks and behaves: 1 Open Workgroup Manager.Client Management: Mac OS X 295 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Dock preference icon. 5 Click Dock Display. 6 Select a management setting (Once or Always). 7 Drag the Dock Size slider to make the Dock smaller or larger. 8 If you want items in the Dock to be magnified when a user moves the pointer over them, select the Magnification checkbox, then adjust the slider. Magnification is useful if you have many items in the Dock. 9 If you don’t want the Dock to be visible all the time, select “Automatically hide and show the Dock.” When the user moves the pointer to the edge of the screen where the Dock is located, the Dock pops up automatically. 10 Select whether to place the Dock on the left, right, or bottom of the desktop. 11 Select a minimizing effect. 12 If you don’t want to use animated icons in the Dock when an application opens, deselect “Animate opening applications.” 13 Click Apply Now. Dock Items Preferences Dock Items settings allow you to add and arrange items in a user’s Dock. Adding Items to a User’s Dock You can add applications, folders, or documents to a user’s Dock for easy access. To add items to the Dock: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Dock preference icon. 5 Click Dock Items. 6 Select a management setting (Once or Always).296 Chapter 6 7 To add individual applications, regular folders, and documents to the Dock, click Add to browse and select the item you want. To remove a Dock item, select it and click Remove. You can rearrange Dock items in the list by dragging them into the order in which you want them to appear. Applications are always grouped at one end; folders and files are grouped at the other. 8 When you have finished adding regular and special Dock items, click Apply Now. Preventing Users From Adding Additional Dock Items Ordinarily, users can add additional items to their own Docks, but you can prevent this. Users cannot remove Dock items added by the administrator. To prevent users from adding items to their Docks: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Dock preference icon. 5 Click Dock Items, then set the management setting to Always. 6 Deselect “Users may add and remove additional Dock items.” 7 Click Apply Now. Managing Finder Preferences Finder Preferences allow you to control various aspects of Finder menus and windows. Finder Preferences Use the Finder Preferences settings in Workgroup Manager to select a Finder type for the user, show or hide items mounted on the desktop, and control Finder window behaviors. You can also make file extensions visible and show users a warning if they attempt to empty the Trash. Keeping Disks and Servers From Appearing on the User’s Desktop Normally when a user inserts a disk, that disk’s icon appears on the desktop. Icons for local hard disks or disk partitions and mounted server volumes are also visible. If you don’t want users to see these items on the desktop, you can hide them.Client Management: Mac OS X 297 These items still appear in the top-level directory when a user clicks the Computer icon in a Finder window toolbar. To hide disk and server icons on the desktop: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Finder preference icon. 5 Click the Preferences tab and select a management setting (Once or Always). 6 Under “Show these items on the Desktop,” deselect the items you want to hide. 7 Click Apply Now. Controlling the Behavior of Finder Windows You can select what directory appears when a user opens a new Finder window. You can also define how contents are displayed when a user opens folders. To set Finder window preferences: 1 Open Workgroup Manager and click Preferences. 2 Select a user, group, or computer account in the account list, then click the Finder preference icon. 3 Click the Preferences tab and select a management setting (Once or Always). 4 Under “New Finder window shows,” specify the items you want to display. Select Home to show items in the user’s home directory Select Computer to show the top-level directory, which includes local disks and mounted volumes. 5 Select “Always open folders in a new window” to display folder contents in a separate window when a user opens a folder. Normally, Mac OS X users can browse through a series of folders using a single Finder window. 6 Select “Always open windows in Column View” to maintain a consistent view among windows. 7 Click Apply Now.298 Chapter 6 Making File Extensions Visible A file extension usually appears at the end of a file name (for example, “.txt” or “.jpg”). Applications use the file extension to identify the file type. To make file extensions visible: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Finder preference icon. 5 Click the Preferences tab and select a management setting (Once or Always). 6 Select “Always show file extensions.” 7 Click Apply Now. Selecting the User Environment You can select either the regular Finder or the Simplified Finder as the user environment. The regular Finder looks and acts like the standard Mac OS X desktop. The Simplified Finder uses panels and large icons to provide users with an easy-to-navigate interface. To set the user environment: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Finder preference icon. 5 Click the Preferences tab and select a management setting (Once or Always). 6 Select either “Use normal Finder” or “Use Simplified Finder to limit access to the computer.” 7 Click Apply Now. Hiding the Alert Message When a User Empties the Trash Normally, a warning message appears when a user empties the Trash. If you do not want users to see this message, you can turn it off. To hide the Trash warning message: 1 Open Workgroup Manager.Client Management: Mac OS X 299 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Finder preference icon. 5 Click the Preferences tab and select a management setting (Once or Always). 6 Deselect “Show warning before emptying the Trash.” 7 Click Apply Now. Finder Commands Preferences Commands in Finder menus and the Apple menu allow users to easily connect to servers or restart the computer, for example. In some situations, you may want to limit user access to these commands. Workgroup Manager lets you control whether or not certain commands are available to users. Controlling User Access to an iDisk If users want to connect to an iDisk, they can use the “Go to iDisk” command in the Finder’s Go menu. If you don’t want users to see this menu item, you can hide the command. To hide the “Go to iDisk” command: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Finder preference icon. 5 Click Commands and set the management setting to Always. 6 Deselect “Go to iDisk.” 7 Click Apply Now. Controlling User Access to Remote Servers Users can connect to a remote server by using the “Connect to Server” command in the Finder’s Go menu and providing the server’s name or IP address. If you don’t want users to have this menu item, you can hide the command. To hide the “Connect to Server” command: 1 Open Workgroup Manager.300 Chapter 6 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Finder preference icon. 5 Click Commands and set the management setting to Always. 6 Deselect “Connect to Server.” 7 Click Apply Now. Controlling User Access to Folders Users can open a specific folder by using the “Go to Folder” command in the Finder’s Go menu and providing the folder’s path name. If you don’t want users to have this privilege, you can hide the command. To hide the “Go to Folder” command: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Finder preference icon. 5 Click Commands and set the management setting to Always. 6 Deselect “Go to Folder.” 7 Click Apply Now. Preventing Users From Ejecting Disks If you don’t want users to be able to eject disks (for example, CDs, DVDs, floppy disks, or FireWire drives), you can hide the Eject command in the Finder’s File menu. To hide the Eject command: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Finder preference icon.Client Management: Mac OS X 301 5 Click Commands and set the management setting to Always. 6 Deselect Eject. 7 Click Apply Now. Hiding the Burn Disc Command in the Finder On computers with appropriate hardware, users can “burn discs” (write information to recordable CDs or DVDs). If you don’t want users to have this privilege, you can hide the Burn Disc command in the Finder’s File menu. To hide the Burn Disc command: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Finder preference icon. 5 Click Commands and set the management setting to Always. 6 Deselect “Burn Disc.” 7 Click Apply Now. To prevent users from using or burning recordable CDs or DVDs, use settings in the Media Access panes. Only computers with a CD-RW drive, Combo drive, or Superdrive can burn CDs. The Burn Disc command will work only with CD-R, CD-RW, or DVD-R disks. Only a Superdrive can burn DVDs. Removing Restart and Shut Down Commands From the Apple Menu If you don’t want to allow users to restart or shut down the computers they are using, you can remove the Restart and Shut Down commands from the Apple menu. To hide the Restart and Shut Down commands: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Finder preference icon.302 Chapter 6 5 Click Commands and set the management setting to Always. 6 Deselect “Restart/Shut Down.” 7 Click Apply Now. As an additional preventive measure, you can also remove the Restart and Shut Down buttons from the login window using settings for Login preferences. See “Managing Login Preferences” on page 305 for instructions. Finder Views Preferences Finder Views allow you to adjust the arrangement and appearance of items on a user’s desktop, in Finder windows, and in the top-level directory of the computer. Adjusting the Appearance and Arrangement of Desktop Items Items on a user’s desktop appear as icons. You can control the size of desktop icons and how they are arranged. To set preferences for the desktop view: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Finder preference icon. 5 Click Views, then select a management setting (Once or Always). This setting applies to options in all three view tabs. 6 Click Desktop View. 7 Drag the slider to adjust icon size. 8 Select how you want to arrange icons on the user’s desktop. Select “None” to allow users to place items anywhere on the desktop. Select “Always snap to grid” to keep items aligned in rows and columns. Select “Keep arranged by,” then choose a method from the arrangement pop-up menu. You can arrange items by name, creation or modification date, size, or kind (for example, all folders grouped together). 9 Click Apply Now.Client Management: Mac OS X 303 Adjusting the Appearance of Finder Window Contents Items in Finder windows can be viewed in a list or as icons. You can control aspects of how these items look, and you can also control whether or not to show the toolbar in a Finder window. Default View settings control the overall appearance of all Finder windows. Computer View settings control the view for the top-level computer directory showing hard disks and disk partition, external hard disks, mounted volumes, and removable media (such as CDs or floppy disks). To set preferences for the default and computer views: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Finder preference icon. 5 Click Views, then select a management setting (Once or Always). This setting applies to options in all three view tabs. 6 Click Default View. 7 Drag the Icon View slider to adjust icon size. 8 Select how you want to arrange icons. Select None to allow users to place items anywhere on the desktop. Select “Always snap to grid” to keep items aligned in rows and columns. Select “Keep arranged by,” then choose a method from the arrangement pop-up menu. You can arrange items by name, creation or modification date, size, or kind (for example, all folders grouped together). 9 Adjust List View settings for the default view. If you select “Use relative dates,” an item’s creation or modification date is displayed as “Today” instead of “4/12/02,” for example. If you select “Calculate folder sizes,” the computer calculates the total size of each folder shown in a Finder window. This can take some time if a folder is very large. Select a size for icons in a list. 10 Select “Show toolbar in Finder windows” if you want the user to see the toolbar.304 Chapter 6 11 Click Computer View and adjust Icon View and List View settings for the computer view. Available settings are similar to those available for the default view described in steps 5 through 9. 12 Click Apply Now. Managing Internet Preferences Internet preferences let you set email and Web browser options. Setting Email Preferences Email settings let you specify a preferred email application and supply information for the email address, incoming mail server, and outgoing mail server. To set email preferences: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Internet preference icon. 5 Click Email and select a management setting (Once or Always). 6 To set the default email reader, click Set and choose the email application you prefer. 7 Type information for the email address, incoming mail server, and outgoing mail server. 8 Select an email account type (either POP or IMAP). 9 Click Apply Now. Setting Web Browser Preferences Use Web settings in Internet preferences to specify a preferred Web browser and a place to store downloaded files. You can also specify a starting point URL for your browser using the Home Page location. Use the Search Page location to specify a search engine URL. To set Web preferences: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password.Client Management: Mac OS X 305 4 Select a user, group, or computer account in the account list, then click the Internet preference icon. 5 Click Web and select a management setting (Once or Always). 6 To set the Default Web Browser, click Set and choose a preferred Web browser application. 7 Type a URL for the Home Page. This is the page a user sees when a browser opens. 8 Type a URL for the Search Page. 9 Type a folder location for storing downloaded files, or click Set to browse for a folder. 10 Click Apply Now. Managing Login Preferences Use Login preferences to set user login options, provide password hints, and control the user’s ability to restart and shut down the computer from the login screen. You can also mount the group volume or make applications open automatically after a user logs in. Login Window Preferences Login Window settings affect the appearance and function of items in the login window. Deciding How a User Logs In Depending on the settings you choose, a user will see either a name and password text field or a list of users in the login window. These settings apply only to computer accounts. To set up how a user logs in: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a computer account in the account list, then click the Login preference icon. 5 Click Login Window and set the management setting to Always. 6 Select how the user logs in. To require the user to type his or her username and password, select “Name and password entry fields.” To allow a user to select his or her name from a list, select “List of users able to access this computer.” 7 If you decide to use a list of users, select categories of users you want to display in the list.306 Chapter 6 Select “Show local users” to include local user accounts in the list. Select “Show network users” to include network users in the list. Select “Show administrators” to include users with administrator privileges in the list. If you allow unknown users, you can select “Show other users.” 8 Click Apply Now. Helping Users Remember Passwords You can use a “hint” to help users remember their passwords. After three consecutive attempts to log in with an incorrect password, a dialog box displays the hint you created. To show a password hint: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Login preference icon. 5 Click Login Window and set the management setting to Always. 6 Select “Show password hint after 3 attempts to enter a password.” 7 Click Apply Now. Preventing Restarting or Shutting Down the Computer at Login Normally, the Restart and Shut Down buttons appear in the login window. If you don’t want the user to restart or shut down the computer, you should hide these buttons. You may also want to hide the Restart and Shut Down commands in the Finder menu. See “Managing Finder Preferences” on page 296 for instructions. Check the Commands pane of Finder preferences and make sure “Restart/Shut Down” is not selected. To hide the Restart and Shut Down buttons: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Login preference icon. 5 Click Login Window and set the management setting to Always.Client Management: Mac OS X 307 6 Select “Hide Restart and Shut Down buttons in the Login Window.” 7 Click Apply Now. Login Items Preferences Settings for Login Items allow you to open applications or mount the group volume automatically for the user. Opening Applications Automatically After a User Logs In You can have frequently used applications ready for use shortly after a user logs in. If you open several items, you can hide them after they open. This prevents excess clutter on the user’s screen, but the applications remain open and accessible. As the listed applications open, they “stack” on top of each other in the Finder. The last item in the list is closest to the front of the Finder. For example, if you have three items in the list and none of them are hidden, the user sees the menu bar for the last item opened. If an application has open windows, they may overlap windows from other applications. To make applications open automatically: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Login preference icon. 5 Click Login Items and select a management setting (Once or Always). 6 To add an item to the list, click Add. 7 Select the Hide checkbox for any item you don’t want the user to see right away. The application remains open, but its windows and menu bar remain hidden until the user activates the application (for example, by clicking its icon in the Dock). 8 Deselect “User may add and remove additional login items” if you do not want users to have this privilege. Users cannot remove items added to this list by an administrator, but users can remove items they’ve added themselves. 9 To prevent users from stopping applications that open automatically at login, deselect “User may press Shift to keep applications from opening.” 10 Click Apply Now.308 Chapter 6 Managing Media Access Preferences Media Access preferences let you control settings for and access to CDs, DVDs, the local hard drive, and external disks (for example, floppy disks and FireWire drives). Media Access Disc Media Preferences Disc Media settings affect only CDs, DVDs, and recordable discs (for example, a CD-R, CDRW, or DVD-R). Computers that do not have appropriate hardware to use CDs, DVDs, or recordable discs are not affected by these settings. Controlling Access to CDs and DVDs If a computer can play or record CDs or DVDs, you can control what type of media users can access. You cannot restrict access to individual CDs or DVDs or specific items on them. You can, however, choose not to allow any CDs or DVDs. You can also limit access by requiring an administrator’s user name and password. To control access CDs and DVDs: 1 Open Workgroup Manager and click Preferences. 2 Select a user, group, or computer account in the account list, then click the Media Access preference icon. 3 Set the management setting to Always. This setting applies to all Media Access preference options. 4 Click Disc Media. 5 Choose settings for CDs and CD-ROMs. Select the Allow checkbox next to CDs & CD-ROMs to let users access music, data, or applications on compact discs. To restrict access to compact discs, select Require Authentication to require an administrator user name and password. To prevent access to all compact discs, deselect Allow. 6 Choose settings for DVDs. Select the Allow checkbox next to DVDs to let users access movies and other information on digital video discs. To restrict access to DVDs, select Require Authentication to require an administrator user name and password. To prevent access to all DVDs, deselect Allow. 7 Click Apply Now.Client Management: Mac OS X 309 Controlling the Use of Recordable Discs If a computer has the appropriate hardware, users can “burn discs” or write information to a recordable disc such as a CD-R, CD-RW, or DVD-R. Users can burn CDs on computers with a CD-RW drive, Combo drive, or Superdrive. Users can burn DVDs only on computers with a Superdrive. If you want to limit the ability to use recordable media, you can require an administrator’s user name and password. Alternatively, you could allow users to read information on a recordable disc, but not allow them to burn a disc themselves. To control the use of recordable discs: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Media Access preference icon. 5 Set the management setting to Always. This setting applies to all Media Access preference options. 6 Click Disc Media. 7 Select options for recordable media. Select the Allow checkbox next to Recordable Discs to let users use a CD-R, CD-RW, or DVD-R disc. Select the Authentication checkbox to require an administrator password to use the disc. To prevent users from recording information to compact discs or DVD-R discs, deselect Allow. 8 Click Apply Now. Media Access Other Media Preferences Settings in the Other Media pane affect internal hard disks and external disks other than CDs or DVDs. Controlling Access to Hard Drives and Disks Media Access settings selected in the Other Media pane let you control access to both a computer’s hard disk and any external disks other than CDs and DVDs. If you don’t allow access to external disks, users cannot use floppy disks, Zip disks, FireWire hard drives, or other external storage devices.310 Chapter 6 To restrict access to internal and external disks: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Media Access preference icon. 5 Set the management setting to Always. This setting applies to all Media Access preference options. 6 Click Other Media. 7 Select options for Internal Disks (the computer’s hard disk and disk partitions). Select the Authentication checkbox to require a password to access the hard disk. Deselect the Allow checkbox to prevent users access to the hard disk. If you select the Read-Only checkbox, users can view the contents of the hard disk but cannot modify them or save files on the hard disk. 8 Select options for External Disks (other than CDs or DVDs). Select the Authentication checkbox to require a password to access external disks. Deselect the Allow checkbox to prevent access to external disks. If you select the Read-Only checkbox, users can view the contents of external disks but cannot modify them or save files on external disks. 9 Click Apply Now. Ejecting Items Automatically When a User Logs Out On computers used by more than one person, such as in a computer lab, users may sometimes forget to take their personal media with them when they leave. If they do not eject disks, CDs, or DVDs when they log out, these items may be available to the next user who logs in. If you allow users to access CDs, DVDs, or external disks, such as Zip disks or FireWire drives, on shared computers, you may want to make computers eject removable media automatically when a user logs out. To eject removable media automatically: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences.Client Management: Mac OS X 311 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Media Access preference icon. 5 Set the management setting to Always. This setting applies to all Media Access preference options. 6 Click Other Media. 7 Select “Eject all removable media at logout.” 8 Click Apply Now. Managing Printing Preferences Use Printing preferences to create printer lists and manage access to printers. Printer List Preferences Printer List settings let you create a list of available printers and control the user’s ability to add additional printers or access a printer connected directly to a computer. Making Printers Available to Users To give users access to printers, you first need to set up a printer list. Then, you can allow specific users or groups to use printers in that list. You can also make printers available to computers. A user’s final list of printers is a combination of printers available to the user, the group selected at login, and the computer being used. To create a printer list for users: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Printing preference icon. 5 Select a management setting (Once or Always). This setting applies to all Printing preference options. 6 Click Printer List. 7 The Available Printers list is created from the list of available network printers in the Print Center application.312 Chapter 6 Select a printer in the Available Printers list, then click “Add to List” to make that printer available in the User’s Printer List. If the printer you want doesn’t appear in the Available Printers list, click Open Print Center and add the printer to Print Center’s printer list. 8 Click Apply Now. Preventing Users From Modifying the Printer List If you want to limit a user’s ability to modify a printer list, you can require an administrator’s user name and password in order to add new printers. You can also remove this privilege outright. To restrict access to the printer list: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Printing preference icon. 5 Select a management setting (Once or Always). This setting applies to all Printing preference options. 6 Click Printer List. 7 If you want only administrators to modify the printer list, select “Require an administrator password.” 8 If don’t want any user to modify the printer list, deselect “Allow users to add printers to the Printer list.” 9 Click Apply Now. Restricting Access to Printers Connected to a Computer In some situations, you want only certain users to print to a printer connected directly to their computers. For example, if you have a computer in a classroom with a printer attached, you can reserve that printer for teachers only by making the teacher an administrator and requiring an administrator’s user name and password to access the printer. To restrict access to a printer connected to a specific computer: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences.Client Management: Mac OS X 313 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Printing preference icon. 5 Select a management setting (Once or Always). This setting applies to all Printing preference options. 6 Click Printer List. 7 If you want only administrators to use the printer, select “Require an administrator password.” 8 If don’t want any user to access the printer, deselect “Allow printers that connect directly to the user’s computer.” 9 Click Apply Now. Printer Access Preferences Access settings let you specify a default printer and restrict access to specific printers. Setting a Default Printer Once you have set up a printer list, you can specify one printer as the default printer. Any time a user tries to print a document, this printer is the preferred selection in an application’s printer dialog box. To set the default printer: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Printing preference icon. 5 Select a management setting (Once or Always). This setting applies to all Printing preference options. 6 Click Access. 7 Select a printer in the user’s printer list, then click Make Default. 8 Click Apply Now. Restricting Access to Printers You can require an administrator’s user name and password in order to print to certain printers.314 Chapter 6 To restrict access to a specific printer: 1 Open Workgroup Manager. 2 Use the At pop-up menu to find the directory domain that contains the account you want, then click Preferences. 3 Click the lock and enter your user name and password. 4 Select a user, group, or computer account in the account list, then click the Printing preference icon. 5 Select a management setting (Once or Always). This setting applies to all Printing preference options. 6 Click Access. 7 Select a printer in the user’s printer list, then select “Require administrator password.” 8 Click Apply Now.315 C H A P T E R 7 7 Print Service Print service lets you share network printers for clients of the Mac OS X Server. You share printers by setting up print queues for them. When users submit print jobs to a shared printer, the jobs are automatically sent to the printer’s queue, where they are held until the printer becomes available or criteria you set up have been met. For example, you can m set the priority of print jobs in a queue m hold the printing of a job for a particular time of day m place a job on hold indefinitely The following applications help you administer print service: m The Print module of Server Settings lets you configure general print service settings, set up how print queues are shared, and manage print jobs submitted to shared printers. m Server Status lets you monitor the status of print jobs. m The Accounts module of Workgroup Manager lets you set print quotas for users.316 Chapter 7 What Printers Can Be Shared? Mac OS X Server supports PostScript-compatible printers connected to your network using AppleTalk or the Line Printer Remote (LPR) protocol. Mac OS X Server also supports PostScript-compatible printers connected directly to your server by means of a Universal Serial Bus (USB) connection. Mac OS X Server Ethernet USB AppleTalk PostScript printer LPR PostScript printer PostScript printerPrint Service 317 Who Can Use Shared Printers? Shared printers can be used over the network by users who submit print jobs using AppleTalk, LPR, or Server Message Block (SMB) protocols: Macintosh computers support AppleTalk and LPR. Windows computers use LPR and SMB. UNIX computers use LPR. See “Setting Up Printing on Client Computers” on page 323. Setup Overview Here is an overview of the basic steps for setting up print service: Step 1: Read “Before You Begin” Read “Before You Begin” on page 319 for issues that you should consider before setting up print service. Mac OS X user (printers selected using Print Center) Mac OS 9 user (printers selected using Desktop Printer Utility) UNIX user user (printers selected using Print Center) Mac OS 8 and Mac OS 9 users (printers selected using Desktop Printer Utility) UNIX user Windows NT and Windows 2000 users Windows NT and Windows 2000 users Windows 95, 98, and ME users Mac OS X Server LPR AppleTalk SMB318 Chapter 7 Step 2: Start up and configure print service Use Server Settings to start up and configure the print service. Print service configuration lets you set options that apply to all print queues that you are sharing—for example, starting print service automatically when the server starts up. See “Starting Up and Configuring Print Service” on page 319. Step 3: Add printers and configure their print queues You make printers available to users by adding them to the server using the Print module of Server Settings. When you add a printer, a print queue is created automatically. Users see these print queues as printers from their desktops. You then configure the print queues, also using the Print module of Server Settings. See “Adding Printers” on page 320 and “Configuring Print Queues” on page 320. Step 4: (Optional) Add print queues to a shared Open Directory domain You can add print queues to a shared Open Directory domain for users of Mac OS X computers that have access to the domain. This makes it easier for Mac OS X client users to locate shared printers because these print queues show up automatically in Print Center Directory Services lists. See “Adding Print Queues to Shared Open Directory Domains” on page 321. Step 5: (Optional) Set print quotas for users If you want to limit the number of pages users can print, set print quotas for user accounts and enforce quotas on print queues. See “Setting Up Print Quotas” on page 322. Step 6: Set up printing on client computers Mac OS X clients: Add one or more print queues to users’ printer lists using Print Center. Mac OS 9 and Mac OS 8 clients: Use the Chooser to add AppleTalk printers or use Desktop Printer Utility to add LPR printers to the clients’ desktops. Windows clients: If you have Windows clients using SMB, you need to make sure Windows services are running and that at least one print queue is available for SMB users. UNIX clients: Most UNIX systems support LPR. Some configuration may be required. Refer to the manufacturer’s documentation on setting up LPR printers or consult your UNIX administrator. See “Setting Up Printing on Client Computers” on page 323.Print Service 319 Before You Begin Before you set up print service, determine which protocols are used for printing by client computers. When you configure a print queue, you will need to enable each of the required protocols. Print service supports the following protocols: m AppleTalk m Line Printer Remote (LPR) m Server Message Block (SMB) See “Setting Up Printing on Client Computers” on page 323. Security Issues In general, AppleTalk and LPR printers do not have any provisions for security. Windows services require that users log in by providing a user name and password before using SMB printers. See “Windows User Password Validation” on page 236. Setting Up Print Service The following sections tell you how to configure your server’s print service, and how to create and configure print queues for the server. Starting Up and Configuring Print Service Use the Print module of Server Settings to start up and configure print service. To start up and configure print service: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Start Print Service. 3 Click Print again and choose Configure Print Service. 4 Select “Start print service at system startup” if you want print service to start automatically when the server starts up. 5 Select “Automatically share new queues for Windows printing” if you want Windows users who print using the SMB protocol to be able to automatically use new print queues that you create using Print Center. If you select this option, make sure that Windows services are running. See “Starting Windows Services” on page 240. 6 Choose the default queue for LPR print jobs. Using a default queue simplifies the setup for printing from client computers. See “Selecting a Default Print Queue” on page 329.320 Chapter 7 If you choose None, print jobs sent to the default queue will not be accepted by the server (and therefore will not be printed). 7 Select “Server log” if you want to archive the print service log file. Specify how often (by entering the number of days) you want to archive the current log and start a new one. 8 Select “Queue logs” if you want to archive the print queues’ log files. Specify how often (by entering the number of days) you want to archive the current log and start a new one. Adding Printers You can share any PostScript-compatible printer that has a queue defined for it on the server. You use the Print module of Server Settings to “add” printers to the server. When you add a printer, the print queue is created automatically. Note: You do not need to “add” USB printers connected directly to the server. Queues for USB printers are created automatically without that step. To add a printer and create a print queue: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor. 3 Click New Queue. 4 Choose the protocol used by the printer you want to add from the pop-up menu. 5 For “AppleTalk” or “Directory Services” printers, select a printer in the list and click Add. For “LPR Printers using IP,” enter the printer Internet address or DNS name, select whether to use the default queue on the server, enter the queue name, and click Add. If you want to print from the server, set up a print queue on the server using Print Center. Configuring Print Queues You configure a print queue to specify which protocols to use to share the queue and to specify the default settings for new print jobs. You can also change the name of the queue. To configure a print queue: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor. 3 Select the print queue you want to configure and click Edit. 4 If you want users to see a name other than the Print Center queue name, enter a name in the Queue Name field. Entering a queue name does not change the Print Center queue name. Print Service 321 You’ll probably need to change the queue name if users who print to your queues have restrictions on printer names they can use. For example, some LPR clients do not support names that contain spaces, and some Windows clients restrict names to 12 characters. Queue names shared via LPR or SMB should not contain characters other than A – Z, a – z, 0 – 9, and “_” (underscore). AppleTalk queue names cannot be longer than 32 bytes (which may be fewer than 32 typed characters). Note that the queue name is encoded according to the language used on the server and may not be readable on client computers using another language. 5 Select the protocols used for printing by your client computers. If you select “Windows printing (SMB),” make sure Windows services are running. See “Starting Windows Services” on page 240. 6 If you want to add the queue to a shared Open Directory domain, choose a shared domain from the pop-up menu, then enter the user name and password for the administrator of the server on which the domain resides. This allows users of Mac OS X computers configured to access the domain to print to the queue by choosing it from the Directory Services printer list in Print Center (rather than having to manually enter the LPR print host and queue name). Note: After sharing a print queue in an Open Directory domain, do not try to add the queue from the Directory Services list to your server. 7 Choose the default job priority for new print jobs in this queue. 8 Select Hold to postpone printing all new jobs that arrive in the queue. Specify a time of day to print the jobs, or choose to postpone printing indefinitely. 9 Select “Enforce print quotas” if you want to enforce the user print quotas for the printer. Adding Print Queues to Shared Open Directory Domains If you add a print queue to a shared Open Directory domain, users of Mac OS X computers that are configured to access the domain can print to the queue by choosing it from the Directory Services printer list in Print Center (rather than having to manually enter the LPR print host and screen name). To add a print queue to a shared Open Directory domain: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor. 3 Select the queue you want to add and click Edit. 4 Choose a shared domain from the “Share LPR Queue in Domain” pop-up menu. Enter the user name and password for the administrator of the server on which the domain resides.322 Chapter 7 The Open Directory printer is named using the queue name defined in the Print module of Server Settings. LPR clients do not support names that contain spaces, and some Windows clients restrict names to 12 characters. Queue names shared via LPR or SMB should not contain characters other than A – Z, a – z, 0 – 9, and “_” (underscore). AppleTalk queue names cannot be longer than 32 bytes (which may be fewer than 32 typed characters). Note that the queue name is encoded according to the language used on the server and may not be readable on client computers using another language. Note: After sharing a print queue in an Open Directory domain, do not try to add the queue from the Directory Services list to your server. Setting Up Print Quotas There are two parts to setting up print quotas—specifying the quotas in users’ accounts and enforcing the quotas for the print service. You use the Users & Groups module of Workgroup Manager to set up print quotas for a user. You can set specific quotas for each print queue or you can define a single quota that applies to all print queues (that are enforcing quotas) to which a user has access. See “Working With Print Settings for Users” on page 151. You use Server Settings to “turn on” the enforcement of users’ print quotas that you’ve defined for a print queue. If you do not enforce print quotas, users can print an unlimited number of pages to the queue. Enforcing Quotas for a Print Queue Unless you enforce quotas for a print queue, users will have unlimited printing capabilities even if print quotas are defined for the users’ accounts. To enforce quotas for a print queue: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor. 3 Select the print queue and click Edit. 4 Select “Enforce print quotas” to enforce the user print quotas for the print queue. Print Service 323 Setting Up Printing on Client Computers Mac OS X Clients Mac OS X users must add shared print queues to their Print Center printer lists before they can use the queues. Mac OS X supports both AppleTalk and LPR printers. Users can also add print queues in Open Directory domains accessible from the Mac OS X computer. If a Mac OS X client is having trouble printing, see “Solving Problems” on page 334. Adding a Print Queue in Mac OS X Using AppleTalk You use the Print Center to add print queues to a computer’s printer lists. Print Center is usually located in the Utilities folder of the Applications folder. To add a print queue using AppleTalk: 1 Open the Print Center and click Add Printer. 2 Choose AppleTalk from the pop-up menu. 3 Select a printer from the list and click Add. Adding a Print Queue in Mac OS X Using LPR You use the Print Center to add print queues to a computer’s printer lists. Print Center is usually located in the Utilities folder of the Applications folder. To add a print queue using LPR: 1 Open the Print Center and click Add Printer. 2 Choose “LPR Printers using IP” from the pop-up menu. 3 Enter the server’s DNS name or IP address in the LPR Printer’s Address field. To use the default queue, select the “Use Default Queue on Server” option. If the server does not have a default LPR queue defined or you do not want to use the default queue, remove the checkmark and enter a queue name in the Queue Name field. 4 Choose a description of the printer from the Printer Model pop-up menu, then click Add. Adding a Print Queue From an Open Directory Domain You use the Print Center to add print queues to a computer’s printer lists. Print Center is usually located in the Utilities folder of the Applications folder. To add a print queue from an Open Directory domain: 1 Open the Print Center and click Add Printer. 2 Choose Directory Services from the pop-up menu. 3 Select a queue, then click Add.324 Chapter 7 Mac OS 8 and Mac OS 9 Clients Mac OS 8 and 9 support both AppleTalk and LPR printers. Users can set up printing to a server print queue by using the Chooser for AppleTalk printers or Desktop Printer Utility for LPR printers. (The Desktop Printer Utility is usually located in the LaserWriter Software folder in the Apple Extras folder or in the Utilities folder in the Applications folder.) If a Mac OS 8 or 9 client is having trouble printing, see “Solving Problems” on page 334. Setting Up Printing on Mac OS 8 or 9 Client for an AppleTalk Printer You use the Chooser to set up AppleTalk printers. To set up printing for an AppleTalk printer: 1 Open the Chooser. 2 Select the LaserWriter 8 icon or the icon for your printer’s model. The LaserWriter 8 icon works well in most cases. Use a printer-specific icon, if available, to take advantage of special features that might be offered by that printer. 3 Select the print queue from the list on the right. 4 Close the Chooser. Setting Up Printing on Mac OS 8 or 9 Clients for an LPR Printer You use the Desktop Printer Utility to set up LPR printers. To set up printing for an LPR printer: 1 Open the Desktop Printer Utility and select Printer (LPR). Click OK. 2 In the PostScript printer Description (PPD) File section, click Change and select the PPD file for the printer. Choose Generic if you do not know the printer type. 3 In the LPR Printer Selection section, click Change and enter the server’s IP address or domain name in the Printer Address field. 4 Enter the name of a print queue on the server that is configured for sharing via LPR. Leave the field blank if you want to print to the default LPR queue. 5 Click Verify to confirm that print service is accepting jobs via LPR. 6 Click OK, then Create. 7 Enter a name and location for the desktop printer icon, and click Save. The default name is the printer’s IP address, and the default location is the Desktop.Print Service 325 Windows Clients To enable printing by Windows users who submit jobs using SMB, make sure Windows services are running and that one or more print queues are available for SMB use. See “Starting Windows Services” on page 240 and “Adding Printers” on page 320. All Windows computers—including Windows 95, Windows 98, Windows Millennium Edition (ME), and Windows XP—support SMB for using printers on the network. Windows 2000 and Windows NT also support LPR. Note: Third-party LPR drivers are available for Windows computers that do not have built-in LPR support. If a Windows client is having trouble printing, see “Solving Problems” on page 334. UNIX Clients UNIX computers support LPR for connecting to networked printers without the installation of additional software. If a UNIX client is having trouble printing, see “Solving Problems” on page 334. Managing Print Service This section tells you how to perform day-to-day management tasks for print service once you have it up and running. Monitoring Print Service Server Status lets you monitor all services on a Mac OS X server. If you want to make changes to print service, use Server Settings. To monitor print service: 1 In Server Status, locate the name of the server you want to monitor in the Devices & Services list and select Print in the list of services under the server name. If the services aren’t visible, click the arrow to the left of the server name. 2 Click the Overview tab to see if print service is running, the time it started if it is running, and the number of queues. 3 Click the Logs tab to see print service logs for the system and for individual print queues. Use the Show pop-up menu to choose which log to view. 4 Click Queues to see the status of print queues. The table includes the name of the printer, type of print queue, number of jobs, sharing, and status for each queue.326 Chapter 7 Stopping Print Service You use the File & Print pane in Server Settings to stop print service. To stop print service: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Stop Print Service. Setting Print Service to Start Automatically You can set print service to start automatically when the server starts up. To start print service automatically when the server starts up: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Configure Print Service. 3 Select “Start Print Service at system startup.” Managing Print Queues This section tells you how to perform day-to-day management of print queues. Monitoring a Print Queue Server Status lets you monitor all services on a Mac OS X server. The Queues pane lists the queues for the print service and tells you the name or kind of printer, how many jobs are pending, how the printer is shared, whether a job is printing, and, if so, the status of that job. If you want to make changes to a print queue, use Server Settings. To monitor a print queue: 1 In Server Status, locate the name of the server you want to monitor in the Devices & Services list and select Print in the list of services under the server name. If the services aren’t visible, click the arrow to the left of the server name. 2 Click the Queues tab to see the status of the print queues. The table includes the name of the printer, type of print queue, number of jobs, sharing, and status for each queue.Print Service 327 Putting a Print Queue on Hold (Stopping a Print Queue) To prevent jobs in a queue from printing, put the print queue on hold. Printing of all jobs waiting to print is postponed. New jobs are still accepted but won’t be printed until the queue is started up again and the jobs ahead of it (of the same or higher priority) are printed. If a job is printing, it is canceled and reprinted from the beginning when the queue is restarted. To put a print queue on hold: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor. 3 Select the print queue you want to hold and click Hold. Restarting a Print Queue If you put a print queue on hold, restart the print queue to resume printing for all jobs that have not been put on hold individually. If a job was in the middle of printing when you put the print queue on hold, that job will be printed again from the beginning. To restart a print queue that’s been put on hold: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor. 3 Select the queue and click Release in the Print Monitor window. Changing a Print Queue’s Configuration Use the Server Settings Print Monitor to view and change a print queue’s configuration. Note: When you change a print queue’s configuration, the queue may become unavailable to users. You may need to alert users to set up client computers to use the queue again. To change a print queue’s configuration: 1 In Server Settings, click the File & Print tab. 2 Click Print, and choose Show Print Monitor. 3 Select the print queue you want to change and click Edit. 4 If you want users to see a name other than the Print Center queue name, enter a name in the Queue Name field. Entering a queue name does not change the Print Center queue name. You’ll probably need to change the queue name if users who print to your queues have restrictions on printer names they can use. For example, some LPR clients do not support names that contain spaces, and some Windows clients restrict names to 12 characters. 328 Chapter 7 Note: If you change the name of a print queue that has already been shared, print jobs sent by users to the old queue name will not be printed. Users will need to set up their computers again to use the queue with its new name. 5 Select the protocols used for printing by your client computers. If you select “Windows printing (SMB),” make sure Windows services are running. See “Starting Windows Services” on page 240. 6 If you want to add the queue to a shared Open Directory domain, choose a shared domain from the pop-up menu, then enter the user name and password for the administrator of the server on which the domain resides. This allows users of Mac OS X computers configured to access the domain to print to the queue by choosing it from the Directory Services printer list in Print Center (rather than having to manually enter the LPR print host and queue name). Note: After sharing a print queue in an Open Directory domain, do not try to add the queue from the Directory Services list to your server. 7 Choose the default job priority for new print jobs in this queue. 8 Select Hold to postpone printing all new jobs that arrive in the queue. Specify a time of day to print the jobs, or choose to postpone printing indefinitely. 9 Select “Enforce print quotas” if you want to enforce the user print quotas for the printer. Renaming a Print Queue When you add a printer in Print Center, the default name of the queue created for it is the same as the printer name. Note: If you change the name of a print queue that has already been shared, print jobs sent by users to the old queue name will not be printed. Users will need to set up their computers again to use the queue with its new name. To rename a print queue: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor. 3 Select the print queue you want to rename and click Edit. 4 Enter a new name in the Queue Name field. Entering a queue name does not change the Print Center queue name. Print Service 329 Selecting a Default Print Queue Specifying a default print queue simplifies setup for printing from client computers to LPR print queues. Users can choose to print to the default queue rather than having to enter the IP address of a specific queue. To select a default print queue: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Configure Print Service. 3 Choose the queue you want to make the default queue from the “Default Queue for LPR” pop-up menu. Deleting a Print Queue When you delete a print queue, any jobs in the queue that are waiting to print are also deleted. Note: If a job is printing, it is canceled immediately. To avoid abruptly canceling users’ print jobs, you can turn off sharing a queue until all jobs have finished printing and then delete the queue. To delete a print queue: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor. 3 Select the print queue you want to delete and click Delete. Managing Print Jobs This section tells you how to perform day-to-day management of print jobs. Monitoring a Print Job You monitor individual print jobs using the Queue Monitor window of Server Settings. To monitor a print job: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor. 3 Select the queue and click Show Queue Monitor.330 Chapter 7 The Queue Monitor window displays all the current print jobs in priority order. It also indicates the current status of the active (printing) job, the name of the user who submitted each job, and the number of pages and sheets in each job. The number of pages is the number of pages in the document. The number of sheets is the physical number of pages in the queue, which reflects the number of copies or the number of pages printed on one sheet of paper. For example, a Page/Sheets value of 4/20 appears if a user prints five copies of a four-page document. Stopping a Print Job You can stop a job from printing by putting it or the queue in which it resides on hold. To put a single print job on hold, see the following section. To put a print queue on hold to stop jobs from printing, see “Putting a Print Queue on Hold (Stopping a Print Queue)” on page 327. Putting a Print Job on Hold When you put a print job on hold, it is not printed until you take it off hold or until the date and time you set it to be printed has been reached. If the job has already started to print, printing stops and the job remains in the queue. When you take the job off hold, printing starts from the beginning of the job. Use Shift-click or Command-click to select multiple jobs and put them all on hold at the same time. To put a print job on hold: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor. 3 Select the queue containing the job, then click Show Queue Monitor. 4 Select the job and click Hold. 5 If you want to take the job off hold automatically at a certain time, click Set Priority, then specify the date and time to release the job for printing. If there are other jobs of equal or higher priority in the print queue when the print job is released, the actual print time will be later. Restarting a Print Job When a print job has been placed on hold, it is not printed until you restart the job or until the time you set it to be printed has been reached. Note: If you put the print queue on hold, restart the print queue to print the job.Print Service 331 To restart a print job: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor. 3 Select the queue containing the job, then click Show Queue Monitor. 4 Select the job and click Release. The job is returned to the print queue and is printed after all other jobs in the queue with the same priority. Holding All New Print Jobs You can automatically postpone printing all new jobs that arrive in a print queue. To hold new print jobs: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor. 3 Select the queue and click Edit. 4 Select the Hold checkbox. Choose Until to specify a time of day at which to print new jobs. Choose Indefinitely to postpone printing new jobs indefinitely. Setting the Default Priority for New Print Jobs When a new print job is sent to a print queue, it is assigned the priority defined for the print queue. Jobs are printed in order of priority. Urgent jobs are printed first, then Normal jobs, and finally Low jobs. To set the default priority for new print jobs in a queue: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor. 3 Select the queue and click Edit. 4 Under the “Default Settings for New Jobs” section, choose a job priority of Urgent, Normal, or Low. Changing a Print Job’s Priority When a print job arrives in a queue, it is assigned the default priority for that queue. You can override the default by changing the priority for the individual print job. To change a print job’s priority: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor.332 Chapter 7 3 Select the queue containing the job, then click Show Queue Monitor. 4 Select the job and click Set Priority. 5 Select the priority you want to assign to the job. Urgent jobs are printed first, then Normal jobs, and finally Low jobs. The job is printed after any other job in the queue with the same priority. Deleting a Print Job If a job is printing at the time you delete it, the job will stop printing after the pages in the printer’s hardware buffer have been printed. To delete a print job: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Show Print Monitor. 3 Select the queue containing the job, then click Show Queue Monitor. 4 Select the job and click Delete. Managing Print Quotas This section tells you how to perform day-to-day management of print quotas. Suspending Quotas for a Print Queue You use the Print module of Server Settings to enforce and suspend print quotas. Suspending quotas for a print queue allows all users unlimited printing to the queue. To enforce or suspend quotas for a print queue: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Configure Print Service. 3 Select the print queue and click Edit. 4 Deselect the “Enforce print quotas” option. To enforce print quotas again, select the “Enforce print quotas” option again. Managing Print Logs This section tells you how to view and archive print logs.Print Service 333 Viewing Print Logs Print service has two kinds of logs: print service and print queue. Print service logs record such events as when print service was started and stopped and when a print queue was put on hold. Separate logs for each print queue record individual print jobs, including such information as which users submitted jobs for particular printers and the size of the jobs. You can view the print service logs using Server Status. To view print service logs using Server Status: 1 In Server Status, locate the name of the server you want to monitor in the Devices & Services list and select Print in the list of services under the server name. If the services aren’t visible, click the arrow to the left of the server name. 2 Click the Logs tab to see print service logs for the system and for individual print queues. Use the Show pop-up menu to choose which log to view. Archiving Print Logs As noted, print service maintains two kinds of logs: a print service log and a log for each print queue. You can specify how often you want to archive the logs and start new ones. All logs, both current and archived, are kept in the /Library/Logs/PrintService folder. Archived files are kept until they are manually deleted by the server administrator. To specify how often to archive print logs: 1 In Server Settings, click the File & Print tab. 2 Click Print and choose Configure Print Service. 3 Select “Server log” and enter a number of days to specify how often you want to archive the print service log and start a new log. The current log file name is PrintService.server.log. Archived print service log files have the archive date appended (for example, PrintService.server.log.20021231). 4 Select “Queue logs” and enter a number of days to specify how often you want to archive each print queue log and start a new one. The log files are stored in /Library/Logs/PrintService. Individual log files are named after the print queues (for example, PrintService.myqueue.job.log). Archived print queue log files have the archive date appended (for example, PrintService.myqueue.job.log.20021231). You can view current log files using Server Status. You can use the log rolling scripts supplied with Mac OS X Server to reclaim disk space used by log files. See “Log Rolling Scripts” on page 555.334 Chapter 7 Deleting Print Log Archives The log files are stored in /Library/Logs/PrintService. You can clear out unwanted archive files by deleting them from this directory using the Finder. You can also use the log rolling scripts supplied with Mac OS X Server to reclaim disk space used by log files. See “Log Rolling Scripts” on page 555. Solving Problems Try these suggestions to solve or avoid printing problems. Print Service Doesn’t Start m If you expect print service to start automatically when the server starts up, make sure the “Start print service at system startup” option is selected in the Configure Print Service window. m To verify that the server’s serial number is entered correctly and has not expired, click the General tab, click Server Info, and choose Change Product Serial Number. m Use Server Status to review the print service log for additional information. Users Can’t Print m Check to see that print service is running. Open Server Settings and select the File & Print tab. If the print service is not running, select Print and choose Start Print Service. m Make sure that the queue users are printing to exists by opening the Print Monitor window. On Mac OS 8 or Mac OS 9 computers, use the Chooser (for AppleTalk print queues) or Desktop Printer Utility (for LPR print queues) to make sure the printer setup is correct. On Mac OS X, use the Print Center to add print queues to the printer list. m Verify that the queue users are printing to is shared correctly. SMB is for Windows users only. LPR is a standard protocol that users on (some) Windows computers, as well as on Macintosh, UNIX, and other computers, can use for printing. m Verify that Mac OS clients have TCP/IP set up correctly. m If Windows NT 4.x clients can’t print to the server, make sure that the queue name is not the TCP/IP address of the printer or server. Use the DNS host name instead of the printer or server address or, if there is none, enter a queue name containing only letters and numbers. Print Jobs Don’t Print m Check the Print Monitor window to make sure that the queue is not on hold. Open Server Settings, click the File & Print tab, click Print, and choose Show Print Monitor. m Make sure that the printer is connected to the server or to the network to which the server is connected. Print Service 335 m Make sure the printer is turned on and that there are no problems with the printer itself (out of paper, paper jams, and so on). m Review the print logs for additional information. Open Server Status, select Print under the server name in the Devices & Services list, and click the Logs tab. Print Queue Becomes Unavailable m If you changed a print queue’s name that has already been shared, print jobs sent by users to the old queue name will not be printed. Users need to set up their computers again to use the queue with its new name. See “Setting Up Printing on Client Computers” on page 323.337 C H A P T E R 8 8 Web Service Web service in Mac OS X Server offers an integrated Internet server solution. Web service is easy to set up and manage, so you don’t need to be an experienced Web administrator to set up multiple Web sites and configure and monitor your Web server. Web service in Mac OS X Server is based on Apache, an open-source HTTP Web server. A Web server responds to requests for HTML Web pages stored on your site. Open-source software allows anyone to view and modify the source code to make changes and improvements. This has led to Apache’s widespread use, making it the most popular Web server on the Internet today. Web administrators can use Server Settings to administer Web service without knowing anything about advanced settings or configuration files. Web administrators proficient with Apache can choose to administer Web service using Apache’s advanced features. In addition, Web service in Mac OS X Server includes a high-performance, front-end cache that improves performance for Web sites that use static HTML pages. With this cache, static data doesn’t need to be accessed by the server each time it is requested. Web service also includes support for Web-based Distributed Authoring and Versioning, known as WebDAV. With WebDAV capability, your client users can check out Web pages, make changes, and then check the pages back in while the site is running. In addition, the WebDAV command set is rich enough that client computers with Mac OS X installed can use a WebDAV-enabled Web server as if it were a file server. Since Web service is based on Apache, you can add advanced features with plug-in modules. Apache modules allow you to add support for Simple Object Access Protocol (SOAP), Java, and CGI languages such as Python.338 Chapter 8 Before You Begin This section provides information you need to know before you set up Web service for the first time. You should read this section even if you are an experienced Web administrator, as some features and behaviors may be different from what you expect. Configuring Web Service You can use Server Settings to set up and configure the most frequently used features of Web service. If you are an experienced Apache administrator and need to work with features of the Apache Web server that aren’t included in Server Settings, you can modify the appropriate configuration files. However, Apple does not provide technical support for modifying Apache configuration files. If you choose to modify a file, be sure to make a backup copy first. Then you can revert to the copy should you have problems. For more information about Apache modules, see the Apache Software Foundation Web site at www.apache.org Providing Secure Transactions If you want to provide secure transactions on your server, you should set up Secure Sockets Layer (SSL) protection. SSL lets you send encrypted, authenticated information across the Internet. If you want to allow credit card transactions through your Web site, for example, you can use SSL to protect the information that’s passed to and from your site. For instructions on how to set up secure transactions, see “Setting Up Secure Sockets Layer (SSL) Service” on page 361. Setting Up Web Sites Before you can host a Web site, you must m register your domain name with a domain name authority m create a folder for your Web site on the server m create a default page in the folder for users to see when they connect m verify that DNS is properly configured if you want clients to access your Web site by name When you are ready to publish, or enable, your site, you can do this using Server Settings. The Sites pane in the Configure Web Service window lets you add a new site and select a variety of settings for each site you host. See “Managing Web Sites” on page 349 for more information.Web Service 339 Hosting More Than One Web Site You can host more than one Web site simultaneously on your Web server. Depending on how you configure your sites, they may share the same domain name, IP address, or port. The unique combination of domain name, IP address, and port identifies each separate site. Your domain names must be registered with the domain name authority (InterNIC). Otherwise, the Web site associated with the domain won’t be visible on the Internet. (There is a fee for each additional name you register.) If you configure Web sites using multiple domain names and one IP address, older browsers that do not support HTTP 1.1 or later (that don’t include the “Host” request header), will not be able to access your sites. This is an issue only with software released prior to 1997 and does not affect modern browsers. If you think your users will be using very old browser software, you’ll need to configure your sites with one domain name per IP address. Understanding WebDAV If you use WebDAV to provide live authoring on your Web site, you should create realms and set access privileges for users. Each site you host can be divided into a number of realms, each with its own set of users and groups that have either browsing or authoring privileges. If your Web site is on an intranet, you may not want to create realms. Defining Realms When you define a realm, which is typically a folder (or directory), the access privileges you set for the realm apply to all the contents of that directory. If a new realm is defined for one of the folders within the existing realm, only the new realm privileges apply to that folder and its contents. For information about creating realms and setting access privileges, see “Setting Access for WebDAV-Enabled Sites” on page 354. Setting WebDAV Privileges The Apache process running on the server needs to have access to the Web site’s files and folders. To do this, Mac OS X Server installs a user named “www” and a group named “www” in the server’s Users & Groups List. The Apache processes that serve Web pages run as the www user and as members of the www group. You need to give the www group read access to files within Web sites so that the server can transfer the files to browsers when users connect to the sites. If you’re using WebDAV, the www user and www group both need write access to the files and folders in the Web sites. In addition, the www user and group need write access to the /var/run/davlocks directory. Understanding WebDAV Security WebDAV lets users update files in a Web site while the site is running. When WebDAV is enabled, the Web server must have write access to the files and folders within the site users are updating. This has significant security implications when other services are running on the server, because individuals responsible for one site may be able to modify other sites.340 Chapter 8 You can avoid this problem by carefully setting access privileges for the site files using the Sharing module of Server Settings. Mac OS X Server uses a predefined group named “www,” which contains the Apache processes. You need to give the www group read and write access to files within the Web site. You also need to assign read and write access to the Web site administrator (owner) and None (no access) to Everyone. If you are concerned about Web site security, you may choose to leave WebDAV disabled and use Apple file service or FTP service to modify the contents of a Web site instead. Understanding Multipurpose Internet Mail Extension (MIME) Multipurpose Internet Mail Extension (MIME) is an Internet standard for specifying what happens when a Web browser requests a file with certain characteristics. You can choose the response you want the Web server to make based on the file’s suffix. Your choices will depend partly on what modules you have installed on your Web server. Each combination of a file suffix and its associated response is called a MIME type mapping. MIME Suffixes A suffix describes the type of data in a file. Here are some examples: m txt for text files m cgi for Common Gateway Interface files m gif for GIF (graphics) files m php for “PHP: Hypertext Preprocessor” (embedded HTML scripts) used for WebMail, etc. m tiff for TIFF (graphics) files Mac OS X Server includes a default set of MIME type suffixes. This set includes all the suffixes in the mime.types file distributed with Apache, with a few additions. If a suffix you need is not listed, or does not have the behavior you want, use Server Settings to add the suffix to the set or to change its behavior. Note: Do not add or change MIME suffixes by editing configuration files. Web Server Responses When a file is requested, the Web server handles the file using the response specified for the file’s suffix. Responses can be either an action or a MIME type. Possible responses include m return file as MIME type (you enter the mapping you want to return) m send-as-is (send the file exactly as it exists) m cgi-script (run a CGI script you designate) m imap-file (generate an IMAP mail message) m mac-binary (download a compressed file in MacBinary format)Web Service 341 MIME type mappings are divided into two subfields separated by a forward slash, such as “text/plain.” Mac OS X Server includes a list of default MIME type mappings. You can edit these and add others. When you specify a MIME type as a response, the server identifies the type of data requested and sends the response you specify. For example, if the browser requests a file with the suffix “jpg,” and its associated MIME type mapping is “image/jpeg,” the server knows it needs to send an image file and that its format is JPEG. The server doesn’t have to do anything except serve the data requested. Actions are handled differently. If you’ve mapped an action to a suffix, your server runs a program or script, and the result is served to the requesting browser. For example, if a browser requests a file with the suffix “cgi,” and its associated response is the action “cgi-script,” your server will run the script and send the resulting data back to the requesting browser. Setting Up Web Service for the First Time Follow the steps below to set up Web service for the first time. If you need more information to perform any of these tasks, see “Managing Web Service” on page 342 and “Managing Web Sites” on page 349. Step 1: Set up the Documents folder When your server software is installed, a folder named Documents is set up automatically. Put any items you want to make available through a Web site in the Documents folder. You can create folders within the Documents folder to organize the information. The folder is located in this directory: /Library/WebServer/Documents In addition, each registered user has a Sites folder in the user’s own home directory. Any graphics or HTML pages stored in the user’s Sites folder will be served from this URL: server.example.com/~username/ Step 2: Create a default page Whenever users connect to your Web site, they see the default page. When you first install the software, the file “index.html” in the Documents folder is the default page. You’ll need to replace this file with the first page of your Web site and name it “index.html.” If you want to call the file something else, make sure you change the default document name in the General pane of the site settings window. For more information about Web site settings, see “Managing Web Sites” on page 349.342 Chapter 8 Step 3: Assign privileges for your Web site The Apache process running on the server must have access to the Web site’s files and folders. To allow this access, Mac OS X Server creates a group named “www,” made up of the Apache processes. You need to give the www group read-only access to files within your Web site so that it can transfer those files to browsers when users connect to the site. For information about assigning privileges, see Chapter 4, “Sharing.” Step 4: Configure Web service The default configuration works for most Web servers that host a single Web site, but you can configure all the basic features of Web service and Web sites using Server Settings. To host user Web sites, you must configure at least one Web site. To access the configuration settings, click Web and choose Configure Web Service. Choose the settings you want for your server and your Web site. For information about these settings, see “Managing Web Service” on page 342. Step 5: Start Web service In Server Settings, click the Internet tab. Click Web and choose Start Web Service. When the service is running, you see a globe on the Web icon. Step 6: Connect to your Web site To make sure the Web site is working properly, open your browser and try to connect to your Web site over the Internet. If your site isn’t working correctly, see “Solving Problems” on page 364. Managing Web Service The Configure Web Service window lets you set and modify most options for your Web service and Web sites. To access the Configure Web Service window: 1 In Server Settings, click Web and choose Configure Web Service. 2 Click one of the four tabs to see the settings in that pane. Important Always use Server Settings to start and stop the Web server. You can start the Web server from the command line, but Server Settings won’t show the change in status for several seconds. Server Settings is the preferred method to start, stop, and modify Web service settings.Web Service 343 Starting or Stopping Web Service You start and stop Web service from the Server Settings application. To start or stop Web service: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Start Web Service or Stop Web Service. If you stop Web service, users connected to any Web site hosted on your server are disconnected immediately. Starting Web Service Automatically You can set Web service to start automatically whenever the server starts up. This will ensure that your Web sites are available if there’s been a power failure or the server shuts down for any reason. To have Web service start automatically: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Select “Start Web service on system startup.” Modifying MIME Mappings Multipurpose Internet Mail Extension (MIME) is an Internet standard for describing the contents of a file. The MIME Types pane lets you set up how your Web server responds when a browser requests certain file types. For more information about MIME types and MIME type mappings, see “Understanding Multipurpose Internet Mail Extension (MIME)” on page 340. The Web server is set up to handle the most common MIME types. You can add, edit, or delete MIME type mappings. To add or modify a MIME type mapping: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click the MIME Types tab. 4 Click Add to add a new mapping, or select a mapping and click Edit, Duplicate, or Delete. (If you choose Delete, you’ve finished.) Important Always use Server Settings to start and stop the Web server. You can start the Web server from the command line, but Server Settings won’t show the change in status for several seconds. Server Settings is the preferred method to start, stop, and modify Web service settings.344 Chapter 8 5 Type the file suffix that describes the type of data in files handled by this mapping. 6 Choose a Web server response from the Response pop-up menu. If you choose “Return file as MIME type,” enter the MIME type you want to return. 7 Click Save. If you choose a response that is a Common Gateway Interface (CGI) script, make sure you have enabled CGI execution for your site in the Options pane of the site settings window. Setting Up Persistent Connections for Web Service You can set up Web service to respond to multiple requests from a client computer without closing the connection each time. Repeatedly opening and closing connections isn’t very efficient and decreases performance. To set up persistent connections: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 In the General pane, enter a number in the Maximum Persistent Connections field. If you set the number to zero, there is no limit to the number of requests allowed per connection. However, the default setting of 500 provides better performance. 4 Enter a number in the Connection Timeout field if you want to specify the amount of time that can pass between requests before the session is disconnected by the Web server. 5 Click Save, then restart Web service. Limiting Simultaneous Connections for Web Service You can limit the number of simultaneous connections to your Web server. When the maximum number of connections is reached, new requests receive a message that the server is busy. To set the maximum number of connections to your Web server: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 In the General pane, enter a number in the Maximum Simultaneous Requests field. The default maximum is 500, but you can set the number as high or as low as you want to, taking into consideration the desired performance of your server. 4 Click Save, then restart Web service.Web Service 345 Setting Up Proxy Caching for Web Service A proxy lets users check a local server for frequently used files. You can use a proxy to speed up response times and reduce network traffic. The proxy stores recently accessed files in a cache on your Web server. Browsers on your network check the cache before retrieving files from more distant servers. To take advantage of this feature, client computers must specify your Web server as their proxy server in their browser preferences. To set up a proxy: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click the Proxy tab and select Enable Proxy. 4 Set the maximum cache size. When the cache reaches this size, the oldest files are deleted from the cache folder. 5 Type the path name for the folder in the Cache Folder field. You can also click the Select button and browse for the folder you want to use. If you are administering a remote server, file service must be running on the local machine to use the Select button. If you change the folder location from the default, you will have to select the new folder in the Finder, select Get Info and change the owner and group to www. 6 Click Save, then restart Web service. Blocking Web Sites From Your Web Server Cache If your Web server is set up to act as a proxy, you can prevent the server from caching objectionable Web sites. You can import a list of Web sites you want to block. The list must be a text file with the host names separated by white space (lines, spaces, or tabs). To block Web sites: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click the Proxy tab and select Enable Proxy. Important To take advantage of this feature, client computers must specify your Web server as their proxy server in their browser preferences.346 Chapter 8 4 Type the URL of the Web site you want to block in the field and click Add. Or click Import to import a list of Web sites. 5 Click Save, then restart Web service. Enabling SSL for Web Service If you plan to set up Secure Sockets Layer (SSL) service and enable it for Web sites, you need to enable it for the entire Web service. Once you enable SSL service you can configure SSL for each site hosted on your server. For more information about configuring SSL for a specific Web site, see “Enabling SSL” on page 357. To enable SSL for Web service: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click “Enable SSL support.” 4 Click Save, then restart Web service. Setting Up the SSL Log for a Web Server If you are using Secure Sockets Layer (SSL) on your Web server, you can set up a file to log SSL transactions and errors. To set up an SSL log: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click the Sites tab, select a site to edit, then click Edit. 4 Click the Security tab, select Enable Secure Sockets Layer (SSL), then enter the path name for the folder where you want to keep the SSL log in the SSL Log File field. 5 Click Save, then restart Web service. Setting Up WebDAV for a Web Server Web-based Distributed Authoring and Versioning (WebDAV ) allows you or your users to make changes to Web sites while the sites are running. If you enable WebDAV, you also need to assign access privileges for the sites and for the Web folders. To enable WebDAV: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service.Web Service 347 3 In the General pane, select “Enable WebDAV support,” then click the Sites tab. 4 Select a Web site and click Edit, click the Options tab, then select Enable WebDAV. 5 Click the Access tab. Select a realm and click Edit, or click Add to create a new realm. The realm is the part of the Web site users can access. 6 Type the name you want users to see when they log in. The default realm name is the name of the Web site. 7 Type the path to the location in the Web site to which you want to limit access. You can also click the Select button and browse for the folder you want to use. If you are administering a remote server, file service must be running on the local machine to use the Select button. 8 Click Save. Starting Tomcat Tomcat adds Java servlet and JavaServer Pages ( JSP) capabilities to Mac OS X Server. Java servlets are Java-based applications that run on your server, in contrast to Java applets which run on the user’s computer. JavaServer Pages allows you to embed Java servlets in your HTML pages. For more information on Tomcat see “Installing and Viewing Web Modules” on page 365. You can set Tomcat to start automatically whenever the server starts up. This will ensure that the Tomcat module starts up after a power failure or after the server shuts down for any reason. Note: Tomcat is not started by a Startup Item, nor is it started directly by the watchdog process. It is started and stopped by the Server Settings application in conjunction with the serversettingsd process, which uses the /Library/Tomcat/bin/tomcatctl script. To start Tomcat on server startup: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click “Start Tomcat at system startup.” 4 Click Save, then restart the server. To verify that Tomcat is running, use a Web browser to access port 9006 of your Web site by entering the URL for your site followed by :9006 (see the URL below). http://example.com:9006 If Tomcat is running, accessing port 9006 will display the default Tomcat home page.348 Chapter 8 Checking Web Service Status In the Server Settings application, you can check to see the current state of the server and the performance cache, and which Web modules are active. The Start/Stop Status Messages field displays messages about the server status. If you are not sure what the messages mean, you can find explanations on the Apache Web site: www.apache.org If Web service is not running, the window shows only the date and time the server stopped. To view Web service status: 1 In Server Settings, click Internet. 2 Click Web and select Show Web Service Status. Current requests and current throughput include both Apache and performance cache data. Performance cache requests and throughput include performance cache data only. Viewing Logs of Web Service Activity Web service in Mac OS X Server uses the standard Apache log format, so you can use any third-party log analysis tool to interpret the log data. To view the log files: 1 In Server Status, click Web under your server. 2 Click the Logs tab. 3 Click the log you want to view. Setting Up Multiple IP Addresses for a Port When you first set up your server, the Setup Assistant lets you configure one IP address for each Ethernet port available on the server. On some occasions, you may want to configure multiple IP addresses for a particular port. For example, if you use the server to host multiple Web sites, you may want to accept requests for different domain names (URLs) over the same port. To do so, you need to set up the port to have multiple configurations, one for each domain name, and then use the Web module of Server Settings to map each site to a particular configuration. To set up multiple IP addresses for a port: 1 Open System Preferences and click Network. 2 Choose Advanced from the Configure pop-up menu. 3 Click New.Web Service 349 4 Enter a name for the new port configuration and choose the port you are configuring from the Port pop-up menu. Click OK. 5 Choose the port configuration you just added from the Configure pop-up menu. 6 Click the TCP tab, then choose Manually from the Configure pop-up menu. Enter the new IP address and other information describing the port. Click Save. Managing Web Sites The Sites pane lists your Web sites and provides some basic information about each site. You use the Sites pane to add new sites or change settings for existing sites. To access the Sites pane: m In Server Settings, click Web and choose Configure Web Service, then click the Sites tab. Setting Up the Documents Folder for Your Web Site To make files available through a Web site, you put the files in the Documents folder for the site. To organize the information, you can create folders inside the Documents folder. The folder is located in this directory: /Library/WebServer/Documents In addition, each registered user has a Sites folder in the user’s own home directory. Any graphics or HTML pages stored here will be served from this URL: http://server.example.com/~username/ To set up the Documents folder for your Web site: 1 Open the Documents folder on your Web server. If you have not changed the location of the Documents folder, it’s in this directory: /Library/WebServer/Documents/ 2 Replace the index.html file with the main page for your Web site. Make sure the name of your main page matches the default document name you set in the General pane of the site settings window. 3 Copy files you want to be available on your Web site to the Documents folder. Changing the Default Web Folder for a Site A site’s default Web folder is used as the root for the site. In other words, the default folder is the top level of the directory structure for the site. To change the default Web folder for a site hosted on your server: 1 Log in to the server you want to administer.350 Chapter 8 2 Drag the contents of your previous Web folder to your new Web folder. 3 In Server Settings, log in to the server where the Web site is located. 4 Click the Internet tab, then click Web and choose Configure Web Service. 5 Click the Sites tab. 6 Select a site in the list, then click Edit. 7 Type the path to the Web folder in the Website Folder field, or click the Select button and navigate to the new Web folder location (if accessing this server remotely, file service must be turned on to do this; see Chapter 5, “File Services,” for more information). 8 Click Save, then restart Web service. Enabling a Web Site on a Server Before you can enable a Web site, you must create the content for the site and set up your site folders. To enable the Web site: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click the Sites tab, then click Add. 4 Type the fully qualified DNS name of your Web site in the Name field. 5 Enter the IP address and port number (any number up to 8999) for the site. The default port number is 80. Make sure that the number you choose is not already in use by another service on the server. 6 Enter the path to the folder you set up for this Web site. You can also click the Select button and browse for the folder you want to use. If you are administering a remote server, file service must be running on the local machine to use the Select button. 7 Enter the file name of your default document (the first page users see when they access your site). 8 Make any other settings you want for this site, then click Save. 9 Click the Enabled box next to the site name in the Sites pane of the Configure Web Service window. Important In order to enable your Web site on the server, the Web site must have a unique IP address and port number combination. See “Hosting More Than One Web Site” on page 339 and “Setting Up Multiple IP Addresses for a Port” on page 348 for more information.Web Service 351 10 Click Save, then restart Web service. Setting the Default Page for a Web Site The default page appears when a user connects to your Web site by specifying a directory or host name instead of a file name. To set the default Web page: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click the Sites tab. 4 Select a site in the list, then click Edit. 5 In the General pane, type a name in the Default Document Name field. A file with this name must be in the Web site folder. 6 Click Save, then restart Web service. Note: The Default Document Name field can have more than one entry. Any file name containing a space must be enclosed in quotes. Each entry must be separated by a space. Changing the Access Port for a Web Site By default, the server uses port 80 for connections to Web sites on your server. You may need to change the port used for an individual Web site, for instance, if you want to set up a streaming server on port 80. Make sure that the number you choose does not conflict with ports already being used on the server (for FTP, Apple file service, SMTP, and others). If you change the port number for a Web site you must change all URLs that point to the Web server to include the new port number you choose. To set the port for a Web site: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click the Sites tab. 4 Select a site, then click Edit. 5 Type the port number in the Port field, then click Save. Improving Performance of Static Web Sites If your Web sites contain static HTML files, and you expect high usage of the pages, you can enable the performance cache to improve server performance. You should disable the performance cache if352 Chapter 8 m you do not anticipate heavy usage of your Web site m most of the pages on your Web site are generated dynamically The performance cache is enabled by default. To enable or disable the performance cache for your Web server: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click the Sites tab. 4 Select a site in the list, then click Edit. 5 In the Options pane, select or deselect “Enable performance cache.” 6 Click Save, then restart Web service. You can also improve server performance by disabling the access and error logs. Enabling Access and Error Logs for a Web Site You can set up error and access logs for individual Web sites that you host on your server. However, enabling the logs can slow server performance. To enable access and error logs for a Web site: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click the Sites tab. 4 Select a site in the list, then click Edit. 5 Click the Logging tab and select the logs you want to enable. 6 Set how often you want the logs to be archived. 7 Type the path to the file where you want to store the logs. You can also click the Select button and browse for the folder you want to use. If you are administering a remote server, file service must be running on the local machine to use the Select button. 8 Click Save, then restart Web service. Setting Up Directory Listing for a Web Site When users specify the URL for a directory, you can display either a default Web page (such as index.html) or a list of the directory contents. You can display either a simple list or a detailed folder list. To set up directory listing, you need to enable indexing for the Web site. Note: Folder listings are displayed only if no default document is found.Web Service 353 To enable indexing for a Web site: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click the Sites tab. 4 Select a site, then click Edit. 5 Select “Enable indexing of folders” in the Options pane. If you want a simple list, skip to step 8. If you want a detailed folder list, continue with the next step. 6 Click Save, then click the General tab of the Configure Web Service window. 7 Select “Enable detailed folder listings.” 8 Click Save, then restart Web service. Connecting to Your Web Site Once you configure your Web site, it’s a good idea to view the site with a Web browser to verify that everything appears as intended. To make sure a Web site is working properly: 1 Open a Web browser and type the Web address of your server. You can use either the IP address or the DNS name of the server. 2 Type the port number, if you are not using the default port. 3 If you’ve restricted access to specific users, enter a valid user name and password. Enabling WebDAV Web-based Distributed Authoring and Versioning ( WebDAV ) allows you or your users to make changes to Web sites while the sites are running. If you enable WebDAV, you also need to assign access privileges for the sites and for the Web folders. To enable WebDAV: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 In the General pane, select “Enable WebDAV support,” then click the Sites tab. 4 Select a Web site and click Edit, click the Options tab, then select Enable WebDAV. 5 Click the Access tab. Select a realm and click Edit, or click Add to create a new realm. The realm is the part of the Web site users can access. 6 Type the name you want users to see when they log in.354 Chapter 8 The default realm name is the name of the Web site. 7 Type the path to the location in the Web site to which you want to limit access. If file service is running, or if you are using Server Settings on the Mac OS X server, you can click Select and browse to find the location. 8 Click Save. Setting Access for WebDAV-Enabled Sites You create realms to provide security for Web sites. Realms are locations within a site that users can view or make changes to when WebDAV is enabled. When you define a realm, you can assign browsing and authoring privileges to users for the realm. To add users and groups to a realm: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service, then click the Sites tab. 3 Select a site name and click Edit, then click the Access tab. 4 Select a realm and click Edit, or click Add to create a new realm. The default name for a new realm is the name of the Web site. 5 Select the “Everyone” checkbox and choose “can Browse” from the pop-up menu. 6 Drag users and groups from the list of users and groups in Workgroup Manager to the realm window. 7 Select Allow Authoring if you want a user or group to be able to author. If you don’t select Everyone, you can fully restrict access and add only the users you want to browse and author for this realm. When you select privileges for Everyone, you have these options: “Browse” allows everyone who can access this realm to see it. You can add additional users and groups to the User or Group list to enable authoring for them. “Browse and Author” allows everyone who has access to this realm to see and make changes to it. Enabling a Common Gateway Interface (CGI) script Common Gateway Interface (CGI) scripts (or programs) send information back and forth between your Web site and applications that provide different services for the site. m If a CGI is to be used by only one site, install the CGI in the Documents folder for the site. The CGI name must end with the suffix “.cgi.”Web Service 355 m If a CGI is to be used by all sites, install it in the /Library/WebServer/CGI-Executables folder. In this case, clients must include /cgi-bin/ in the URL for the site. For example, http://www.example.com/cgi-bin/test-cgi m Make sure the file permissions on the CGI allow it to be executed by the user named “www.” Since the CGI typically isn’t owned by www, the file should be executable by everyone. To enable a CGI for a Web site: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click the Sites tab. 4 Select a Web site in the list and click Edit. 5 Select Enable CGI Execution under Site Options. 6 Click Save, then restart Web service. Note: Note that for security reasons, the printenv and test-cgi scripts that are pre-installed in the /Library/WebServer/CGI-Executables folder are not executable by default. You may want to make them executable to verify correct operation of CGIs. Use either the Finder or the Terminal application to set their permissions to be executable. Apple also supports CGIs written in AppleScript, referred to as ACGIs. To run an ACGI, use the Mac OS X Script Editor to save the AppleScript as an Application with the Stay Open option. Then start Classic and the ACGI Enabler (in /Applications/Utilities) before you request the file from a browser. Enabling Server Side Includes (SSI) Enabling Server Side Includes (SSI) allows a chunk of HTML code or other information to be shared by different Web pages on your site. SSIs can also function like CGIs and execute commands or scripts on the server. Note: Enabling SSI requires making changes to UNIX configuration files in the Terminal application. To enable SSI, you must be comfortable with typing UNIX commands and using a UNIX text editor. To enable SSI: 1 In the Terminal application, use a text editor to edit /etc/httpd/httpd_macosxserver.conf 2 Add the following line to each virtual host for which you want SSI enabled: Options Includes To enable SSI for all virtual hosts, add the line outside any virtual host block.356 Chapter 8 3 In Server Settings, click Web and add “index.shtml” to the set of default index files for each virtual host. By default, the mime_macosxserver.conf file maintained by server settings contains the following two lines: AddHandler server-parsed shtml AddType text/html shtml If your SSI files use a file extension other than .shtml you should add that type to the mime_macosxserver.conf file. You can add MIME types in Server Settings from the MIME Types tab. The changes take effect when you restart the Web service. Monitoring Web Sites You can use the Sites pane to check the status of your Web sites. The Sites pane shows m whether a site is enabled m the site’s DNS name and IP address m the port being used for the site Double-clicking a site in the Sites pane opens the site settings window, where you can view or change the settings for the site. To access the Sites pane: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click the Sites tab. Setting Server Responses to MIME Types Multipurpose Internet Mail Extension (MIME) is an Internet standard for specifying what happens when a Web browser requests a file with certain characteristics. A file’s suffix describes the type of data in the file. Each suffix and its associated response together are called a “MIME type mapping.” See “Understanding Multipurpose Internet Mail Extension (MIME)” on page 340 for more information. To set the server response for a MIME type: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click the MIME Types tab and then click Add, or select a MIME type and click Edit. 4 Type the file suffix associated with this mapping in the File Suffix field.Web Service 357 5 Choose the server response from the pop-up menu, or type the file type in the Return MIME Type field. If you return a CGI, make sure you’ve enabled CGI execution for the Web site. 6 Click Save, then restart Web service. Enabling SSL Before you can enable Secure Sockets Layer (SSL) protection for a Web site, you have to obtain the proper certificates. For more information see “Setting Up Secure Sockets Layer (SSL) Service” on page 361. To set up SSL for a Web site: 1 In Server Settings, click the Internet tab. 2 Click Web and choose Configure Web Service. 3 Click the Sites tab. 4 Select a site and click Edit. 5 Click the Security tab, then select Enable Secure Sockets Layer (SSL). 6 Click each button in the Security pane and paste the contents of the appropriate certificate or key in the text field for each. Click Save before going on to the next button. 7 Type the location of the SSL log file in the SSL Log File field. You can also click the Select button and browse for the folder you want to use. If you are administering a remote server, file service must be running on the local machine to use the Select button. 8 Click Save, then restart Web service. Enabling PHP PHP (PHP: Hypertext Preprocessor) is a scripting language embedded in HTML that is used to create dynamic Web pages. PHP provides functions similar to those of CGI scripts, but supports a variety of database formats and can communicate across networks via many different protocols. The PHP libraries are included in Mac OS X Server, but are disabled by default. See “Installing and Viewing Web Modules” on page 365 for more information on PHP. Note: Enabling PHP requires making changes to UNIX configuration files in the Terminal application. To enable PHP, you must be comfortable with typing UNIX commands and using a UNIX text editor.358 Chapter 8 To enable PHP: 1 In the Terminal application, use a text editor to edit /etc/httpd/httpd.conf 2 Enable PHP by removing the comment character, #, from the following lines, which are located in various places in the file: #LoadModule php4_module /usr/libexec/httpd/libphp4.so #AddModule mod_php4.c 3 Save the changes and close the file. The changes take effect when you restart the Web service. WebMail WebMail adds basic email functions to your Web site. If your Web service hosts more than one Web site, WebMail can provide access to mail service on any or all of the sites. The mail service looks the same on all sites. The WebMail software is included in Mac OS X Server, but is disabled by default. Note: Enabling WebMail requires making changes to UNIX configuration files in the Terminal application. To enable WebMail, you must be comfortable with typing UNIX commands and using a UNIX text editor. The WebMail software is based on SquirrelMail, which is a collection of open-source scripts run by the Apache server. For more information on SquirrelMail, see this Web site: www.squirrelmail.org WebMail Users If you enable WebMail, a Web browser user can m compose messages and send them m receive messages m forward or reply to received messages m maintain a signature that is automatically appended to each sent message m create, delete, and rename folders and move messages between folders m attach files to outgoing messages m retrieve attached files from incoming messages m manage a private address book m set WebMail preferences, including the color scheme displayed in the Web browser To use your WebMail service, a user must have an account on your mail server. Therefore, you must have a mail server set up if you want to offer WebMail on your Web sites.Web Service 359 Users access your Web site’s WebMail page by appending /WebMail to the URL of your site. For example, http://mysite.example.com/WebMail Users log into WebMail with the name and password they use for logging in to regular mail service. WebMail does not provide its own authentication. For more information on mail service users, see “Supporting Mail Users” on page 405 in Chapter 9, “Mail Service.” When users log in to WebMail, their passwords are sent over the Internet in clear text (not encrypted) unless the Web site is configured to use SSL. For instructions on configuring SSL, see “Enabling SSL for Web Service” on page 346. WebMail users can consult the user manual for SquirrelMail at the following Web page: www.squirrelmail.org/wiki/UserManual WebMail and Your Mail Server WebMail relies on your mail server to provide the actual mail service. WebMail merely provides access to the mail service through a Web browser. WebMail cannot provide mail service independent of a mail server. WebMail uses the mail service of your Mac OS X Server by default. You can designate a different mail server if you are comfortable using the Terminal application and UNIX command-line tools. For instructions, see “Configuring WebMail” on page 360. WebMail Protocols WebMail uses standard email protocols and requires your mail server to support them: m Internet Message Access Protocol (IMAP) for retrieving incoming mail m Simple Mail Transfer Protocol (SMTP) for exchanging mail with other mail servers (sending outgoing mail and receiving incoming mail) WebMail does not support retrieving incoming mail via Post Office Protocol (POP). Even if your mail server supports POP, WebMail does not. Enabling WebMail You can enable WebMail for the Web site (or sites) hosted by your Web service. Changes take effect when you restart Web service. 1 Make sure your mail service is started and configured to provide IMAP and SMTP service. The mail service of Mac OS X Server provides IMAP and SMTP service by default. For details on mail service configuration, see Chapter 9, “Mail Service.” 2 Make sure IMAP mail service is enabled in the user accounts of the users you want to have WebMail access. 360 Chapter 8 For details on mail settings in user accounts, see “Working With Mail Settings for Users” on page 150 in Chapter 3, “Users and Groups.” 3 Enable PHP according to the instructions on page 357. 4 In the Terminal application, use a text editor to edit /etc/httpd/httpd_macosxserver.conf and add the following line: Include /etc/httpd/httpd_squirrelmail.conf Where you add this line depends on whether your server hosts multiple Web sites and whether you want all or some hosted Web sites to have WebMail. If your server hosts only one Web site or you want all Web sites to have WebMail, add the “Include” line outside all blocks. If you want only some Web sites hosted by your server to have WebMail, add the “Include” line at or near the top of the block for each of your Web sites that you want to have WebMail service. Here is an example of the beginning of a block for a Web site at 192.0.32.72 with the “Include” line added: ServerName www.example.com Include /etc/httpd/httpd_squirrelmail.conf 5 Add the default document name “index.php” to the default documents for the site. This allows the server to display the default WebMail page if a client requests a URL for a folder without including a document name. See “Setting the Default Page for a Web Site” on page 351 for more information on adding a default document name. Configuring WebMail WebMail is based on SquirrelMail, an open-source module for the Apache Web server that provides Web service for Mac OS X Server. SquirrelMail has several options that you can configure to integrate WebMail with your site. The options and their default settings are as follows: m Organization Name is displayed on the main WebMail page when a user logs in. The default is Mac OS X Server WebMail. m Organization Logo specifies the relative or absolute path to an image file. m Organization Title is displayed as the title of the Web browser window while viewing a WebMail page. The default is Mac OS X Server WebMail. m Trash Folder is the name of the IMAP folder where mail service puts messages when the user deletes them. The default is Deleted Messages.Web Service 361 m Sent Folder is the name of the IMAP folder where mail service puts messages after sending them. The default is Sent Messages. m Draft Folder is the name of the IMAP folder where mail service puts the user’s draft messages. The default is Drafts. You can configure these and other settings—such as which mail server provides mail service for WebMail—by running an interactive Perl script in a Terminal window, with root privileges. These configuration settings apply to all Web sites hosted by your Web service. To configure basic WebMail options: 1 In the Terminal application, type cd /opt/squirrelmail/configure sudo ./conf.pl 2 Follow the instructions displayed in the Terminal window. WebMail configuration changes do not require restarting Web service unless users are logged in to WebMail. To further customize the appearance (for example, to provide a specific appearance for each of your Web sites), you need to know how to write PHP scripts. In addition, you need to become familiar with the SquirrelMail plug-in architecture and write your own SquirrelMail plug-ins. Setting Up Secure Sockets Layer (SSL) Service If you want to provide secure transactions on your server, such as allowing users to purchase items from a Web site, you should set up Secure Sockets Layer (SSL) protection. SSL lets you send encrypted, authenticated information across the Internet. If you want to allow credit card transactions through a Web site, for example, you can protect the information that’s passed to and from that site. When you generate a certificate signing request (CSR), the certificate authority sends you a certificate that you install on your server. They may also send you a CA certificate (ca.crt). Installing this file is optional. Normally, CA certificates reside in client applications such as Internet Explorer and allow those applications to verify that the server certificate originated from the right authority. However, CA certificates expire or evolve, so some client applications may not be up to date. Generating a Certificate Signing Request (CSR) for Your Server The CSR is a file that provides information needed to set up your server certificate.362 Chapter 8 To generate a CSR for your server: 1 Log in to your server using the root password and open the Terminal application. 2 At the prompt, type these commands and press Return at the end of each one. cd openssl md5 * > rand.dat openssl genrsa -rand rand.dat -des 1024 > key.pem 3 At the next prompt, type a passphrase, then press Return. The passphrase you create unlocks the server’s certificate key. You will use this passphrase when you enable SSL on your Web server. 4 If it doesn’t already exist on your server, create a directory at the following location: /etc/httpd/ssl.key Make a copy of the key.pem file (created in step 2) and rename it server.key. Then copy server.key to the ssl.key directory. 5 At the prompt, type the following command and press Return. openssl req -new -key key.pem -out csr.pem This generates a file named csr.pem in your home directory. 6 When prompted, enter the following information: m Country: The country in which your organization is located. m State: The full name of your state. m Locality: The city in which your organization is located. m Organizational name: The organization to which your domain name is registered. m Organizational unit: Usually something similar to a department name. m Common name of your Web server: The DNS name, such as server.apple.com. m Email address: The email address to which you want the certificate sent. The file “csr.pem” is generated from the information you provided. 7 At the prompt, type the following, then press Return. cat csr.pem The cat command lists the contents of the file you created in step 5 (csr.pem). You should see the phrase “Begin Certificate Request” followed by a cryptic message. The message ends with the phrase “End Certificate Request.” This is your certificate signing request (CSR). Obtaining a Web Site Certificate You must purchase a certificate for each Web site from an issuing authority.Web Service 363 Keep these important points in mind when purchasing your certificate: m You must provide an InterNIC-registered domain name that’s registered to your organization. m If you are prompted to choose a software vendor, choose Apache Freeware with SSLeay. m You have already generated a CSR, so when prompted, open your CSR file using a text editor. Then copy and paste the contents of the CSR file into the appropriate text field on the issuing authority’s Web site. After you’ve completed the process, you’ll receive an email message that contains a Secure Server ID. This is your server certificate. When you receive the certificate, save it to your Web server’s hard disk as a file named server.crt. Installing the Certificate on Your Server 1 Log in to your server as the administrator or super user (also known as root). 2 If it doesn’t already exist on your server, create a directory with this name: /etc/httpd/ssl.crt 3 Copy server.crt (the file that contains your Secure Server ID) to the ssl.crt directory. Enabling SSL for the Site 1 In Server Settings, click Web and choose Configure Web Service. 2 Make sure Enable SSL support is selected for the entire site. 3 Click Sites, then select the site where you plan to use the certificate, and click Edit. 4 Click the Security tab. 5 Select Enable Secure Socket Layer (SSL). 6 Click Edit Certificate File and paste the text from your certificate file (the certificate you obtained from the issuing authority) in the text field, then click Save. 7 Click Edit Key File and paste the text from your key file (the file key.pem, which you set up earlier) in the text field, then click Save. 8 Click Edit CA Certificate File and paste the text from the ca.crt file in the text field. (This is an optional file that you may have received from the certificate authority.) Click Save. 9 Click in the Pass Phrase field and type the passphrase from your CSR in the text field, then click Save. 10 Set the location of the log file that will record SSL transactions and click Save. 11 Stop and then start Web service.364 Chapter 8 Solving Problems Users Can’t Connect to a Web Site on Your Server m Make sure that Web service is turned on and the site is enabled. m Check the Start/Stop Status Messages field in the Web Service Status window for messages. If you are not sure what the messages mean, you’ll find explanations on the Apache Web site at: www.apache.org m Check the Apache access and error logs. m Make sure users are entering the correct URL to connect to the Web server. m Make sure that the correct folder is selected as the default Web folder. Make sure that the correct HTML file is selected as the default document page. m If your Web site is restricted to specific users, make sure those users have access privileges to your Web site. m Verify that users’ computers are configured correctly for TCP/IP. If the TCP/IP settings appear correct, use a “pinging” utility that allows you to check network connections. m Verify that the problem is not a DNS problem. Try to connect with the IP address of the server instead of its DNS name. m Make sure your DNS server’s entry for the Web site’s IP address and domain name are correct. A Web Module Is Not Working as Expected m Check the error log in Server Status for information about why the module might not be working correctly. m If the module came with your Web server, check the Apache documentation for that module and make sure the module is intended to work the way you expected. m If you installed the module, check the documentation that came with the Web module to make sure it is installed correctly and is compatible with your server software. For more information on supported Apache modules for Mac OS X Server, see this Web site: www.apache.org/docs/mod/ A CGI Will Not Run m Check the CGI’s file permissions to make sure the CGI is executable by www. If not, the CGI won’t run on your server even if you enable CGI execution in Server Settings.Web Service 365 Installing and Viewing Web Modules Modules “plug in” to the Apache Web server software and add functionality to your Web site. Apache comes with some standard modules, and you can purchase modules from software vendors or download them from the Internet. You can find information about available Apache modules at this Web site: www.apache.org/docs/mod m To view a list of Web modules installed on your server, click Web in Server Settings, click Internet, click Web then select Show Web Service Status. m To install a module, follow the instructions that came with the module software. The Web server loads modules from this directory: /usr/libexec/httpd/ In addition, you must change the httpd.conf file to load and then add new modules. Macintosh-Specific Modules Web service in Mac OS X Server installs some modules specific to the Macintosh. These modules are described in this section. mod_macbinary_apple This module packages files in the MacBinary format, which allows Macintosh files to be downloaded directly from your Web site. A user can download a MacBinary file using a regular Web browser by adding “.bin” to the URL used to access the file. mod_sherlock_apple This module lets Apache perform relevance-ranked searches of the Web site using Sherlock. Once you index your site using the Finder, you can provide a search field for users to search your Web site. m Choose Get Info in the Finder to index a folder’s contents. Note: You must be logged in as root for the index to be copied to the Web directory in order to be searchable by a browser. Clients must add .sherlock to your Web site’s URL to access a page that allows them to search your site. For example: http://www.example.com/.sherlock mod_auth_apple This module allows a Web site to authenticate users by looking for them in directory service domains within the server’s search policy. When authentication is enabled, Web site visitors are prompted for a user name and password before they can access information on the site.366 Chapter 8 mod_redirectacgi_apple This module works in conjunction with the ACGI Enabler Application to allow users to execute ACGI programs (Mac OS CGIs). To enable an ACGI, log in as the administrator and open the ACGI Enabler Application. Do not log out of the application—it must be running for ACGIs to work. mod_hfs_apple This module requires users to enter URLs for HFS volumes using the correct case (lowercase or uppercase). This module adds security for case-insensitive volumes. If a restriction exists for a volume, users receive a message that the URL is not found. Open-Source Modules Mac OS X Server includes these popular open-source modules: Tomcat, PHP: Hypertext Preprocessor, and mod_perl. Tomcat The Tomcat module, which uses Java-like scripting, is the official reference implementation for two complementary technologies developed under the Java Community Process: m Java Servlet 2.2. For the Java Servlet API specifications, see the following site: java.sun.com/products/servlets m JavaServer Pages 1.1. For these API specifications, see java.sun.com/products/jsp If you want to use Tomcat, you must activate it first. See “Starting Tomcat” on page 347 for instructions. PHP: Hypertext Preprocessor PHP lets you handle dynamic Web content by using a server-side HTML-embedded scripting language resembling C. Web developers embed PHP code within HTML code, allowing programmers to integrate dynamic logic directly into an HTML script rather than write a program that generates HTML. PHP provides CGI capability and supports a wide range of databases. Unlike client-side JavaScript, PHP code is executed on the server. PHP is also used to implement WebMail on Mac OS X Server. For more information about this module, see www.php.net mod_perl This module integrates the complete Perl interpreter into the Web server, letting existing Perl CGI scripts run without modification. This integration means that the scripts run faster and consume fewer system resources. For more information about this module, seeWeb Service 367 perl.apache.org MySQL MySQL provides a relational database management solution for your Web server. With this open-source software, you can link data in different tables or databases and provide the information on your Web site. The MySQL Manager application simplifies setting up the MySQL database on Mac OS X Server. You can use MySQL Manager to initialize the MySQL database, and to start and stop the MySQL service. MySQL is pre-installed on Mac OS X Server, with its various files already in the appropriate locations. At some point you may wish to upgrade to a newer version of MySQL. You may install the new version in /usr/local/mysql, however, MySQL Manager will not be aware of the new version of MySQL and will continue to control the pre-installed version. If you do install a newer version of MySQL, use MySQL Manager to stop the pre-installed version, then start the newer version via the config file. For more information on MySQL, see www.mysql.com Where to Find More Information For information about configuration files and other aspects of Apache Web service, see these resources: m Apache: The Definitive Guide, 2nd Edition, by Ben Laurie and Peter Laurie (O’Reilly and Associates, 1999) m Writing Apache Modules with Perl and C, by Lincoln Stein and Doug MacEachern (O’Reilly and Associates, 1999) m Web Performance Tuning, by Patrick Killelea (O’Reilly and Associates, 1998) m Web Security & Commerce, by Simson Garfinkel and Gene Spafford (O’Reilly and Associates, 1997) m For more information about Apache, see the Apache Web site: www.apache.org m For an inclusive list of methods used by WebDAV clients, see RFC 2518. RFC documents provide an overview of a protocol or service that can be helpful for novice administrators, as well as more detailed technical information for experts. You can search for RFC documents by number at this Web site: www.faqs.org/rfcs369 C H A P T E R 9 9 Mail Service Mail service in Mac OS X Server allows network users to send and receive email over your network or across the Internet. The mail service sends and receives email using the standard Internet mail protocols: Internet Message Access Protocol (IMAP), Post Office Protocol (POP), and Simple Mail Transfer Protocol (SMTP). The mail service also uses a Domain Name System (DNS) service to determine the address of outgoing mail. This chapter begins with a look at the standard protocols used for sending and receiving email. It goes on to explain how mail service works, summarize the aspects of mail service management, and tell you how to m manage mail service m manage incoming and outgoing mail m manage the mail database m monitor and log mail activity m limit junk mail m handle undeliverable mail m support mail users m improve mail service performance m back up and restore mail files370 Chapter 9 Mail Service Protocols A standard mail setup uses SMTP to send outgoing email and POP and IMAP to receive incoming email. Mac OS X Server includes an SMTP service and a combined POP and IMAP service. You may find it helpful to take a closer look at the three email protocols. Post Office Protocol (POP) The Post Office Protocol (POP) is used only for receiving mail, not for sending mail. The mail service of Mac OS X Server stores incoming POP mail until users have their computers connect to the mail service and download their waiting mail. After a user’s computer downloads POP mail, the mail is stored only on the user’s computer. The user’s computer disconnects from the mail service, and the user can read, organize, and reply to the received POP mail. The POP service is like a post office, storing mail and delivering it to a specific address. One advantage of POP is that your server doesn’t need to store mail that users have downloaded. Therefore, your server doesn’t need as much storage space as it would using the IMAP protocol. However, because the mail is removed from the server, if any client computers sustain hard disk damage and lose their mail files, there is no way you can recover these files without using data backups. POP is not the best choice for client users who access mail from more than one computer, such as a home computer, an office computer, or a laptop while on the road. When a user reads mail via the POP protocol, the mail is downloaded to the user’s computer and completely removed from the server. If the user logs in later from a different computer, he or she won’t be able to see previously read mail. In Out Out The Internet ron@example.edu In Mail server for school.com Mail server for example.comMail Service 371 Internet Message Access Protocol (IMAP) Internet Message Access Protocol (IMAP) is the solution for people who need to receive mail from more than one computer. IMAP is a client-server mail protocol that allows users to access their mail from anywhere on the Internet. Users can send and read mail with a number of IMAP-compliant email clients. With IMAP, client users’ mail is stored in a remote mailbox on the server; mail appears to users just as if it were on the local computer. IMAP delivers mail to the server, as with POP, but the mail is not removed from the server until the user deletes it. IMAP follows the typical client-server model. The user’s computer can ask the server for message headers, ask for the bodies of specified messages, or search for messages that meet certain criteria. These messages are downloaded as the user opens them. Simple Mail Transfer Protocol (SMTP) Simple Mail Transfer Protocol (SMTP) is a protocol that is used to send and transfer mail. Since SMTP’s ability to queue incoming messages is limited, it is usually used only to send mail, while POP or IMAP is used to receive mail. SMTP Alternatives: Sendmail and Postfix Instead of the SMTP mail service of Mac OS X Server, you can use another mail transfer agent (MTA), such as the UNIX programs Sendmail and Postfix. If you choose to use another mail transfer agent, it handles all incoming and outgoing SMTP mail. In this case, mail sent to local email users is delivered to the other mail transfer agent. Then Mac OS X Server transfers incoming mail from the other mail transfer agent for final delivery to email users using the POP and IMAP protocols. POP and IMAP continue to function as usual, but SMTP mail is now subject to the rules and settings of the other mail transfer agent. The UNIX Sendmail program is included with Mac OS X Server and is configured to work correctly with Mac OS X Server mail service. To use Sendmail, you must set Mac OS X Server mail service to use an alternate mail transfer agent and you must start Sendmail. For more information about Sendmail, see this Web site: www.sendmail.org If you want to use the Postfix program instead of Sendmail, you must install and configure Postfix. Then you must set Mac OS X Server mail service to use an alternate mail transfer agent and you must start Postfix. For more information about Postfix, see this Web site: www.postfix.org372 Chapter 9 How Mail Service Uses SSL The mail service supports secure IMAP connections with mail client software that requests them. If a mail client requests a Secure Sockets Layer (SSL) connection, the mail service automatically complies. The mail service still provides non-SSL (unencrypted) connections to clients that do not request SSL. The mail service does not require any configuration to use SSL in this manner. The configuration of each mail client determines whether it connects with SSL or not. How Mail Service Uses DNS Before sending an email, your mail service will probably have a Domain Name System (DNS) service determine the Internet Protocol (IP) address of the destination. The DNS service is necessary because people typically address their outgoing mail by using a domain name, such as example.com, rather than an IP address, such as 198.162.12.12. To send an outgoing message, your mail service must know the IP address of the destination. The mail service relies on a DNS service to look up domain names and determine the corresponding IP addresses. The DNS service may be provided by your Internet service provider (ISP) or by Mac OS X Server, as explained in Chapter 14, “DNS Service.” The mail that your mail service receives comes from other servers, and they use DNS to look up your mail service. DNS is able to find your mail service if you have created a mail exchange (MX) record for it. Your MX record specifies the name of the computer that handles mail service for your domain. This computer is known as a mail host. For example, the MX record for the domain example.com may specify that the name of the mail host is mail.example.com. If a mail service wants to send mail that’s addressed to someone@example.com, the mail service requests the MX record for the domain example.com and learns that it should actually send the mail to someone@mail.example.com. An MX record can provide redundancy by listing an alternate mail host for a domain. If the primary mail host is not available, the mail can be sent to the alternate mail host. In fact, an MX record can list several mail hosts, each with a priority number. If the lowest priority host is busy, mail can be sent to the host with the next lowest priority, and so on.Mail Service 373 Where Mail Is Stored The mail service keeps track of email messages in a small database, but the database does not contain the messages. The mail service stores each message as a separate file in a mail folder. The mail service stores its database file and folder of messages in the folder /Library/ AppleMailServer by default. You can change the location of the mail folder and database to another folder, disk, or disk partition. You can even specify a shared volume on another server as the location of the mail folder and database, although using a shared volume incurs performance penalties. Mail service uses an additional folder if you turn on the option to use an alternate mail transfer agent, such as the UNIX Sendmail program. The alternate mail transfer agent delivers mail for users of your Apple mail service to the /var/mail folder. This is the standard UNIX mail delivery location. Mail for each user is stored in standard UNIX mailbox format in a file with the user’s name. The Apple IMAP and POP service imports mail from this location to the mail database in the /Library/AppleMailServer folder. A user’s mail remains in /var/mail until the user checks for new mail. Technically, the Apple mail service imports a user’s mail when the user selects the Inbox via IMAP or triggers a LIST via POP. How User Account Settings Affect Mail Service In addition to setting up and managing mail service as described in this chapter, you can also configure some mail settings individually for everyone who has a user account on your server. Each user account has settings that do the following: m enable or disable mail service for the user account m specify the server that provides mail service for the user account m set a quota on the amount of disk space for storing the user account’s mail on the server m specify the protocol for the user account’s incoming mail: POP, IMAP, or both m maintain separate inboxes for POP and IMAP mail m show a POP mailbox in the user’s list of IMAP folders m alert the user via NotifyMail when mail arrives What Mail Service Can Do About Junk Mail You can configure your mail service to decrease the volume of unsolicited mail, also known as junk mail and spam. You can take steps to block spam that is sent to your mail users. 374 Chapter 9 You can also take steps to prevent senders of junk mail from using your server as a relay point. A relay point or open relay is a server that unselectively receives and forwards all mail addressed to other servers. An open relay sends mail from any domain to any domain. Junk mail senders exploit open relay servers to avoid having their own SMTP servers blacklisted as sources of spam. You do not want your server blacklisted as an open relay, because other servers may reject mail from your users. Your mail service can do any of the following to reduce spam: m require SMTP authentication m restrict SMTP relay, allowing relay only by approved servers m reject all SMTP connections from disapproved servers m match the DNS name of every mail server to the reverse-lookup of its IP address m reject mail from blacklisted servers SMTP Authentication If your mail service requires SMTP authentication, your server cannot be used as an open relay by anonymous users. Someone who wants to use your server as a relay point must first provide the name and password of a user account on your server. SMTP authentication applies to mail relay, but does not apply to delivery of mail for local mail service users. Your mail service always accepts mail for local delivery without SMTP authentication. Your local mail users must also authenticate before sending mail. This means your mail users must have mail client software that supports SMTP authentication or they will be unable to send mail. Restricted SMTP Relay If your mail service allows SMTP relay only by approved mail servers, then the approved servers can relay through your mail service without authenticating. You create the list of approved servers. Servers not on the list cannot relay mail through your mail service unless they authenticate first. All mail servers, approved or not, can deliver mail to your local mail users without authenticating. Mail Service 375 SMTP Authentication and Restricted SMTP Relay Combinations The following table describes the results of using SMTP authentication and restricted SMTP relay in various combinations. Rejected SMTP Servers You can have your mail service reject all SMTP connections from mail servers that you add to a list of disapproved servers. Your mail service does not allow anyone to authenticate from a disapproved server. No one can send your users mail or relay mail through your server from a disapproved server. Mismatched DNS Name and IP Address Your mail service can log and optionally reject connections from a mail server whose DNS name doesn’t match the name that your DNS service gets when it looks up the mail server’s IP address. This method intercepts junk mail from senders who pretend to be someone else, but may also block mail sent from a misconfigured SMTP server. You should be aware that because reverse-lookups of IP addresses involve contacting DNS, they could slow down the performance of your mail service. Blacklisted Servers Your mail service can reject mail from SMTP servers that are blacklisted as open relays by an Open Relay Behavior-modification System (ORBS) server. Your mail service uses an ORBS server that you specify. ORBS servers are also known as black-hole servers. SMTP authentication Restricted SMTP relay Result On Off All mail servers must authenticate before your mail service will accept any mail for relay. Authentication is not required for delivery to local mail users. Your local mail users must also authenticate to send mail. On On Approved mail servers can relay without authentication. Servers that you have not approved can relay after authenticating with your mail service. Off On Your mail service can’t be used for open relay. Approved mail servers can relay (without authenticating). Servers that you have not approved can’t relay unless they authenticate, but they can deliver to your local mail users. Your local mail users do not have to authenticate to send mail. This is the most common configuration.376 Chapter 9 What Mail Service Doesn’t Do Mail service provided by Mac OS X Server does not support m mailing lists m virtual domains (user@example1.com and user@example2.com can’t be different mail accounts) m Secure Sockets Layer (SSL) for SMTP and POP m mail services on multiple Mac OS X Servers, because they would all try to provide SMTP service on port 25 and user accounts can’t be assigned to a particular server for SMTP service Mail Service Configuration in the Local Directory The mail service configuration is stored in the local Open Directory domain of your Mac OS X Server, in a specific record with specific attributes and values. For example, the server’s local Open Directory domain stores the path of the UNIX mail delivery location that is used if you choose to use a mail transfer agent other than the SMTP service of Mac OS X Server. You can view and change the values of mail service attributes in the server’s local Open Directory domain with NetInfo Manager, which is included with Mac OS X Server. For instructions, see “Using NetInfo Domains” on page 110 of Chapter 2, “Directory Services.” Overview of Mail Service Tools The following applications help you set up and manage mail service. m Server Assistant. Use to start mail service when you install Mac OS X Server m Server Settings. Use to start, stop, and configure mail service m Workgroup Manager. Use to create user accounts for email users and configure each user’s mail options m Server Status. Use to monitor mail service, view mail logs, list email accounts, and list connected email users m Terminal. Optionally use for tasks that involve UNIX command-line tools, such as cleaning up the mail database and starting SendmailMail Service 377 Setup Overview You can have mail service set up and started as part of the Mac OS X Server installation process. An option for setting up mail service appears in the Setup Assistant application, which runs automatically at the conclusion of the installation process. If you select this option, mail service is set up as follows: m SMTP, POP, and IMAP all active and using standard ports m standard authentication methods used (not Kerberos), with POP and IMAP set for cleartext passwords (APOP and CRAM-MD5 turned off ) and SMTP authentication turned off m local mail delivery only (no mail sent to the Internet) m mail relay turned off m administrator access via IMAP turned on If you want to change this basic configuration, or if you have not set up your mail service, these are the major tasks you perform to set up mail service: m Step 1: Before you begin, do some planning. m Step 2: Set up MX records. m Step 3: Start mail service. m Step 4: Configure incoming mail service. m Step 5: Configure outgoing mail service. m Step 6: Configure additional settings for mail service. m Step 7: Set up accounts for mail users. m Step 8: Create a postmaster account. m Step 9: Set up each user’s mail client software. Following is a summary of these tasks. The description of each task tells you which pages have detailed instructions for performing the task. Step 1: Before you begin, do some planning See “Before You Begin” on page 379 for a list of items to think about before you start fullscale mail service. Step 2: Set up MX records If you want users to be able to send and receive mail over the Internet, you should make sure DNS service is set up with the appropriate MX records for your mail service. m If you have an Internet service provider (ISP) that provides DNS service to your network, contact the ISP and have the ISP set up MX records for you. Your ISP will need to know your mail server’s DNS name (such as mail.example.com) and your server’s IP address. 378 Chapter 9 m If you use Mac OS X Server to provide DNS service, create your own MX records as described in “Using DNS With Mail Service” on page 516 in Chapter 14, “DNS Service.” m If you do not set up an MX record for your mail server, your server may still be able to exchange mail with some other mail servers. Some mail servers will find your mail server by looking in DNS for your server’s A record. ( You probably have an A record if you have a Web server set up.) Note: Your mail users can send mail to each other even if you do not set up MX records. Local mail service does not require MX records. Step 3: Start mail service Make sure the server computer shows the correct day, time, time zone, and daylight-saving settings in the Date & Time pane of System Preferences. Mail service uses this information to time stamp each message. An incorrect time stamp may cause other mail servers to handle a message incorrectly. Once you’ve verified this information, you can start mail service. If you selected the Server Assistant option to have mail service started automatically, stop mail service now and then start it again for your changes to take effect. For detailed instructions, see “Starting and Stopping Mail Service” on page 380. Step 4: Configure incoming mail service Your mail service has many settings that determine how it handles incoming mail. See these sections for instructions: m “Working With Settings for Incoming Mail” on page 382 m “Working With Settings for Incoming POP Mail” on page 384 m “Working With Settings for Incoming IMAP Mail” on page 385 Step 5: Configure outgoing mail service Your mail service also has many settings that determine how it handles outgoing mail. For instructions, see these sections: m “Working With Settings for Outgoing Mail” on page 387 m “Working With Settings for SMTP Mail” on page 389 Step 6: Configure additional settings for mail service Additional settings that you can change affect how mail service stores mail, interacts with DNS service, limits spam, and handles undeliverable mail. See these sections for detailed instructions: m “Working With the Mail Database” on page 393 m “Cleaning Up the Mail Files” on page 395Mail Service 379 m “Limiting Junk Mail” on page 398 m “Working With Undeliverable Mail” on page 402 Step 7: Set up accounts for mail users Each person who wants mail service must have a user account in a directory domain accessible by your mail service. The short name of the user account is the mail account name and is used to form the user’s mail address. In addition, each user account has settings that determine how your mail service handles mail for the user account. You can configure a user’s mail settings when you create the user’s account, and you can change an existing user’s mail settings at any time. For instructions, see m “Administering User Accounts” on page 137 of Chapter 3 m “Working With Mail Settings for Users” on page 150 of Chapter 3 Step 8: Create a postmaster account You need to create a user account named “postmaster.” The mail service may send reports to the postmaster account. When you create the postmaster account, make sure mail service is enabled for it. For convenience, you can set up forwarding of the postmaster’s mail to another mail account that you check regularly. Chapter 3, “Users and Groups,” tells you how to create user accounts. Step 9: Set up each user’s mail client software After you set up mail service on your server, mail users must configure their mail client software for your mail service. For details about the facts that users need when configuring their mail client software, see “Supporting Mail Users” on page 405. Overview of Ongoing Mail Service Management Information in these sections will help you with your day-to-day mail service maintenance activities: m “Monitoring Mail Status” on page 403 m “Performance Tuning” on page 407 m “Backing Up and Restoring Mail Files” on page 408 Before You Begin Before setting up mail service for the first time: m Decide whether to use POP, IMAP, or both for incoming mail.380 Chapter 9 m If your server will provide mail service over the Internet, you need a registered domain name. You also need to determine whether your ISP will create your MX records or you will create them in your own DNS service. m Identify the people who will use your mail service but don’t already have user accounts in a directory domain accessible to your mail service. You will have to create user accounts for these mail users. Working With General Settings for Mail Service This section tells you how to start and stop mail service, configure Kerberos authentication, list your mail server’s local names, change any mail protocol settings, and monitor or archive mail. These settings affect all incoming and outgoing mail service protocols—POP, IMAP, and SMTP. All these settings are described in this section. Starting and Stopping Mail Service Mail service is ordinarily started automatically after you complete the Server Assistant. You can also use the Server Settings application to start and stop mail service at your discretion. To start or stop mail service: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Start Mail Service or Stop Mail Service. If you plan to turn off mail service for an extended period of time, notify users before you stop the mail service. When you start mail service, it looks for an existing database from an earlier version of Mac OS X Server. Mail service automatically converts an existing mail database and renames the existing database so that it won’t be converted again. See “Converting the Mail Database From an Earlier Version” on page 393 for additional information. Starting Mail Service Automatically You can set mail service to start automatically whenever the Mac OS X Server system starts up. This ensures that mail service will start when the system restarts after a power outage or another unexpected event. To configure automatic startup for mail service: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the General tab. 4 Select “Start mail server at system startup” and click Save.Mail Service 381 Requiring or Allowing Kerberos Authentication You can choose to require, allow, or disallow the Kerberos authentication method for all SMTP, IMAP, and POP mail service. Before enabling Kerberos authentication for mail service, you must integrate Mac OS X with a Kerberos server. For instructions, see “Integrating Mac OS X With a Kerberos Server” on page 199 in Chapter 3, “Users and Groups.” To enable Kerberos authentication of mail service: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the General tab. 4 Choose a method from the Authentication pop-up menu and click Save. Choose Standard if you want mail service to use the authentication methods that are set by clicking POP Options, IMAP Options, and SMTP Options in the Protocols tab. Choose Kerberos if you want mail service to require Kerberos authentication for POP, IMAP, and SMTP. In this case, users’ mail client software must support Kerberos. Choose Any Method if you want to allow but not require the use of Kerberos authentication. A mail client that does not support Kerberos can use the standard authentication method instead. Adding or Removing Local Names for the Mail Server Your mail service has a list of all the domain names for which it is responsible. You should add any names that are likely to appear after @ in the addresses of mail directed to your server. For example, the list might contain variations of the spelling of your domain name or company name. Your mail settings apply to all domain names in this list. To add or remove local names for the mail server: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click Add and type the domain name of a virtual mail host for which you want your server to be responsible. To remove an item from the list, select it and click Remove. 4 Click Save. Note: If you’ve set up MX records, you don’t need to add anything to this list. Your mail service will add names as it discovers them in the course of its daily operation.382 Chapter 9 If a domain name in this list does not have an MX record, only your mail service recognizes it. External mail sent to this domain name will be returned. You should place domain names without MX records in this list only as a time saver for local (internal) mail. Changing Protocol Settings for Mail Service You can change the settings for all protocols that your mail service uses. These may include SMTP, IMAP, POP, and NotifyMail. 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab, then click the Options button for the protocol you want to change. 4 Make the changes you want and click Save. Monitoring and Archiving Mail You can configure mail service to send blind carbon copies of all messages to a user or group that you specify. You might want to do this if you need to monitor or archive messages. Senders and receivers of mail do not know that copies of their mail are being archived. You can set up the specified user or group to receive the blind carbon copies using POP, and then set up a client email application to log in periodically and clean out the account by retrieving all new messages. You may want to set up filters in the email client to highlight certain types of messages. Or you may want to archive all messages for legal reasons. To monitor or archive all messages: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Hosts. 3 Click the Incoming Mail tab. 4 Select “Blind copy incoming and outgoing messages to” and type a user name or group name. 5 Click Save. Working With Settings for Incoming Mail You can change settings that affect mail coming to users of your mail service, including mail your users receive from one another. The mail service has settings for limiting incoming message size, deleting incoming messages automatically, and notifying users who have new mail.Mail Service 383 Limiting Incoming Message Size You can set a maximum size for incoming messages. The default is 10,240 kilobytes (10 megabytes). To set a maximum incoming message size: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Messages tab. 4 Select Message Size and type the number of kilobytes you want to set as the limit. 5 Click Save. Deleting Email Automatically You can have your mail service delete incoming messages automatically after a specified period of time. You may want to set these options if disk space is an issue. To delete incoming mail automatically: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Messages tab. 4 Select Automatic Mail Deletion and enter the number of days in the fields for unread and read mail. Disable either setting by leaving it blank (don’t enter a number of days). Disable all automatic mail deletion by deselecting Automatic Mail Deletion. Notifying Users Who Have New Mail Rather than require each user to periodically check for new mail, the mail service can notify users when they have new mail. To do this, you set your mail service to use the NotifyMail protocol. To set your mail service to use NotifyMail: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab and select Enable NotifyMail. 4 Click Save. Warning Automatic mail deletion permanently removes mail from the server, including messages in IMAP folders.384 Chapter 9 NotifyMail must also be enabled in each user account. For instructions, see “Enabling Mail Service Account Options” on page 150 of Chapter 3, “Users and Groups.” In addition, third-party software must be installed on users’ computers. For more information, see this Web site: www.notifymail.com Working With Settings for Incoming POP Mail Post Office Protocol (POP) is used to receive, but not send, mail. Users connect to a POP service to retrieve all of their waiting mail. After the user has retrieved mail, it is usually removed from the server. (A setting in the user’s mail client software determines whether it asks the POP service to remove the user’s retrieved mail.) The mail service has settings for requiring authenticated POP connections, changing the POP response name, and changing the POP port number. All these settings are described in this section. Requiring Authenticated POP (APOP) Your POP mail service can protect users’ passwords by requiring APOP connections. When a user connects with APOP, the user’s mail client software encrypts the user’s password before sending it to your POP service. Before configuring your mail service to require APOP, make sure all users’ mail client software is able to use APOP as well. To require APOP authentication: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab and select Enable POP3, if it is not already checked. 4 Click POP3 Options. 5 Select “Require APOP authentication” and click Save. Changing the POP Response Name You can change the DNS name that your POP mail service sends back to a user’s mail client software when the client initiates a POP connection. To change the POP response name: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab and select Enable POP3, if it is not already checked.Mail Service 385 4 Click POP3 Options. 5 Enter the DNS name you want your mail service to use when responding to POP connections, then click Save. Changing the POP Port Number The standard port number for POP mail service is 110. You can specify a different port, but do so carefully. If you change your mail service’s POP port number, you must also change the POP port used by all users’ mail client software. Also, don’t use a port that is used by another service. To change the POP port number: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab and select Enable POP3, if it is not already checked. 4 Change the port number for the POP3 protocol and click Save. Working With Settings for Incoming IMAP Mail Internet Message Access Protocol (IMAP) is a client-server mail protocol that allows users to access their mail from anywhere on the Internet. Each IMAP user’s mail remains in mailboxes on the server, just as if it were on the user’s computer. IMAP delivers mail to the user’s inbox as does POP, but when the user retrieves mail, it is not removed from the server. The mail service has settings for requiring secure IMAP authentication, changing the IMAP response name, using case-sensitive IMAP folder names, controlling IMAP connections per user, terminating idle IMAP connections, and changing the IMAP port number. All these settings are described in this section. Requiring Secure IMAP Authentication Your IMAP mail service can protect users’ passwords by requiring that connections use the Challenge-Response Authentication Method MD-5 (CRAM-MD5). When a user connects with CRAM-MD5 authentication, the user’s mail client software encrypts the user’s password before sending it to your IMAP service. Before configuring your mail service to require CRAM-MD5 authentication, make sure all users’ mail client software is able to authenticate using the CRAM-MD5 method. To require CRAM-MD5 authentication: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service.386 Chapter 9 3 Click the Protocols tab and select Enable IMAP, if it is not already checked. 4 Click IMAP Options. 5 Select “Require CRAM-MD5 authentication” and click Save. Changing the IMAP Response Name You can change the DNS name that your IMAP mail service sends back to a user’s mail client software when the client initiates an IMAP connection. To change the IMAP response name: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab and select Enable IMAP, if it is not already checked. 4 Click IMAP Options. 5 Enter the DNS name you want your mail service to use when responding to IMAP connections, then click Save. Using Case-Sensitive IMAP Folder Names You can allow mail users to create IMAP folders with names that are spelled the same but are capitalized differently. For example, a user could have one folder named ‘”Urgent” and a different folder named “URGENT.” To allow case-sensitive IMAP folder names: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab and select Enable IMAP, if it is not already checked. 4 Click IMAP Options. 5 Select “Use case-sensitive IMAP folder names” and click Save. Controlling IMAP Connections Per User You can adjust the load each mail user can put on your server by limiting the number of connections each user can have on a single IP address. To limit IMAP connections per user: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab, then click IMAP Options.Mail Service 387 4 Enter the number of connections you want to allow, then click Save. The default setting is 32, and the maximum is 128. A value of zero gives users unlimited connections. Terminating Idle IMAP Connections You can specify how long you want to allow IMAP mail connections to remain idle before the connection is terminated. Terminating idle connections can improve mail service performance. To set idle connection limits: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab, then click IMAP Options. 4 Enter the number of minutes you want to allow for each IMAP connection, then click Save. The default is 30 minutes, and a zero indicates that there is no time limit. The accepted range is 1 through 999. Changing the IMAP Port Number The default port for incoming IMAP connections is 143. You can change this port number, but you’ll need to change the port number for IMAP client computers as well. Make sure you don’t change to a port number already in use by another service or operation. To change the IMAP port number: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab and select Enable IMAP, if it is not already checked. 4 Change the port number for the IMAP protocol and click Save. If you change your mail service’s IMAP port number, you must also change the IMAP port used by all users’ mail client software. Working With Settings for Outgoing Mail You can change settings that affect mail going out of your mail service, including mail that your users send to one another. The mail service has settings for sending nonlocal mail, sending only local mail, and suspending outgoing mail service.388 Chapter 9 Sending Nonlocal Mail If your mail service currently allows sending only local mail, you can change a setting to allow sending mail to addresses outside your local network, including to the Internet. To allow sending mail outside your local network: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Host Settings. 3 Click the Outgoing Mail tab. 4 Choose “Allow outgoing mail” from the pop-up menu, then click Save. Sending Only Local Mail You can set your mail service to allow sending only messages that are addressed to recipients on your local network. This setting prevents users from sending mail to addresses on the Internet. To allow only local outgoing mail delivery: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Host Settings. 3 Click the Outgoing Mail tab. 4 Choose “Limit to local users” from the pop-up menu, then click Save. If you limit outgoing mail to local users, all the options in the Outgoing Mail pane are disabled because they are not relevant to local outgoing mail. Suspending Outgoing Mail Service You can prevent the mail service from sending new outgoing mail. You could do this to isolate a problem, or to prevent conflicts with other mail service running on your network. To suspend outgoing mail service: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab and choose Use None from the pop-up menu. 4 Click Save.Mail Service 389 Working With Settings for SMTP Mail The mail service includes a Simple Mail Transfer Protocol (SMTP) service for sending mail. Subject to restrictions that you control, the SMTP service also transfers mail to and from mail service on other servers. If your mail users send messages to another Internet domain, your SMTP service delivers the outgoing messages to the other domain’s mail service. Other mail services deliver messages for your mail users to your SMTP service, which then transfers the messages to your POP service and IMAP service. Your mail service has settings for requiring SMTP authentication, sending mail via another SMTP server, changing the SMTP response names, changing the incoming SMTP port number, changing the outgoing SMTP port number, and enabling an alternate mail transfer agent. You can also start Sendmail. All these tasks are described in this section. Your mail service also has settings that restrict SMTP mail transfer and thereby limit junk mail. For more information on these settings, see “Limiting Junk Mail” on page 398. Requiring SMTP Authentication Your server can guard against being an open relay by requiring SMTP authentication. Requiring authentication ensures that only known users—people with user accounts on your server—can send mail from your mail service. You can configure the mail service to require secure authentication using the CRAM-MD5 method. You can also allow the less secure PLAIN and LOGIN authentication methods, which don’t encrypt passwords, if some users have email client software that doesn’t support the CRAM-MD5 method. Note: Requiring SMTP authentication does not affect delivery of mail to users of your mail service. Your mail service doesn’t require other servers to authenticate before delivering mail for local mail service users. To require SMTP authentication: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab and Apple Mail Service SMTP from the pop-up menu. 4 Click SMTP Options. 5 Select “Require authenticated SMTP using CRAM-MD5,” optionally select “Allow PLAIN and LOGIN authentication,” and then click Save. Sending SMTP Mail via Another Server Rather than delivering outgoing mail directly to its various destinations, your SMTP mail service can relay outgoing mail to another server. The other server then attempts to deliver your SMTP service’s outgoing mail. Your SMTP service batches outgoing mail and sends it to the other server, which acts as a proxy for delivering the mail. 390 Chapter 9 m You may need to use this setting to deliver outgoing mail through a firewall set up by your organization. In this case, your organization will designate a particular server for relaying mail through the firewall. m You may find this setting useful if your server has slow or intermittent connections to the Internet, or if you are billed by the number of connections you initiate. To relay SMTP mail through another server: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Host Settings. 3 Click the Outgoing Mail tab. 4 Click “Relay all SMTP mail via” and enter the DNS name or IP address of the server that provides SMTP relay. 5 Click Save. Note: This option is disabled if the pop-up menu is set to “Limit to local users.” Changing the SMTP Response Names When your server connects with another server to send outgoing mail, your SMTP mail service identifies itself by sending a name. Your SMTP service also sends its name when another server contacts your server to deliver incoming mail. You can specify the name that your SMTP service sends for incoming connections and the name it sends for outgoing connections. m The incoming and outgoing SMTP response names are typically the same. m The incoming and outgoing response names should match the DNS name that another server would get by doing a reverse DNS lookup of your server’s IP address. m If your server connects to the Internet via an Internet gateway or router that uses Network Address Translation (NAT), your server effectively has the IP address of the Internet gateway or router. In this case, the incoming and outgoing response names should match the DNS name that another server would get by doing a reverse DNS lookup of the Internet gateway’s IP address. An AirPort Base Station is an example of an Internet gateway that can be configured to use NAT. To specify the SMTP response names: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab and choose Apple Mail Service SMTP from the pop-up menu. 4 Click SMTP Options. 5 Enter the incoming response name and the outgoing response name, then click Save.Mail Service 391 Changing the Incoming SMTP Port Number You can change the port number on which your SMTP service receives incoming mail from other servers. Other servers must use this port number to deliver incoming mail to your server. The standard incoming SMTP port is 25. You can change this port number, but do so carefully. If you change to a nonstandard incoming SMTP port number, other servers will be unable to deliver incoming mail to your server unless they use this nonstandard port number for their outgoing SMTP mail. Make sure you don’t change to a port number already in use by other services or operations. To change the incoming SMTP port number: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab and select Enable SMTP, if it is not already checked. 4 Change the port number for the SMTP protocol and click Save. Changing the Outgoing SMTP Port Number You can change the port number that your SMTP service uses when attempting to send outgoing mail to other servers. The standard port for outgoing SMTP connections is 25. You can change this port number, but do so carefully. If you use a nonstandard outgoing SMTP port, your server will be unable to deliver outgoing mail to other servers unless they use this nonstandard port for their incoming SMTP mail. Make sure you don’t change to a port number already in use by another service or operation. To change the outgoing SMTP port number: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Host Settings. 3 Click the Network Settings tab. 4 Change the SMTP port number and click Save. Enabling an Alternate Mail Transfer Agent You can use an alternate mail transfer agent, such as the UNIX Sendmail program, to handle incoming and outgoing SMTP mail. Any mail sent to local email users is processed by the mail transfer agent and transferred to the Mac OS X Server mail service for delivery. POP and IMAP continue to function as usual, but SMTP mail is now subject to the rules and settings of the mail transfer agent. To use another mail transfer agent: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service.392 Chapter 9 3 Click the Protocols tab and choose Other Mail Transfer Agent from the pop-up menu. 4 Click Save. 5 Start the other mail transfer agent program. Starting Sendmail If you configure mail service to use an alternate mail transfer agent such as the UNIX program Sendmail, you need to start the mail transfer agent program. It then becomes the primary SMTP mail transfer agent on your server. The UNIX Sendmail program is included with Mac OS X. To start Sendmail as root, type this command in the Terminal application: /usr/lib/sendmail -bd To configure Sendmail to start automatically every time the system starts up, you need root privileges; edit the /etc/hostconfig file, find the line containing MAILSERVER, and make it read MAILSERVER=-YESTo keep Sendmail from starting when the system starts up, change the line to MAILSERVER=-NOThe Sendmail program will not operate if the permissions of the root directory are changed. Some installer programs for software updates or applications may change the root directory permissions from the standard for Mac OS X Server to the standard for a Mac OS X client computer. The standard for Mac OS X Server is 1755 or rwxr-xr-t, which means read/write/execute by owner, read/execute by group, and read/execute by everyone (world). The standard for a Mac OS X client is 1775 or rwxrwxr-t, which allows group write privileges. You can check the permissions currently set for the root directory by typing the following command in the Terminal application: ls -al / This form of the ls command displays detailed information for the root directory. The first character of each line indicates the type of item (d for directory, l for symbolic link, - for regular file). This is followed by nine characters that indicate the permissions for the item. The item name is at the end of the line. A single period (.) represents the directory whose contents are listed, and it is the first line displayed by this ls command. In this case, the first line is for the root directory. If the permissions for the root directory are rwrr-xr-t then they are correct for Mac OS X Server. Mail Service 393 If the permissions for the root directory are rwxrwxr-t then they have been changed to the standard for a Mac OS X client. To correct this, type the following command in the Terminal application: sudo chmod g-w / For more information on Sendmail, see this Web site: www.sendmail.org Working With the Mail Database The mail database keeps track of messages for all mail service users. Mail service stores messages in separate files. You can do the following with the mail database and files: m convert the mail database from an earlier version of Mac OS X Server m change the location where the mail database and files are stored m configure automatic mail deletion m allow administrators to access the mail database and files via IMAP m clean up the mail database and files All these tasks are described in this section. Converting the Mail Database From an Earlier Version When mail service starts for the first time, it looks for an existing mail database from an earlier version of Mac OS X Server. Mail service migrates messages from an existing mail database to the current mail database format. After migrating all messages, mail service renames the old database to preclude the old database from being converted again. You can delete the renamed database file when you are satisfied that the migration and conversion process was successful. In Mac OS X Server version 10.2, the mail service stores each message in a separate file and keeps track of message files in a relatively small database file. In earlier versions of Mac OS X Server, the mail service stores all messages in one large database file, /Library/ AppleMailServer/MacOSXMailDB. The automatic conversion process extracts each message from the monolithic database file and stores it in a separate file. The message files are located in a folder at /Library/AppleMailServer/AppleMail (unless you change the location where mail is stored). The new MacOSXMailDB file contains only user and mail account information. Note: For the mail database conversion to complete successfully, the server must have enough disk space available. The amount of disk space available should equal the size of the database file being converted.394 Chapter 9 Changing Where Mail Is Stored You can change where mail is stored on the server. The default location is /Library/AppleMailServer. To change where mail is stored on the server: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the General tab. 4 Select “Use alternate mail store location” and enter the path of the location that you want to use. 5 Click Save. Configuring Automatic Mail Deletion If disk space is an issue, you can have read and unread mail automatically deleted from your server at specified times. If you choose this option, you should let your users know how long their messages will remain on the server before being deleted. Automatic mail deletion permanently removes mail from the server, including messages in IMAP folders. To set up automatic mail deletion: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Messages tab. 4 Click Automatic Mail Deletion and type the number of days in the field below for unread mail and read mail. Don’t enter a number if you don’t want to enable one of the settings. 5 Click Save. Allowing Administrator Access to the Mail Database and Files You can configure IMAP to allow the server administrator to view and modify any message in the mail database. To take advantage of this administrator access, you must use an email client that allows you to change its IMAP port number, such as the Mail application in Mac OS X. To gain administrator access from such an email client, you must know a server administrator name and password. The mail client must be configured to use the IMAP administrator port instead of the normal IMAP port. The standard port number for IMAP administrator access is 626. You can change your mail service to use a different port number.Mail Service 395 When your mail client connects on the IMAP administrator port, you see all the messages stored on the server. Each user’s mailbox appears as a separate folder in your mail client. You can remove disused mailbox folders that belonged to deleted user accounts. In addition to seeing the mail users, you also see outgoing mail hosts. A host with an unusually high number of messages queued for delivery may indicate that your mail service is unable to connect with the host to exchange mail. If you allow administrator access to the mail database, you should use your server’s IP firewall service to restrict connections on the IMAP administrator port (port 626 by default) to IP addresses that are well known to you. For instructions, see Chapter 15, “Firewall Service.” To configure administrator access to the database: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab and select Enable IMAP, if it is not already checked. 4 Click IMAP Options. 5 Select Allow IMAP Administrator Access and optionally change the port number. 6 Click Save. 7 In your email client application, create an account that uses IMAP to connect to your mail service and change the IMAP port to match the port specified in step 5. For example, to change an IMAP account’s port number in the Mac OS X Mail application, choose Preferences from the Mail menu, click Accounts, select the IMAP account, click Edit, and click the Advanced tab. (If your version of Mail doesn’t have an Advanced tab, click the Account Options tab.) Cleaning Up the Mail Files You can clean up and compact the mail database and other mail files by typing a simple UNIX command in the Terminal application. Note: Cleaning up and compacting the mail files may take a long time. The length of time depends on the number of mail messages and the number of mail users. To clean up and compact the mail database: 1 In Server Settings, stop mail service. 2 Open Terminal and at the prompt, type the following and then press Return: sudo /usr/sbin/MailService -compressDB 3 Enter your administrator password and press Return.396 Chapter 9 The cleanup operation takes place without any feedback. During cleanup, a number of messages are written in the mail service repair log, which you can view by using Server Status. The cleanup operation is finished when another command-line prompt appears. 4 In Server Settings, start mail service. Working With Network Settings for Mail Service You can change the following network settings of your mail service: m which DNS records mail service uses to look up a mail server m when mail service updates its DNS cache m when mail service connections time out This section describes how to change these settings. Specifying DNS Lookup for Mail Service You can specify the type of DNS records you want your mail service to use when it looks up the server for an address of an outgoing message, such as user@example.com. Your mail service can look up another server by requesting m Only an MX list. An MX List consists of one or more MX records for an Internet domain. An MX record matches a domain name, such as example.com, with the full DNS name of a mail server, such as mail.example.com. Some domains have more than one mail server, each with an MX record. In this case, the MX records specify priorities for the mail servers. Some mail servers don’t have any MX records. m Only an A record. An A record matches a full DNS name (also known as a host name), such as mail.example.com, to an IP address. m An MX list and an A record. By default, your mail service requests MX records. If none exists, the mail service requests an A record. To specify the type of DNS records your mail service requests: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Host Settings. 3 Click the Network Settings tab. 4 Select one of the settings for DNS Request, then click Save.Mail Service 397 Updating the DNS Cache in Mail Service The mail service stores verified domain names in a cache and does not verify the cached information unless you set the cache to be updated periodically. The cache improves mail service performance, because the mail service doesn’t have to contact the DNS service for every message. You may reduce mail service performance if you set the cache to be updated too frequently. To change how often the mail service updates its DNS cache: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Host Settings. 3 Click the Network Settings tab. 4 Select one of the Cache Settings options. Select “Cache DNS information for __ minutes” and enter the number of minutes you want information to be stored before the cache is refreshed. Select “Respect ‘Time to Live’ (TTL) DNS Settings” if you want to use the default settings of the DNS service. Ordinarily, your mail service resends mail repeatedly until it makes a connection with the server at the destination. TTL specifies how long your mail service continues requesting connection information from DNS before giving up and generating a nondelivery report. 5 Click Save. Changing Mail Service Timeouts If your mail service has frequent trouble remaining connected to another server, you can increase the length of time your mail service waits before giving up on connections with other servers. This can be helpful if your server has a slow or intermittent connection to the Internet. To change the allowed connection time: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Host Settings. 3 Click the Network Settings tab. 4 In the Open Connection field, enter the number of seconds you want your mail service to wait before giving up on a connection attempt. 5 In the Read/Write field, enter the number of seconds you want to allow the other mail host to respond before your mail service stops attempting to send or receive a message. 6 Click Save.398 Chapter 9 Limiting Junk Mail You can configure mail settings to decrease the amount of junk mail that your mail service delivers to users. You can also take steps to prevent senders of junk mail (spam) from using your server as an open relay. If you allow junk mail senders to use your server as a relay point, your server may be blacklisted as an open relay, and other servers may reject mail from your users. Your mail service can do the following to reduce spam: m Require SMTP authentication so that your server cannot be used as a relay point by anonymous users. For instructions, see “Requiring SMTP Authentication” on page 389. m Restrict SMTP relay, allowing relay only by approved servers on a list that you create. For instructions, see “Restricting SMTP Relay” on page 398. m Reject SMTP connections from specific servers on another list that you create. For instructions, see “Rejecting SMTP Connections From Specific Servers” on page 399. m Log and optionally reject an SMTP connection from a server whose DNS name doesn’t match a reverse-lookup of its IP address. For instructions, see “Checking for Mismatched SMTP Server Name and IP Address” on page 399. m Reject SMTP connections from servers that are blacklisted as open relays by an Open Relay Behavior-modification System (ORBS) server. For instructions, see “Rejecting Mail From Blacklisted Senders” on page 401. m Allow or deny SMTP connections from specific IP addresses by using the firewall service of Mac OS X Server. For instructions, see “Filtering SMTP Connections” on page 401. Restricting SMTP Relay Your mail service can restrict SMTP relay by allowing only approved servers to relay mail. You create the list of approved servers. Approved servers can relay through your mail service without authenticating. Servers not on the list cannot relay mail through your mail service unless they authenticate first. All servers, approved or not, can deliver mail to your local mail users without authenticating. Your mail service can log connection attempts made by servers not on your approved list. To restrict SMTP relay: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Host Settings. 3 Click the Incoming Mail tab. 4 Select “only hosts in this list” and then edit the list of servers. Click Add to add a server to the list. Click Remove to delete the currently selected server from the list. When adding to the list, you can use a variety of notations.Mail Service 399 Enter a single IP address, such as 192.168.123.55. Enter an IP address range, such as 192.168.40-43.*. Enter an IP address/netmask, such as 192.168.40.0/255.255.248.0. Enter a host name, such as mail.example.com Enter an Internet domain name, such as example.com 5 Optionally select “Log recipient rejections to error log.” 6 Click Save. Rejecting SMTP Connections From Specific Servers Your mail service can reject all SMTP connections from servers on a disapproved-servers list that you create. No one can authenticate from a disapproved server, much less send your users mail or relay mail through your mail service. To reject SMTP connections from specific servers: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Filter tab. 4 Select “Reject messages from SMTP servers in list” and then edit the list of servers. Click Add to add a server to the list. Click Remove to delete the currently selected server from the list. When adding to the list, you can use a variety of notations. Enter a single IP address, such as 192.168.123.55. Enter an IP address range, such as 192.168.40-43.*. Enter an IP address/netmask, such as 192.168.40.0/255.255.248.0. Enter a host name, such as mail.example.com Enter an Internet domain name, such as example.com 5 Click Save. Checking for Mismatched SMTP Server Name and IP Address Your mail service can log and optionally reject connections from a server whose DNS name doesn’t match the name that your DNS service gets when it looks up the server’s IP address. This method intercepts junk mail from senders who pretend to be someone else, but may also block mail sent from a misconfigured SMTP server.400 Chapter 9 Note: Reverse-lookups of IP addresses may slow the performance of your mail service because lookups involve more contact with DNS service. To check SMTP server names and IP addresses: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Filter tab. 4 Select “Log connection if SMTP name does not match IP address” and then optionally select “Reject if name does not match address.” 5 Click Save. Your SMTP mail service may be unable to do a successful reverse lookup of a server that identifies itself in a nonstandard way. Specifically, the SMTP service can determine the server name in a HELO command that doesn’t deviate too much from standard form. The SMTP service can determine the server name and do a reverse lookup from HELO commands like the following: helo mail.example.com helo I am mail.example.com The SMTP service cannot do a reverse lookup from HELO commands like the following: helo I’m mail.example.com helo I am mail server mail.example.com helo what a wonderful day it is The following table explains the results for various configurations of the settings for logging and rejecting unsuccessful reverse lookups. Log Reject Result No No Accepts all HELO commands Yes No Accepts all HELO commands and logs each server whose name doesn’t match or whose name can’t be determined from the HELO command Yes Yes Logs and rejects each server whose name doesn’t match or whose name can’t be determined from the HELO commandMail Service 401 Rejecting Mail From Blacklisted Senders You can have your mail service check an Open Relay Behavior-modification System (ORBS) server to see if incoming mail came from a known junk-mail sender. ORBS servers are also known as black-hole servers. To reject mail from known junk-mail senders: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Filter tab. 4 Select “Use a server for junk mail rejection” and then type the DNS name of an ORBS server. 5 Click Save. Allowing SMTP Relay for a Backup Mail Server If your network has more than one mail server, one can be designated as a backup server to deliver mail in case the primary server goes down. (Backup mail servers are designated by MX records.) A backup mail server may need to relay SMTP mail. You can set your server to ignore SMTP relay restrictions when accepting mail as a backup server for another mail server. To allow SMTP relay for a backup mail server: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab and choose Apple Mail Service SMTP from the pop-up menu. 4 Click SMTP Options. 5 Select “SMTP relay when host is a backup for destination” and click Save. Filtering SMTP Connections You can use the firewall service of Mac OS X Server to allow or deny access to your SMTP mail service from specific IP addresses. 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Show Firewall List. 3 Click New and configure the settings to create a filter that allows or denies access to port number 25 from an IP address or range of IP addresses that you specify, then click Save. Important Blocking unsolicited mail from blacklisted senders may not be completely accurate. Sometimes it can prevent valid mail from being received.402 Chapter 9 If your SMTP service does not use port 25, which is standard for incoming SMTP mail, enter your incoming SMTP port number instead. 4 Add more new filters for the SMTP port to allow or deny access from other IP addresses or address ranges. For additional information on the firewall service, see Chapter 15, “Firewall Service.” Working With Undeliverable Mail Mail messages may be undeliverable for several reasons. You can configure your mail service to forward undeliverable incoming mail, limit attempts to deliver problematic outgoing mail, and report failed delivery attempts. Incoming mail may be undeliverable because it has a misspelled address or is addressed to a deleted user account. Outgoing mail may be undeliverable because it’s misaddressed or the destination mail server is not working. Forwarding Undeliverable Incoming Mail You can have mail service forward messages that arrive for unknown local users to another person or a group in your organization. Whoever receives forwarded mail that’s incorrectly addressed (with a typo in the address, for example) can forward it to the correct recipient. If forwarding of these undeliverable messages is disabled, they are returned to sender. To set up forwarding of undeliverable incoming mail: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Messages tab. 4 Select “Forward mail addressed to unknown local users” and type a user name or group name. 5 Click Save. Limiting Delivery Attempts in Mail Service You can limit how often and for how long your mail service attempts to deliver mail sent by your users. If mail can’t be delivered within the time you specify, the mail service sends a nondelivery report to the message sender and deletes the message. You can have the mail service send an earlier nondelivery report. You can also have a nondelivery report sent to the postmaster account. To limit delivery attempts: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Host Settings.Mail Service 403 3 Click the Outgoing Mail tab. 4 Enter the number of hours you want the mail service to attempt to deliver a message before the message expires. The default is 72 hours. 5 Enter the number of minutes you want the mail service to wait between delivery attempts. The smallest number allowed is 1 minute; the default is 20 minutes. 6 Optionally click “Notify sender of non-delivery after __ hours” and enter the number of hours. 7 Optionally click “Notify postmaster of non-delivery.” 8 Click Save. Note: These options are disabled if the pop-up menu is set to “Limit to local users.” Sending Nondelivery Reports to Postmaster When a user on your network sends mail that can’t be delivered, a nondelivery report is sent back to the user. If for some reason the report can’t be delivered, you can set up mail service to send the report to the postmaster account. Be sure you’ve set up a user account named “postmaster.” Nondelivery reports are not normally sent for mail designated as “bulk,” but you can also generate nondelivery reports for bulk mailings. To report undelivered mail to the postmaster account: 1 In Server Settings, click the Internet tab. 2 Click Mail Service and choose Configure Mail Service. 3 Click the Protocols tab and choose SMTP from the pop-up menu. 4 Click SMTP Options. 5 Click one or both of the nondelivery options, then click Save. Monitoring Mail Status This section explains how to use the Server Status application to monitor the following: m overall mail service activity m connected mail users m mail accounts m mail service logs404 Chapter 9 This section also describes how Mac OS X Server reclaims disk space used by logs and how you can reclaim space manually. Viewing Overall Mail Service Activity You can use Server Status to see an overview of mail service activity. The overview reports whether the service is running, when mail service started, and outgoing connections by protocol. To see an overview of mail service activity: 1 In Server Status, select Mail in the Devices & Services list. 2 Click the Overview tab. Viewing Connected Mail Users The Server Status application can list the users who are currently connected to the mail service. For each user, you see the user name, IP address of the client computer, type of mail account (IMAP or POP), number of connections, and the connection length. To view a list of mail users who are currently connected: 1 In Server Status, select Mail in the Devices & Services list. 2 Click the Connections tab. Viewing Mail Accounts You can use the Server Status application to see a list of users who have mail accounts. For each account, you see the user name, disk space quota, disk space used, and the percent of space that is available to the user. To view a list of mail accounts: 1 In Server Status, select Mail in the Devices & Services list. 2 Click the Accounts tab. Reviewing Mail Service Logs The mail service maintains eight logs, and you can use Server Status to view them. m IMAP, POP, SMTP In, and SMTP Out logs. These four logs contain the history of activity that is specific to each protocol. m Router log. Routing errors and routing messages go into the router log. m Error log. General mail service errors go into the Error log. m Server log. General mail service information goes into the server log. m Repair log. This log contains a history of cleanup, compression, and repairs made to the mail database.Mail Service 405 To view a mail service log: 1 In Server Status, select Mail in the Devices & Services list. 2 Click the Logs tab. 3 Choose a log from the Show pop-up menu. Reclaiming Disk Space Used by Mail Service Logs Mac OS X Server automatically reclaims disk space used by mail service logs when they reach a certain size or age. If you are comfortable using the Terminal application and UNIX command-line tools, you can change the criteria that determine when disk space is reclaimed. You can also use a command-line tool to monitor disk space whenever you want, independently of the automatic disk-space recovery process. For additional information, see “Log Rolling Scripts” on page 555 and “diskspacemonitor” on page 556, both in Chapter 17, “Tools for Advanced Users.” Supporting Mail Users This section discusses mail settings in your server’s user accounts and mail service settings in email client software. Configuring Mail Settings for User Accounts To make mail service available to users, you must configure mail settings in your user accounts. For each user, you need to enable mail service, enter the DNS name or IP address of your mail server, and select the protocols for retrieving incoming mail (POP, IMAP, or both). You can also set a quota on disk space available for storing a user’s mail. If you configure a user account for both POP and IMAP, additional options let you specify whether the user has separate inboxes for POP and IMAP and whether the POP mailbox appears in the IMAP folder list. One more option specifies whether mail service alerts the user via NotifyMail when mail arrives. You configure these settings in the Accounts module of Workgroup Manager. For instructions, see “Working With Mail Settings for Users” on page 150 in Chapter 3, “Users and Groups.”406 Chapter 9 Configuring Email Client Software Users must configure their email client software to connect to your mail service. The following table details the information most email clients need and the source of the information in Mac OS X Server. Email client software Mac OS X Server Example User name Full name of the user Steve Macintosh Account name Account ID Short name of user account steve Password Password of user account Host name Mail server Mail host Mail server’s full DNS name or IP address, as used when you log in to the server in Server Settings mail.example.com 192.168.50.1 Email address User’s short name, followed by the @ symbol, followed by one of the following: m Server’s Internet domain (if the mail server has an MX record in DNS) m Mail server’s full DNS name m Server’s IP address steve@example.com steve@mail.example.com steve@192.168.50.1 SMTP host SMTP server Same as host name mail.example.com 192.168.50.1 POP host POP server Same as host name mail.example.com 192.168.50.1 IMAP host IMAP server Same as host name mail.example.com 192.168.50.1 SMTP user Short name of user account steve SMTP password Password of user accountMail Service 407 Creating Additional Email Addresses for a User Mail service allows each individual user to have more than one email address. Every user has one email address that is formed from the short name of the user account. In addition, you can define more short names for any user account by using Workgroup Manager. Each additional short name is an alternate email address for the user. The additional short names are called virtual users. For more information on defining additional short names, see “Defining Short Names” on page 140 in Chapter 3, “Users and Groups.” Someone whose user account has multiple short names nonetheless has only one mail account. A user receives mail for all of the user’s short names in one mailbox. The user cannot set up a different mailbox (or different incoming mail accounts) for each short name. If a user needs an additional mailbox, you must create another user account. Note: Mail service does not support virtual domains. For example, mail service cannot deliver mail for webmaster@example1.com to the same mailbox as mail for webmaster@example2.com if example1.com and example2.com have different IP addresses. Performance Tuning Mail service needs to act very fast for a short period of time. Mail service sits idle until a user wants to read or send a message, and then it needs to transfer the message immediately. Therefore, mail service does not put a heavy continuous demand on the server; it puts intense but brief demands on the server. As long as other services do not place heavy continuous demands on a server (as a QuickTime streaming server would, for example), the server can typically handle several hundred connected users. As the number of connected mail users increases, the demand of mail service on the server increases. If your mail service performance needs improvement, try the following actions: m Adjust how often mail service updates its DNS cache. For instructions, see “Updating the DNS Cache in Mail Service” on page 397. m Adjust the load each mail user can put on your server by limiting the number of connections each user can have on a single IP address. For instructions, see “Controlling IMAP Connections Per User” on page 386. m Specify how long you want to allow IMAP mail connections to remain idle before the connection is terminated. For instructions, see “Terminating Idle IMAP Connections” on page 387. m Move the mail storage location to its own hard disk or hard disk partition. For instructions, see “Changing Where Mail Is Stored” on page 394. m Run other services on a different server, especially services that place frequent heavy demands on the server. (Each server requires a separate Mac OS X Server license.)408 Chapter 9 Backing Up and Restoring Mail Files You can back up the mail service data by making a copy of the mail service folder. If you need to restore the mail service data, you can replace the mail service folder with a backup copy. The mail service folder contains the following items: m MacOSXMailDatabase, which is the mail service database file m AppleMail, which is the folder that contains a file for each mail message and a file for each mail account These items are stored in the folder /Library/AppleMailServer unless you specify a different location. For instructions on changing the mail folder location, see “Changing Where Mail Is Stored” on page 394. An incremental backup of the mail service folder can be fast and efficient. If you use a thirdparty application to back up the mail service folder incrementally, the only files copied are the small database file and the message files that are new or changed since the last backup. Although you can restore only part of the mail service folder—some message files in the AppleMail folder with or without the MacOSXMailDatabase file—restoring only part of the mail service folder can corrupt the mail database. The mail service automatically attempts to clean up a mail service folder that has been restored improperly. You can also clean up the mail service folder manually. For instructions, see “Cleaning Up the Mail Files” on page 395. After restoring the mail service folder, notify users that messages stored on the server have been restored from a backup copy. If you’re using the UNIX Sendmail program or another mail transfer agent instead of Mac OS X Server’s SMTP service, you should also back up the contents of the /var/mail folder. This folder is the standard location for UNIX mail delivery. Where to Find More Information You can find more information about mail service in books and on the Internet. Books For general information about mail protocols and other technologies, see these books: m A good all-around introduction to mail service can be found in Internet Messaging, by David Strom and Marshall T. Rose (Prentice Hall, 1998). Important Stop the mail service before backing up or restoring the mail service folder. If you back up the mail service folder while mail service is active, the backup mail database file may be out of sync with the backup AppleMail folder. If you restore while mail service is active, the active mail database file may become out of sync with the active AppleMail folder.Mail Service 409 m For more information on MX records, see “DNS and Electronic Mail” in DNS and BIND, 3rd edition, by Paul Albitz, Cricket Liu, and Mike Loukides (O’Reilly and Associates, 1998). m Also of interest may be Removing the Spam: Email Processing and Filtering, by Geoff Mulligan (Addison-Wesley Networking Basics Series, 1999). m To learn about email standards, see Essential E-Mail Standards: RFCs and Protocols Made Practical, by Pete Loshin ( John Wiley & Sons, 1999). Internet There is an abundance of information about the different mail protocols, DNS, and other related topics on the Internet. Request for Comments (RFC) documents provide an overview of a protocol or service and details about how the protocol should behave. If you are a novice server administrator, you will probably find some of the background information in an RFC helpful. If you are an experienced server administrator, you can find all the technical details about a protocol in its RFC document. You can search for RFC documents by number at this Web site: www.faqs.org/rfcs For more information about Sendmail, see this Web site: www.sendmail.org You can find out more about servers that filter junk mail at this Web site: www.ordb.org For technical details about how mail protocols work, see these RFC documents: m POP: RFC 1725 m IMAP: RFC 2060 m SMTP: RFC 821 and RFC 822 For simple explanations about mail service, see this Web site: www.whatis.com Search for any technical term to find a simple explanation of the term. Also, this Web site offers a set of links to more detailed information about how a particular technology works.411 C H A P T E R 10 10 Client Management: Mac OS 9 and OS 8 Macintosh Manager provides network administrators with a centralized method of managing Mac OS 9 and Mac OS 8 workstations, controlling access to software and removable media, and providing a consistent, personalized experience for users. After you import basic information (user name, password, and user ID) from Workgroup Manager user accounts, you can customize preferences and privileges for users, workgroups, and computer lists. Mac OS X Server saves user documents and preferences in a home directory, so your users can access their files from any Mac on your network. Like Workgroup Manager, Macintosh Manager lets you set network-wide policies for controlling user access to applications, file server volumes, and printers. Macintosh Manager provides its own authentication and preference management for Mac OS 9 or Mac OS 8 computers and can be used with NetBoot clients. Client management can help you create a more tailored and efficient user experience. Because you can define the user environment, you can provide an interface suitable for users with different skill levels. This can make it easier, for example, to set up an elementary school computer lab for use by a wide range of students from kindergarten to eighth grade. This chapter summarizes how Macintosh Manager works, gives details about different types of managed environments, and tells you how to m set up Macintosh Manager m import users into Macintosh Manager m set up workgroups and computer lists for Mac OS 9 and OS 8 clients m create managed environments for Mac OS 9 and OS 8 clients m implement Macintosh Manager security settings and controls Note: Macintosh Manager is not used to manage Mac OS X clients. If you need to manage Mac OS X clients, read Chapter 6, “Client Management: Mac OS X.”412 Chapter 10 Transition Strategies for Macintosh Manager If you are migrating to Macintosh Manager 2.2 from an earlier version, you can do a simple upgrade to the new Macintosh Manager. Functionality remains much the same, but you may notice some differences in how Macintosh Manager stores certain items. If you need more information about migration issues and strategies, download the “Upgrading to Mac OS X Server” from the Web site listed below: www.apple.com/macosx/server/ The User Experience This section describes both the actual user experience and the server processes for Mac OS 9 managed clients. Logging In Users imported into Macintosh Manager can simply type their Mac OS X Server user names and passwords in the Macintosh Manager login dialog box. Alternatively, you can allow users to choose their names from a list (showing long names) at login. When a user logs in, Macintosh Manager uses Directory Services to verify that the user ID is valid. If it is valid, Macintosh Manager finds the correct workgroups for that user and displays them in a list. If a user belongs to more than one workgroup, he or she can select a workgroup from the list. If a user belongs to only one workgroup, login proceeds automatically without displaying a workgroup list. Macintosh Manager workgroup settings define the user’s working environment (Finder, Restricted Finder, or Panels). Client Management: Mac OS 9 and OS 8 413 Depending upon the computer being used, the network configuration, and access privileges, the user may have access to various resources such as printers, applications, and volumes. Settings for the computer, the workgroup, and the user determine the final set of privileges and preferences that define the user experience for an individual. Logging In Using the All Other Users Account Users who have a Mac OS X user account but have not been imported into Macintosh Manager can type their Mac OS X Server user names and passwords in the Macintosh Manager login dialog box. If the All Other Users account belongs to more than one workgroup, the user can select a workgroup from a list. Otherwise, login continues automatically. Logging In Using the Guest Account Any user can log in as Guest, provided that the Guest account has been activated. The Guest account does not require password authentication. If the Guest account belongs to more than one workgroup, the user can select a workgroup from a list. Otherwise, login continues automatically. Locating the Home Directory User home directories are mounted automatically when a user logs in. A folder with the user’s name on it appears on the desktop or on a panel depending upon the workgroup type. The user’s home directory is located inside the Users folder. Guest users have a temporary local home directory for storing files or preferences. User environment Selection Access to resources List of workgroups User name and password Log in Select a workgroup 414 Chapter 10 Finding Applications Approved applications for Panels and Restricted Finder workgroups are located in the “Items for workgroup name” folder inside the user’s home directory. For users in a Finder workgroup, applications are stored in the client computer’s Applications folder or Applications (Mac OS 9) folder. Finding Shared Documents Depending on the user environment and how you set up workgroup folders, users may have access to several areas where they can view or store shared items. For example, you can set up a group documents volume inside the Macintosh Manager sharepoint to allow users to collaborate more effectively, or you might provide a hand-in folder for a Panels workgroup to allow users to turn in documents. Before You Begin You should consider taking advantage of client management if m you want to provide users with a consistent, controlled interface while allowing them to access their documents from any computer m you want to control privileges for users with mobile computers m you want to reserve certain resources for only specific groups or individuals m you need to secure computer usage in key areas such as administrative offices, classrooms, or open labs Before you set up Macintosh Manager to manage users, groups, or computers, be sure to follow these preliminary steps. Step 1: Make sure computers meet minimum requirements Client Computer Requirements Software m Mac OS 8.1 to Mac OS 9.x as the primary operating system m Appearance control panel v. 1.0.1 or later Note: Macintosh Manager is not used to manage Mac OS X clients. Hardware m Macintosh computer with a 68K processor m 8 megabytes (MB) of physical random access memory (RAM) (not virtual memory) m 2 MB of disk space available Important If you have clients using earlier versions of Macintosh Manager, be sure to upgrade them to Macintosh Manager 2.2 before you connect them to the Mac OS X Server. Client Management: Mac OS 9 and OS 8 415 m 16-bit monitor recommended if using the Panels environment Administrator Computer Requirements Software m Mac OS X Server (with Macintosh Manager administrator software) installed You can also install only the Macintosh Manager administrator software if you want to access the administrator software on a nonserver computer (the computer must use either Mac OS X v10.2 or Mac OS 9.2 as the operating system). Hardware m Macintosh computer with a G3 processor m 128 MB of RAM; at least 256 MB of RAM for high-demand servers running multiple services m 4 gigabytes (GB) of available disk space m Minimum monitor resolution of 800 x 600 Note: Automatic hardware restart requires a Macintosh Server G4 or Power Mac G4 released in February 2000 or later. Step 2: Install Macintosh Manager administrator software You can use Macintosh Manager administrator software in either Mac OS X or Mac OS 9, but you cannot use it in Mac OS 8. You can install the administrator software on a Mac OS X server, on selected “administrative” client computers, or on all client computers. Only server administrators, Macintosh Manager administrators, and workgroup administrators have access to the Macintosh Manager administrator application. Using designated administrative computers can make it easier to change or update management settings for clients. For example, if you have a set of computers in a classroom, you could install the administrator software on the teacher’s computer and give the teacher administrative access. Then, the teacher can make immediate changes as needed, such as adding users to a workgroup or providing access to a different printer. Because the administrator computer is used to set up Macintosh Manager, the administrator computer should have access to the same printers and applications you want to use for your client computers. This makes it easier to create lists of allowed applications and printer lists 416 Chapter 10 for the clients. The administrator computer can have access to more printers and applications than clients but shouldn’t have access to fewer. To set up an administrative client computer: 1 Make sure the computer meets minimum requirements. 2 Make sure the system software is either Mac OS X or Mac OS 9.2. 3 Make sure necessary applications are installed. 4 Set up printer access using either Print Center (for Mac OS X) or Desktop Printer Utility (for Mac OS 9). 5 Install Macintosh Manager administrator and client software. Before you use the Macintosh Manager administrator application, open the Sharing preference in System Preferences in Mac OS X and make sure Web sharing and file sharing are turned off. If you are using Mac OS 9, check the settings for the File Sharing and Web Sharing control panels. Step 3: Set up client computers Mac OS 9 computers and Mac OS 8 computers require different setup procedures. To set up Mac OS 9 client computers: 1 Make sure the computer meets minimum requirements. 2 Make sure the system software is Mac OS 9 (version 9.1 or later recommended). 3 Install Macintosh Manager client software, if it is not already installed. 4 Open the Multiple Users control panel. 5 Click Options, then click Other. 6 Select “Macintosh Manager account (on network).” 7 Click Save. 8 Select “On” to turn on Multiple User Accounts. 9 Close the control panel, and then choose Logout from the Special menu. Important When you make printers available to client computers, Macintosh Manager creates desktop printers for your Mac OS 9 clients. The Mac OS X version of the Macintosh Manager administrator application only creates LaserWriter desktop printers. If you need to provide access to non-LaserWriter printers, you must use the Mac OS 9 version of the Macintosh Manager administrator application to manage clients. Client Management: Mac OS 9 and OS 8 417 The computer locates Macintosh Manager servers (any Mac OS X Server with Macintosh Manager server processes installed) on your network automatically when you log out. You can select the server you want to use. If the computer can’t locate a Macintosh Manager server, browse to find the TCP/IP address (not the AppleTalk address) of the server you want. To set up Mac OS 8 client computers: 1 Make sure the system software is Mac OS 8 (version 8.1 or later). 2 Install Macintosh Manager client software. 3 Restart the computer. To stop managing Mac OS 8 client computers, remove the Multiple Users startup extension from the System Folder and restart the computer. Using Update Packages If you are already using Macintosh Manager 2.0 or later on a client computer, you can easily upgrade to the latest version of Macintosh Manager by using an automatic update package. The update package is located on the Macintosh Manager installation CD. It is not installed automatically. To use an update package: m Copy the update package to the Multi-User Items folder on your Macintosh Manager server. All connected clients periodically look for an update package in the Multi-User Items folder. If an update package is found, clients run the update automatically regardless of whether or not the update is for a new or previous version. Before you use an update package, be sure to shut down any computers you don’t want to update. After the update is complete, remove the update package from the Multi-User Items folder, and then restart the client computers. Choosing a Language for Macintosh Manager Servers and Clients Ideally, the language used on client computers should match the language used on the Macintosh Manager server. However, if you want to set up different languages on certain client computers, you can do so. Important For computers using Mac OS 8.6, a user in the Finder environment can access the Startup Disk control panel. Disable the control panel with Extensions Manager before you use Macintosh Manager with those computers.418 Chapter 10 Client computers using different languages can connect to the same server provided the server language script matches the client language script. For example, a user at a client computer that uses French-language client software with the script set to Roman can connect to the server. Another user at a German client computer using Roman script can also use the same server. You can set the script in the International pane of System Preferences (in Mac OS X) or using the International control panel (in Mac OS 9 or 8). When a user connects to a Macintosh Manager server, the client computer should use the same language software that was used during any previous connections. For example, if a user connects to the Macintosh Manager server from a French client computer and then from a German client computer, preference folders and other folders in the user’s home directory may be created for each language, so the user may not be able to share preferences across languages. On the other hand, if separate folders are not created, then different-language versions of two programs may end up sharing a preference file. This could cause the client computer to freeze. Changing the Apple File Service Language Script The correct Apple file service language script (for “Encoding for older clients”) should be selected before using the Macintosh Manager server. If Macintosh Manager service is already in use, stop Macintosh Manager service before changing the language script. The “Encoding for older clients” script should match the client computer’s language script (selected in the International pane of System Preferences) in addition to the language script used for the Macintosh Manager administration application. Step 4: Make sure you’ve set up users and their home directories If you haven’t set up users and home directories already, do so before you proceed. Read Chapter 3, “Users and Groups,” for more information. Inside Macintosh Manager The sections that follow describe some of Macintosh Manager’s components and provide background information about how Macintosh Manager works with other Mac OS X Server services. Macintosh Manager Security Although Macintosh Manager is not a designated “security application,” you can use Macintosh Manager settings to provide more administrative control or to allow greater flexibility for users. For example, you might want to restrict local file and system access privileges, allow users to play audio CDs, or allow users to access some applications but not others. Client Management: Mac OS 9 and OS 8 419 Macintosh Manager users cannot access other users’ home directories, nor can they change network settings (AppleTalk and TCP/IP control panels), Energy Saver settings, or Multiple Users settings. Macintosh Manager’s design prevents users from renaming Macintosh Manager files or changing the file type or creator. In addition, the Macintosh Manager extension is not affected if a computer is restarted with extensions off, and users cannot disable the Macintosh Manager extension by moving it or turning it off. About the Macintosh Manager Share Point When Macintosh Manager server software is installed, a share point named Macintosh Manager is created on the server. Its permissions are automatically set to allow access from Macintosh Manager. Users who don’t have administrative privileges can’t see the contents of the share point and do not interact with it. The Macintosh Manager share point exists primarily to service the databases, but it is also the default location for the workgroup document volume. For more information about the contents of the workgroup document volume, see “Sharing Information in Macintosh Manager” on page 443. If you need to save space, you can move the Macintosh Manager share point to another volume as long as the name of the share point is the same, the folder remains a share point, and the access privileges are the same. Avoid using non-ASCII special characters (such as •, å, é, or ü) or any double-byte characters (such as Kanji characters) in the names of share points you plan to use with Macintosh Manager. The Multi-User Items Folder The Multi-User Items folder is located in the Macintosh Manager share point. Files and folders inside the Multi-User Items folder contain information about options set using Macintosh Manager, such as the location of the Macintosh Management server, aliases to workgroup items, cache information, and the databases for users, groups, and computer lists. The Multi-User Items folder contains the following items: m Activity Log file: This file contains log entries used to generate reports that show information such as login activity, printer usage, and application usage. You can define the number of entries in the Activity Log file. See “Setting the Number of Items in a Report” on page 463 for more information. m CD-ROM Preferences file: This file contains a list of CDs users are allowed to use, along with any settings for specific items on each CD. m Computers folder: This folder contains database files that store Macintosh Manager settings for each computer list you set up. Important Do not place the Macintosh Manager share point on a UFS-formatted volume. 420 Chapter 10 m Groups folder: This folder contains a folder for each Macintosh Manager workgroup and database files that store information about Macintosh Manager settings for each workgroup, such as the allowed items list and the location of the workgroup document folder. m Multi-User Items file: This file contains an archive of the files currently inside the MultiUser Items folder. Do not open or modify the file. If it is deleted, it is created again the next time you use Macintosh Manager. m Printers folder: This folder contains files that represent the desktop printers you set up in Macintosh Manager. A file is created for each desktop printer used by a Macintosh Manager workgroup. When a user logs in to a workgroup that uses a desktop printer, the printer information is copied to the desktop of the client computer. You should use Macintosh Manager to modify printer information; don’t open or remove items in the Printers folder. If you delete a printer file from this folder, workgroup members who want to use that printer see a message that the printer can’t be found. m Users folder: This folder contains database files that store Macintosh Manager settings for each user account and a folder for each user that has logged in to the server at least once. How the Multi-User Items Folder Is Updated The client’s Multi-User Items folder is always updated when you make changes in Macintosh Manager. A copy of this folder is stored automatically in the System Folder of each client computer. If the client computer’s Multi-User Items folder is deleted, the computer downloads a new, clean copy from the server as needed, but not while a user is logged in. The folder is also updated under the following circumstances: m If a client computer is connected to the server, but no users are logged in, Macintosh Manager checks periodically to see if any items in the folder need to be updated. If changes were made while a user is logged in to a computer, the folder isn’t updated until the user logs out. m If a computer is disconnected from the server automatically because it was idle for a period of time, no update checks are made until a user logs in and out of the workstation. m If the client’s Multi-User Items folder is deleted, the client downloads a new, clean copy from the server when a user logs in. How Macintosh Manager Works With Directory Services Both Macintosh Manager and Workgroup Manager have access to user account information in the Directory Services database. If you are managing Mac OS 9 or Mac OS 8 clients, you must import users from Workgroup Manager into Macintosh Manager or use Macintosh Manager’s All Other Users feature in order to provide user access to your managed network. Client Management: Mac OS 9 and OS 8 421 The only information shared between Macintosh Manager and Workgroup Manager is the user ID, which is stored in Directory Services along with the user name, password, and information about the location of the user’s home directory. For more information about Directory Services, see Chapter 2, “Directory Services.” Macintosh Manager uses the user ID to verify and obtain a user’s user name and password through Directory Services and to find the user’s home directory. The user ID is also used to match users to the correct workgroups, preferences, and computer lists in Macintosh Manager. All other user information, such as user storage quotas and system access privileges, is set up using Macintosh Manager. After users are imported, you can create workgroups for those users and create lists specifying which computers your workgroups can use. Macintosh Manager workgroups and computer lists are completely independent of Workgroup Manager groups and computer lists. Where User Information Is Stored Macintosh Manager stores information about settings for users, workgroups, and computers in database files located in folders inside the Multi-User Items folder. The User, Group, and Computers folders each contain two database files: m One file contains an index of each record in the database (such as the name of a workgroup). m The other file contains the specific information for each record (such as workgroup members, privileges, and environment). Directory services Macintosh Manager data User ID Workgroup Manager data Users Groups Users Groups Computer lists Computer lists User name and password Shared information422 Chapter 10 Although the users, groups, and computers databases are not part of a larger relational database, each refers to information stored in the other databases. For example, the users database contains a list of workgroups to which a user belongs. To maintain consistency between databases, Macintosh Manager checks references from one database to another and updates the databases as needed. How Macintosh Manager Works With Home Directories You can set up home directory locations when you create user accounts. If a user doesn’t have a home directory, he or she will not be able to log in. Mac OS 9 and Mac OS 8 managed clients mount the user’s home directory automatically when a user logs in. The user is the owner of his or her own home directory and has full access to its contents. Macintosh Manager prevents access to other users’ home directories, even if the folder’s permissions have been set to allow access. For more information about creating user accounts and home directories, see Chapter 3, “Users and Groups.” How Macintosh Manager Works With Preferences In addition to controlling certain privileges, Macintosh Manager allows you to control application preferences and System Preferences. You can define these preferences using folders inside a user’s Managed Preferences folder. m Preferences in the Initial Preferences folder are set only once for a user. m Preferences in the Forced Preferences folder are set every time a user logs in. m To control preferences for Mac OS 8 users, you can use the Preserved Preferences folder. For more information about how to use these folders to control user preferences, see “Managing Preferences” on page 466. Where Macintosh Manager Preferences Are Stored This section describes how user-specific preferences (such as Web browser “favorites” and desktop backgrounds) are stored in a Macintosh Manager environment. There are some differences in how preferences are handled on Mac OS 9 and Mac OS 8 computers. Macintosh Manager stores and accesses preferences this way: m When a user is not logged in: Most of a user’s individual preferences are stored on the server, for both Mac OS 9 and Mac OS 8 client computers. m When a user logs in to Macintosh Manager: The individual preferences for that user are located by Macintosh Manager and put in effect for as long as the user is logged in. Where the preferences are stored while the user is logged in varies depending on which operating system is used: For Mac OS 9 clients: Preferences are stored in the /Library/Classic/Preferences folder in the user’s home directory. Client Management: Mac OS 9 and OS 8 423 For Mac OS 8 clients: Preferences are stored in the Preferences folder in the System Folder on the client computer’s hard disk. If a user does not have a home directory, you can store preferences for Mac OS 9 in the Preferences folder in the Users folder on the client hard disk, but you cannot store them in the Preferences folder in the System Folder. Using the MMLocalPrefs Extension If some applications create excess network activity, storing preferences locally may help decrease the overall burden on your network. You can install the MMLocalPrefs extension on Mac OS 9 computers to allow Macintosh Manager to store and access user preferences locally. Using the MMLocalPrefs extension may increase login and logout times because user preferences need to be copied to and from the local hard disk. The MMLocalPrefs extension must be installed manually on individual computers, and it affects any user who can access those computers. This extension does not work on Mac OS 8 computers. Using NetBoot With Macintosh Manager Although you are not required to use NetBoot with Macintosh Manager, you can use it to administer each computer’s system setup in labs and classrooms. With NetBoot you can provide students with identical user environments and easy access to the same resources on a secure network that is easy to maintain. Preparation for Using NetBoot If client computers use system software supplied by a NetBoot server, you can ensure that each computer has the same version of software and access to the same applications. Regardless of what users change during a session, the computers return to the same system configuration after restart. Network computers are easy to maintain because the user applications need to be installed only on a disk image stored on the server. You must use the NetBoot Desktop Admin utility to change the Multiple Users control panel options so that NetBoot client computers retrieve account information from Macintosh Manager when they start up. The steps below give a general description of how to prepare your managed network and clients for use with NetBoot. See Chapter 12, “NetBoot,” for more detailed information. m Set up the client computers to start up from the Mac OS disk image on the server. m Use Macintosh Manager to control user environment, preferences, and access to local and network resources. Important Do not install the MMLocalPrefs extension if you need to enable the Check Out feature for Mac OS 9 clients.424 Chapter 10 m Install the Macintosh Manager server software on the server containing the Mac OS image that NetBoot client computers will use to start up. Use the same server to store users’ documents and applications. m Set up workgroup administrator accounts for certain users, such as teachers or technical staff, then show them how to use Macintosh Manager to manage user accounts and workgroups. Setting Up Mac OS 9 or Mac OS 8 Managed Clients The following steps provide an overview of the initial setup process for managing clients in Macintosh Manager. Detailed information and tasks related to each part of the process are contained in other sections of this chapter as indicated by page references. Step 1: Make sure Macintosh Manager services are available In the General pane of Server Settings, click the Macintosh Manager service icon. If Macintosh Manager is available, you will see a globe on the service icon and the first menu item will be Stop Macintosh Management service. If the first menu item is Start Macintosh Management Service, choose it to start Macintosh Manager. Step 2: Log in to Macintosh Manager Admin as an administrator For instructions, see “Logging In to Macintosh Manager as an Administrator” on page 425. Step 3: Import user accounts You can import user accounts from Workgroup Manager or from a text file, and you can use a template to apply settings. Macintosh Manager provides a Guest User account. You can also use the All Other Users account to provide access to unimported users. For more information about working with user accounts, see “Importing User Accounts” on page 426. Step 4: Designate a Macintosh Manager administrator For instructions, see “Designating Administrators” on page 431. Step 5: Designate workgroup administrators For instructions, see “Designating Administrators” on page 431. Client Management: Mac OS 9 and OS 8 425 Step 6: Create workgroups for users Workgroups let you group users together and apply the same settings to all the users. You can set up workgroups according to any criteria, such as purpose (video production) or location (a fourth-grade classroom), and provide users with convenient access to necessary resources. You can also use a template to apply workgroup settings. For more information about creating workgroups, see “Setting Up Workgroups” on page 436. Step 7: Create computer lists Computer lists let you group computers and apply the same settings to all the computers. You can use a template to apply settings to a computer list. The All Other Computers account lets you provide managed network access to computers that aren’t in a computer list. For more information about using computer lists, see “Setting Up Computer Lists” on page 451. Step 8: Select global settings and set up managed preferences folders In addition to various settings for users, workgroups, and computers, Macintosh Manager provides other security and CD-ROM settings in the Global pane. You can also manage user preferences by placing preference files in Forced, Initial, or Preserved preferences folders. For information about using global settings, see “Using Global Security Settings” on page 462 and “Using Global CD-ROM Settings” on page 465. For information about using managed preference folders, see “Managing Preferences” on page 466. Logging In to Macintosh Manager as an Administrator The first time you open the Macintosh Manager administrative software and log in, you can use your Mac OS X Server administrator account. Later on, you can still log in to Macintosh Manager Admin using that account or other Macintosh Manager administrator accounts that you set up. To log in to Macintosh Manager: 1 Click the Macintosh Manager icon in the Dock to open Macintosh Manager. To open Macintosh Manager from Workgroup Manager, click the Macintosh Mgr icon and select Open Macintosh Manager. 2 Enter your Mac OS X Server administrator account user name and password. After you log in, you can add user accounts, create workgroups, create computer lists, designate administrators, and access and change Macintosh Management service settings.426 Chapter 10 Working With Macintosh Manager Preferences Macintosh Manager preference settings let you choose a sorting method for users and workgroups and choose a format for exported reports. Only Macintosh Manager administrators can change these settings. To change Macintosh Manager preferences: 1 Log in to Macintosh Manager. 2 Choose Preferences from the Macintosh Manager menu (in Mac OS X) or choose Preferences from the File menu (in Mac OS 9). 3 Select settings for sorting users (by either name or type). 4 Select settings for sorting workgroups (by either name or environment). 5 Select a format for reports exported to a text file (using either tabs or commas to separate information fields). 6 If you want to use templates for users, groups, or computers, select “Show template” to include the “template” item in the list of accounts. Importing User Accounts This section explains various ways to import users and apply user settings. All user accounts must be created before you can import or modify them using Macintosh Manager. You cannot create user accounts in Macintosh Manager. If you have not already set up users, see Chapter 3, “Users and Groups,” for information and instructions. Macintosh Manager user accounts are for anyone who uses a computer in a managed environment. Most users do not require access to the Macintosh Manager administrator application. If you want to give certain users (for example, managers, teachers, and so forth) administrative privileges, read “Designating Administrators” on page 431 for details. You select user settings and user type in the Users pane of Macintosh Manager. You can select options manually or use a template to apply settings as users are imported. Applying User Settings With a Template You can create a template and use it to apply identical settings to multiple users at once during import. This makes it easy to start managing large numbers of users quickly. Note: Once you set up a template, you cannot reset it to its original state. You can, however, change template settings any time you want. To set up or change a user template: 1 In the Users pane of Macintosh Manager, select Template in the Imported Users list. Client Management: Mac OS 9 and OS 8 427 If you don’t see the template, open Macintosh Manager Preferences and make sure “Show templates” is selected. To open Macintosh Manager Preferences in Mac OS X, choose Preferences from the Macintosh Manager menu. In Mac OS 9, choose Preferences from the Edit menu. 2 In the Basic and Advanced panes, set options you want to use for the template, then click Save. Importing All Users If you have a small number of users in your Mac OS X Server database, you may want to import them to Macintosh Manager all at once. You can import up to 10,000 users with the Import All feature. To import all users: 1 In Macintosh Manager, click Users. 2 Click Import All. An individual Macintosh Manager user account is created for each imported user. Depending on the number of users imported, this process may take some time. You can also import users individually or in groups. If you have more than 10,000 users to import, you may want to consider importing users from a text file. Importing One or More Users If necessary, you can import individual users or small groups of users. You must be using Macintosh Manager Admin in Mac OS X in order to import one user at a time. You cannot import one user at a time using Macintosh Manager on a Mac OS 9 computer. To add one or more users to Macintosh Manager: 1 In Macintosh Manager, click Users. 2 Click Import. 3 If Workgroup Manager is not already open, a message about adding users appears. Click Open to open Workgroup Manager. 4 In Workgroup Manager, click Users & Groups, then select Show Users & Groups List. 5 In the Users & Groups List, select the user or users you want to import, then drag them to the Imported Users list in Macintosh Manager. You may need to rearrange the windows so that you can see both lists. If you can’t find a user in the Users & Groups List, that user may not be in your Mac OS X Server directory.428 Chapter 10 If you have fewer than 10,000 users to import, you can also use the Import All feature. Collecting User Information in a Text File You can create a plain text file that contains user information and then use this file when you import users into Macintosh Manager. Your file must contain at least one of the following pieces of information about each user: user ID, user name, or short name. You do not need to list password information. To collect user information in a text file: 1 Make sure each user in the file already exists in directory services. Information for missing users is ignored. 2 Make sure each line of user information is separated by a hard return. If you have multiple items of user information on each line, make sure the items are separated by either commas or tabs. 3 Make sure the file is saved as plain text and has “.txt” at the end of the file name. To reduce the likelihood of error, avoid mixing types of user information in the text file. For example, you could use only the user ID for each user. Importing a List of Users From a Text File Using a text file to import user information is a convenient way to start managing large numbers of users. To import users from a text file: 1 In Macintosh Manager, click Users. 2 Choose Import User List from the File menu, then select the file you want to import. 3 In the Available Fields list, select the list item that matches the first item of user information in your text file, then click Add to add the item to the Import list. For example, if the first item in your text file is the user ID, the first item you add to the Import list should be user ID. Do the same for other information you want to import. 4 Choose either tab or comma for the field delimiter, depending on how you separated pieces of user information in your text file. 5 Click Open Sample Import to preview imported information, or click OK to start the import. If a user cannot be found, you will see a warning message. Users in the text file must be present in the directory services database before you can import them into Macintosh Manager. Client Management: Mac OS 9 and OS 8 429 Finding Specific Imported Users You can use the “Select Users By” feature to search for Macintosh Manager users according to chosen criteria. To search for users: 1 Open Macintosh Manager, then click Users. 2 If “Template” appears in the list of users, make sure it is not selected. 3 Choose Select Users By from the Edit menu. 4 Select the kinds of search information you want to use. If you select Comment, you can find users that have certain words in their comment fields. Providing Quick Access to Unimported Users If you want to allow user access to a managed network without having to set up user accounts, you can use the All Other Users feature, or you can set up a guest user account. If mobile clients require access to your network, you may also want to use the All Other Computers account. Using Guest Accounts In Macintosh Manager, you can create three types of “guest” accounts, all of which can be managed. m All Other Users Using All Other Users is a quick way to provide access to large numbers of users and manage them without having to import them into Macintosh Manager. Users with existing Mac OS X user accounts can log in and access their own home directories, preferences, and documents. They have the privileges and environment you set up for the All Other Users Account. You can also set login settings for All Other Users and allow them to exceed printer quotas. For information about how to set up the All Other Users account see “Providing Access to Unimported Mac OS X Server Users” on page 430. m Guest Users When a user logs in as Guest, no password is required. Anyone can use the guest account when it is available, whether he or she has a Macintosh Manager user account, a Mac OS X Server user account, or no account at all. All users logged in as Guest have the same privileges and preferences. Any settings you choose for the guest account apply to all users who log in as Guest. You can set login settings and user storage quotas for guest users. You can also allow them to exceed printer quotas.430 Chapter 10 For more information about using the guest user account, see “Setting Up a Guest User Account” on page 431. m All Other Computers Any computer that is “unknown” or not in a Macintosh Manager computer list uses settings selected for the All Other Computers account. Allowing unknown or “guest” computers is useful if you want to manage users who want to connect to your network using their own portable computers. For more information about how to set up the All Other Computers account, see “Setting Up the All Other Computers Account” on page 452. Providing Access to Unimported Mac OS X Server Users After you enable the All Other Users feature, Macintosh Manager creates the All Other Users account and makes it available in the Imported Users list. You can treat the All Other Users account like any other user account with its own workgroup and settings, with a few exceptions: m Computer checkout is not allowed. m Working offline at a client computer is not allowed. m A disk quota is not enforced. Using the All Other Users account is the quickest and most convenient way to grant authenticated access and set up customized environments for users without having to import them into Macintosh Manager. For example, in a school with a central user database, you can set up Macintosh Manager service in a computer lab using only the All Other Users account. Any user on campus who has a Mac OS X Server account can walk into the lab, log in, and access his or her home directory in a managed environment. To set up the All Other Users account: 1 In Macintosh Manager, click Global, and then click Security. 2 Select Allow “All Other Users” and click Save. 3 Click the Users tab and select All Other Users in the Imported Users list. 4 Select settings in the Basic and Advanced panes, then click Save. 5 Click Workgroups, add All Other Users to a workgroup, and give the workgroup a name. 6 Select settings for that workgroup, then click Save. 7 Click Computers and make computers available to the workgroup you just created. Client Management: Mac OS 9 and OS 8 431 Setting Up a Guest User Account Because the Guest account does not require individual user names and passwords for each user, it is a good choice for setting up a public computer or kiosk where users do not need to access their home directories. After you enable the Guest account, Macintosh Manager creates the account and makes it available in the Imported Users list.As with any other user account, you can add the Guest account to a workgroup and apply Macintosh Manager settings, with a few exceptions: m Computer checkout is not allowed. m Working offline at a client computer is not allowed. To set up the Guest account: 1 Open Macintosh Manager, click Global, and then click Security. 2 Select “Allow Guest access.” 3 Click Users, and select Guest from the Imported Users list. In the Basic and Advanced panes, select the settings you want to use. 4 Click Workgroups. Create a workgroup for the Guest account, or select an existing workgroup and add Guest to the Workgroup Members list in the Members pane. 5 Provide access to computers by making one or more lists of computers available to the workgroups. 6 Click Save. Designating Administrators After you import user accounts, you’ll need to give some users administrative privileges. For Macintosh Manager, the privilege hierarchy is similar to that of Workgroup Manager, but Macintosh Manager uses only two types of administrative accounts. Macintosh Manager workgroup administrators are similar to Workgroup Manager’s directory domain administrators, but their privileges apply only to workgroups created in Macintosh Manager. About Macintosh Manager Administrators A Macintosh Manager administrator can import, edit, and delete user accounts and create workgroup administrators and additional Macintosh Manager administrators. A Macintosh Manager administrator can change any of the Macintosh Manager settings and, if allowed, can use his or her administrator password to log in as any user except another Macintosh Manager administrator.432 Chapter 10 A Macintosh Manager administrator’s administrative privileges do not apply in Mac OS X Workgroup Manager tools. For example, a Macintosh Manager administrator cannot create user accounts in Workgroup Manager (unless he or she also has a Mac OS X server administrator account). Allowing Mac OS X Server Administrators to Use Macintosh Manager Accounts Because Macintosh Manager is disconnected from data (other than the user ID) used by Workgroup Manager, Mac OS X Server administrator accounts are imported to Macintosh Manager as regular users. They may not be able to access their home directories when they log in to client computers, and they will not automatically have administrative privileges in Macintosh Manager. They cannot access the Macintosh Manager share point or set up managed preferences. You should create a separate Mac OS X Server user account for any server administrators you want to include in Macintosh Manager, and then import those accounts. If you want to give these users full administrative privileges in Macintosh Manager, follow the instructions for “Creating a Macintosh Manager Administrator” on page 432. About Workgroup Administrators Workgroup administrators can add or modify user accounts and workgroups according to privileges assigned to them. Regardless of privileges, they cannot change a user’s type or change access settings, and they cannot create Finder workgroups. Workgroup administrators also have access to shared folders, such as hand-in folders, which can be used to collect documents from users. In a school environment, for example, teachers who are workgroup administrators can distribute and collect assignments over the network. A teacher can also make available various network resources, applications, and CDs that promote teaching objectives for the class. Creating a Macintosh Manager Administrator You should create at least one Macintosh Manager administrator to prevent users from bypassing security and changing to a different Macintosh Manager server. To designate a Macintosh Manager administrator: 1 In Macintosh Manager, click Users. 2 Select one or more users in the Imported Users list. 3 Change the user type to Macintosh Manager Administrator, then click Save. Creating a Workgroup Administrator You can set up workgroup administrator accounts for people (such as teachers or technical coordinators) who may need to add or modify certain user accounts or workgroups. Client Management: Mac OS 9 and OS 8 433 To designate a workgroup administrator: 1 In Macintosh Manager, click Users. 2 Select one or more users in the Imported Users list. 3 Change the User Type to Workgroup Administrator, then click Save. Changing Your Macintosh Manager Administrator Password Macintosh Manager administrators can change their passwords whenever necessary. To change your administrator password: 1 Log in to Macintosh Manager. 2 Choose Change Password from the Configure menu. 3 In the text fields provided, type your current password, then type your new password. Then, type your new password again to verify it. Working With User Settings This section describes basic and advanced user settings and how to use them. Available settings in the Advanced pane vary depending upon the user type. All users have the same options available for basic settings regardless of user type. Changing Basic User Settings Name, short name, and ID information is imported with each user. This information cannot be changed in Macintosh Manager. For information about how to change this information, see Chapter 3, “Users and Groups.” You can change basic settings for more than one user at a time. When you have multiple users selected, the name, short name, and ID change to “Varies.” To change Basic user settings: 1 In Macintosh Manager, click Users, and then click Basic. 2 Select one or more users in the Imported Users list. 3 Select a type from the User Type pop-up menu. 4 Select login settings. “User can log in” is already selected for you. Deselect it if you want to disable user login immediately. If you want to prevent a user from logging in after a specific date (for example, after a school session ends), select “Disable log-in as of __” and type in a date. 5 Add comments (up to 63 characters long) in the Comments field.434 Chapter 10 This is a good place to put user-specific information (for example, a student’s grade level or an employee’s office location) or keywords that will help you find users. 6 Click Save. Allowing Multiple Logins for Users Ordinarily, users must log out on one computer before they can log in on another. However, you may want to allow certain users, such as technical support staff or administrators, to log in on several computers simultaneously (to do maintenance tasks, for example). To allow simultaneous logins: 1 In Macintosh Manager, click Users, and then click Advanced. 2 Select a user from the Imported Users list. 3 Deselect “User can only log in at one computer at a time.” 4 Click Save. Granting a User System Access Users who have system access can access all items on a client computer, including the Finder and the System Folder. Grant system access to specific users, such as workgroup administrators or technical support staff, only if necessary. Macintosh Manager administrators always have system access. To allow system access for a user: 1 In Macintosh Manager, click Users, and then click Advanced. 2 Select a regular user or workgroup administrator in the Imported Users list. 3 Select “User has system access.” 4 Click Save. Changing Advanced Settings Depending upon the user type, some advanced settings may or may not be available. Also, workgroup administrators cannot change access settings, email settings, or user type. To change advanced settings for a user: 1 In Macintosh Manager, click Users, and then click Advanced. 2 Select the user or users you want to modify in the Imported Users list. You can select multiple users, but they should be of the same type. If you select different types of users, you will be able to modify only the advanced settings that those users have in common. Client Management: Mac OS 9 and OS 8 435 3 Select access settings and set quotas. Initially, users of all types can log in to only one computer at a time. No other settings are selected. 4 If the user is a workgroup administrator, select the privileges you want the user to have under “Allow this Workgroup Administrator to.” Initially, no privileges are selected. 5 Click Save. Limiting a User’s Disk Storage Space A disk space quota limits the amount of storage space available in a user’s home directory. Once a user exceeds the storage limit, he or she cannot save any more files there. Users see a warning message if they run out of storage space. To set a user storage quota: 1 In Macintosh Manager, click Users, and then click Advanced. 2 Select a user in the Imported Users list. 3 Select “Set user storage quota to __ K” and type in the maximum amount of storage space to allow in kilobytes (1024 kilobytes = 1 megabyte). When you set a storage quota, keep in mind the amount of space available and the number of users who will share it. 4 To allow a user to save files even if he or she exceeds the set quota, select “Only warn user if they exceed this limit.” 5 Click Save. Updating User Information From Mac OS X Server If you change user information in Workgroup Manager or delete user accounts, you need to synchronize Macintosh Manager with the Mac OS X Server database to make sure user data is the same in both places. To update Macintosh Manager user data: 1 In Macintosh Manager, click Users. 2 Choose Verify Users & Workgroups from the File menu. If the user account exists in the server database, Macintosh Manager updates the user’s information to match information in the server database. For very large numbers of users, this process can take some time. Note: If the user account can’t be found, the user is deleted from Macintosh Manager.436 Chapter 10 Setting Up Workgroups In the Members pane of the Workgroups pane, you can create new workgroups, change an existing workgroup’s name or type, and add or remove workgroup members. This section describes the different workgroup environments and tells you how to apply workgroup settings manually, by duplicating a workgroup, and by using a template. Types of Workgroup Environments Workgroups can have one of three types of desktop environments. All three types have some optional settings in common. Important differences are described below. m Finder workgroups have the standard Mac OS desktop. The System Folder and Applications folder are not automatically protected, but you can choose to protect them. Members of Finder workgroups have no restrictions on the File menu, Apple menu, or Special menu. They also have no restrictions on removable media or CDs. m Restricted Finder workgroups have the standard Mac OS desktop, but with restrictions. The System Folder and the Applications folder are protected. This means users can view the contents, but cannot modify them or add new items. Users can access File menu and Special menu items, but you can choose available items for the Apple menu. You can also control the user’s ability to take screen shots, and you can choose privileges for CDs, removable media, and shared folders. m Panels workgroups have a simplified interface with large icons that make using a computer easy for novice users, particularly children. Panels workgroup options are the same as Restricted Finder options, with a few additions. You can control access to the File menu and the Special menu in addition to the Apple menu, and you can select whether or not to show a mounted volume as a panel. Members of a Panels workgroup cannot view items on the local hard disk. Creating a Workgroup Workgroup members can be of any user type, and workgroups can have up to 1500 members. Workgroup administrators, if allowed, can create Restricted Finder and Panels workgroups, but they cannot create Finder workgroups. To create a workgroup: 1 In Macintosh Manager, click Workgroups. Important If a user is not a workgroup member, he or she cannot log in to the Macintosh Manager network. Group accounts are not imported from Workgroup Manager; you must create them. Every managed user must belong to at least one workgroup. Users can belong to more than one workgroup, but users can select only one workgroup when they log in. Client Management: Mac OS 9 and OS 8 437 2 Click New and type a name for the workgroup. 3 Choose an environment type from the Environment pop-up menu. 4 Select one or more users in the Available Users list and click Add. To remove workgroup members, select the users you want to remove in the Workgroup Members list, then click Remove. 5 Choose settings for this workgroup in the other panes, then click Save. You can duplicate workgroups or use a template to apply settings to new workgroups. Using a Template to Apply Workgroup Settings You can use a template to quickly create several workgroups that have the same settings. Once you modify the template, each new workgroup you create will have the template settings. You can make additional changes to the workgroup after it is created. Note: Once you set up a template, you cannot reset it to its original state. You can, however, change template settings any time you want. To set up or change a template: 1 In Macintosh Manager, click Workgroups. 2 Select Template in the Workgroups list. If you don’t see the template, open Macintosh Manager Preferences and make sure “Show templates” is selected. To open Macintosh Manager Preferences in Mac OS X, choose Preferences from the Macintosh Manager menu. In Mac OS 9, choose Preferences from the Edit menu. 3 In each of the Workgroup panes, set the options you want to use in the template, then click Save. Creating Workgroups From an Existing Workgroup Duplicating an existing workgroup is a quick way to create another Macintosh Manager workgroup that already has settings or members you want. To duplicate a workgroup: 1 In Macintosh Manager, click Workgroups. Then select a workgroup in the Workgroups list. 2 Click Duplicate and type a new name for the workgroup. 3 Add or remove members and change settings if you wish, then click Save.438 Chapter 10 Modifying an Existing Workgroup After a workgroup is created, you can change its name or environment type and add or remove members. A workgroup administrator can change settings for a workgroup only if he or she is also a member of that workgroup. To change Members settings: 1 In Macintosh Manager, click Workgroups, and then click Members. 2 Change the workgroup name in the text field. 3 Select a new environment in the pop-up menu. Workgroup administrators cannot select Finder as a workgroup environment. 4 To add new members, select one or more users in the Available Users list and click Add. To remove members, select members in the Workgroup Members list, and click Remove. 5 Click Save. Using Items Settings Items settings let you make files and applications on client computers available to workgroup members. Setting Up Shortcuts to Items for Finder Workgroups You can use settings in the Items pane to create a list of applications, folders, and files that workgroups can access. If you choose to allow access to local items, the items appear in the Shortcut Items list. Macintosh Manager creates an alias for each item in the list. Aliases for shortcut items appear on the user’s desktop. When users log in, their computers look for the original file at the “Find chosen items” location and create an alias for the file. To make items on the local volume available to a workgroup: 1 In Macintosh Manager, click Workgroups, and then click Items. 2 Select “Members can open any items on local volumes” if you want to allow access to items stored on the computer where users are logged in. If you select this option, access is not restricted, but you can use Shortcut Items to provide quick access to a particular set of applications, folders, and/or files. 3 Select a volume in the Volume pop-up menu. Important Unless you plan to look for original items only on local volumes, be sure personal file sharing is turned off and other Apple Filing Protocol (AFP) services are not running before you proceed. Alternatively, use a computer that has Macintosh Manager, but not file service, installed. Client Management: Mac OS 9 and OS 8 439 4 Select items in the Volume list that you want to add to the Shortcut Items list and click Add. To remove items from the Shortcut Items list, select them and click Remove. Use Find to search for additional items, such as files or folders. 5 Select a location from the “Find chosen items” pop-up menu. A user’s computer looks for the original file at this location, and then downloads the alias. 6 Click Save. Making Items Available to Panels or Restricted Finder Workgroups If you choose to allow access to only specific items, the items appear in the Approved Items list. Macintosh Manager creates an alias for each item in the list. Aliases for approved items appear either on a panel for Panels workgroups or in a folder on the desktop for Restricted Finder workgroups. When users log in, their computers look for the original file at the “Find chosen items” location and create an alias for the file. To provide access to applications and other items: 1 In Macintosh Manager, click Workgroups, and then click Items. 2 Select an application access setting. Select “Members can open any items on local volumes” if you want to allow access to items stored on the computer where users are logged in. If you select this option, access is not restricted, but you can use Shortcut Items to provide quick access to a particular set of applications, folders, and/or files. Select “Allow members to open only the following items” if you want to allow access to only certain approved applications, folders, or files. 3 Select a volume in the Volume pop-up menu. 4 Select items in the Volume list that you want to add to the Approved Items or Shortcut Items list, and click Add. You can also drag and drop items directly into the list. To remove items from the list, select them and click Remove. Use Find to search for additional items, such as files or folders. 5 Select a location from the “Find chosen items” pop-up menu. When a user attempts to open a Shortcut Items or Approved Items alias, the computer looks for the original file at the “Find chosen items” location. Important Unless you plan to look for original items only on local volumes, be sure personal file sharing is turned off and other AFP services are not running before you proceed. Alternatively, use a computer that has Macintosh Manager, but not file service, installed.440 Chapter 10 The computer can search local volumes and mounted server volumes. If the original item is on a server volume that is not mounted, the computer won’t be able to find it. For a NetBoot client computer, a local volume is the hard disk in the computer or any external hard disk connected directly to the computer. The startup volume for a NetBoot client computer is a remote volume, but it is treated as a local volume. 6 Click Save. Making Items Available to Individual Users In some cases, you may want to make specific documents or applications available to individual users. For example, a user working on a special video project may require a videoediting application that other workgroup members don’t need. To make items available to a specific user: m Place the items in the user’s home directory. Using Privileges Settings Settings in the Privileges pane allow you to enable certain security measures, control access privileges for workgroup folders, and set options to allow users to take screen shots, play audio CDs, and open items on removable media. Available privilege settings vary depending upon the type of workgroup selected in the Workgroups list. If you have more than one type of workgroup selected when you make changes, you will be able to change only those settings that the workgroups have in common. Protecting the System Folder and Applications Folder For Panels and Restricted Finder workgroups, these folders are always locked. Users can view the contents, but cannot make changes. Finder workgroups do not automatically have these folders protected, but you can set these restrictions. To protect these folders: 1 In Macintosh Manager, click Workgroups, and then click Privileges. 2 Select a Finder workgroup in the Workgroups list. 3 Click the checkboxes next to System Folder and Applications folder to protect them. 4 Click Save. Protecting the User’s Desktop You can prevent users from storing files or folders on the desktop and changing the desktop pattern, icon arrangement, or other desktop settings. Client Management: Mac OS 9 and OS 8 441 To protect the desktop: 1 In Macintosh Manager, click Workgroups, and then click Privileges. 2 Select a workgroup in the Workgroups list. 3 Click the checkbox to select “Lock the user’s desktop on the startup volume.” 4 Click Save. Preventing Applications From Altering Files Enforcing file-level security prevents applications from writing to protected folders and files, but it may cause some older applications to report disk errors or have problems opening. If you don’t enforce file-level security, applications can write information (for example, temporary data or preferences) wherever necessary. File-level security is available only for Mac OS 9 clients and applies only to applications. It does not affect user access to folders and files. To enable file-level security: 1 In Macintosh Manager, click Workgroups, and then click Privileges. 2 Select a workgroup in the Workgroups list. 3 Select “Enable file level security for Mac OS 9 workstations,” then click Save. Preventing Access to FireWire Disks You can enable file-level security to prevent users in a Panels workgroup from accessing FireWire hard disks that are mounted at startup. This applies only to Mac OS 9 clients and does not affect Finder or Restricted Finder workgroups. Allowing Users to Play Audio CDs Users in a Finder workgroup can always play audio CDs. Panels or Restricted Finder workgroups don’t automatically have that privilege, but you can give it to them. To allow users to play audio CDs: 1 In Macintosh Manager, click Workgroups, and then click Privileges. 2 Select a Panels or Restricted Finder workgroup in the Workgroups list. 3 Select “Play audio CDs,” then click Save. Some CDs contain more than just audio tracks. If the first track on a CD is an audio track, then it is an audio CD.442 Chapter 10 Allowing Users to Take Screen Shots Special key combinations let users take a picture of the computer screen (called a “screen shot”) and save the picture as a file stored in the user’s Documents folder. Users in Finder workgroups are always allowed to take screen shots. Panels or Restricted Finder workgroups don’t automatically have this privilege, but you can give it to them. To allow users to take screen shots: 1 In Macintosh Manager, click Workgroups, and then click Privileges. 2 Select a Panels or Restricted Finder workgroup in the Workgroups list. 3 Select “Take Screen Shots,” then click Save. If disk space is a concern, you may not want to enable this feature. Allowing Users to Open Applications From a Disk If you use a list of “approved items” (applications or scripts) that users can access, users in a Panels or Restricted Finder workgroup cannot open applications on removable media (for example, floppy disks) unless you allow it. Finder workgroups do not have this restriction. To allow users to open applications on removable media: 1 In Macintosh Manager, click Workgroups, and then click Privileges. 2 Select a Panels or Restricted Finder workgroup in the Workgroups list. 3 Select “Open approved items on removable media,” then click Save. Removable media include floppy disks, Zip disks, and all other types of removable media except CDs or DVDs. You can set up a list of approved items in the Items pane of the Workgroups pane. Setting Access Privileges for Removable Media For Panels and Restricted Finder workgroups, you can set access privileges for removable media. Removable media include floppy disks, Zip disks, and all other types of removable media except CDs. To set privileges for removable media, other than CDs: 1 In Macintosh Manager, click Workgroups, and then click Privileges. 2 Select a Panels or Restricted Finder workgroup in the Workgroups list. 3 Select an access privilege setting from the pop-up menu next to “Removable media (except CDs),” then click Save. Client Management: Mac OS 9 and OS 8 443 Setting Access Privileges for Menu Items For certain Finder menus, you can decide which menu items users can see. For Panels workgroups, you can control items in the Apple menu, File menu, and Special menu. For Restricted Finder workgroups, you can only control items in the Apple menu and the Special menu. Finder workgroups do not have these restrictions. To set privileges for menu items: 1 In Macintosh Manager, click Workgroups, and then click Privileges. 2 Select a Panels or Restricted Finder workgroup in the Workgroups list. 3 Select each menu item you want workgroup members to be able to use, then click Save. Sharing Information in Macintosh Manager Macintosh Manager provides a number of ways to share information among users or workgroups by using different types of shared folders. Most shared folders are created inside the group documents volume. Some folders are created automatically, but others must be created by the administrator. Types of Shared Folders m Workgroup shared folder Only members of a single workgroup can use this folder. A workgroup shared folder is automatically created when you set up a group documents volume. m Global shared folder Members of all workgroups whose workgroup folder is on the same volume can access this folder, allowing documents to be shared between workgroups. A global shared folder is automatically created when you select a group documents volume. m Workgroup hand-in folder Hand-in folders must be set up manually and are available only to Panels and Restricted Finder workgroups. The hand-in folder is stored on the group documents volume. At least one workgroup administrator or Macintosh Manager administrator must be a member of the workgroup to use this feature because only an administrator can see items in the hand-in folder. Workgroup members put items into the folder by choosing Hand In from the File menu (in the Panels environment) or by dragging the item to the hand-in folder (in the Restricted Finder environment). m Folder on the startup disk named __ A Macintosh Manager administrator can create a folder at the top level of the startup disk and then allow users to open items stored in that folder. This type of folder is useful for storing items that workgroup members need to access easily or frequently, such as clip art.444 Chapter 10 Folder Access Privileges Macintosh Manager allows four levels of access privileges for workgroup folders: Selecting Privileges for Workgroup Folders After you create a group documents volume, you can set user access privileges (Read Only, Write Only, Read & Write, or No Privileges) for various workgroup folders. To set access privileges for workgroup folders: 1 Make sure the group documents volume is already set up before you proceed. 2 In Macintosh Manager, click Workgroups, and then click Options. 3 Select a Panels or Restricted Finder workgroup. 4 Select an access privilege setting from the pop-up menu next to each type of folder that is available for the workgroup. 5 Click Save. Setting Up a Shared Workgroup Folder A shared workgroup folder is a convenient location where workgroup members can store and share any kind of information, depending on how file and folder access privileges are configured. For example, if you set up read-write permission for a shared group documents volume, several users can share HTML files or images for a collaborative project. To set up a group documents folder: 1 Open Macintosh Manager. Before you proceed, make sure the group documents settings in the Options pane are correct. If they are not, choose the correct group documents location and login settings, and then click Save. Access setting What it means Read Only Users can view and open items in the folder, but they cannot modify them, and they cannot “write to” the folder. For example, they cannot save a file in the folder. Write Only Users cannot view or open items in the folder, but they can write information to the folder. For example, they can copy a document to the folder. Read & Write Users have unrestricted access to the folder. They can view, open, modify, or write information to the folder. No Privileges Users cannot do anything at all with the folder. Client Management: Mac OS 9 and OS 8 445 2 Click Workgroups, then click Privileges. 3 Select one or more workgroups in the Workgroups list. 4 In the Privileges section, set “Workgroup shared folder” to Read & Write, then click Save. If you want to prevent users from changing the documents in the workgroup shared folder, you can lock each document. Setting Up a Hand-In Folder A hand-in folder works like a drop box. Users can save items in the folder, but they can’t see any items in the folder. Hand-in folders are very useful for collecting and protecting sensitive documents. For example, in a classroom, students can turn in homework by copying their files into the folder. Employees in a workplace can place status reports or personal reviews in a hand-in folder that only their managers can access. Hand-in folders are available only for Panels or Restricted Finder workgroups. To create a hand-in folder: 1 Open Macintosh Manager, click Workgroups, and then click Options. Before you proceed, make sure the group documents settings in the Options pane are correct. If they are not, choose the correct group documents location and login settings, then click Save. 2 Click Workgroups, then click Privileges. 3 Select one or more Panels or Restricted Finder workgroups in the Workgroups list. 4 In the Privileges section, set “Workgroup hand-in folder” to Write Only, then click Save. The hand-in folder appears as an item in the File menu for Panels workgroups. For Restricted Finder workgroups and workgroup administrators, it appears as a folder on the desktop. Using Volumes Settings You can use the Volumes settings for Workgroups to select which volumes are mounted when users log in and control login options for each volume. A volume is a shared folder on a file server. Connecting to AFP Servers Mac OS X Server supports TCP/IP network connections to Apple Filing Protocol (AFP) servers such as the Macintosh Manager server. You cannot use AppleTalk connections to AFP servers.446 Chapter 10 Providing Access to Server Volumes If workgroup members need to use files and applications that are not stored on the Macintosh Manager server, you can mount volumes automatically when users log in. Even if you don’t set up a server volume to mount automatically, users can still connect to it if they have access to the network and have an account on (or guest access to) that server. To connect to volumes automatically: 1 In Macintosh Manager, click Workgroups, and then click Volumes. 2 Select one or more workgroups. 3 Select a volume in the Volumes list, then click Add. If you don’t see the volume you want, click Find and locate the volume. When the volume is mounted, it requests a login name and password. 4 Select a volume in the Mount at Log-in list and choose login settings (explained in the steps that follow). 5 If the volume doesn’t use the same user names and passwords used by Macintosh Manager, select “Prompt user for log-in.” Users must enter a valid user name and password. 6 If you want to grant easy access to a volume for all users, select “Log in automatically as this AFP user” and type in a valid user name and password. This isn’t as secure as requiring users to log in with their own information, because you can’t control access individually or track who has logged in to the server. You can select “Always try automatic log-in with user’s name and password first” in addition to the other login settings. If this attempt at login fails, the login method you selected under “When mounting” is used. 7 Select “Use AFP privileges” to use Apple Filing Protocol read and write permission settings to determine access privileges for a particular volume. Ordinarily, Macintosh Manager allows read-only access to volumes. This setting does not apply to Finder workgroups. 8 If you select “Require an administrator password to unmount,” users can’t disconnect the volume unless they have the correct password. This setting does not apply to Finder workgroups. 9 For Panels workgroups only, select “Show volume on a panel” if you want the user to see the volume icon. If you don’t select this option, the volume can only be seen in the Applications panel. 10 Click Save. Client Management: Mac OS 9 and OS 8 447 Using Printers Settings Printers settings let you control access to workgroup printers and limit the number of pages printed. Some settings are available only if you select “Allow member to use only the following Desktop Printers.” Making Printers Available to Workgroups Before you can make a printer available to a workgroup, the printer must appear in the Available Printers list. You can add printers using Create New in the Printers pane of Workgroups, or you can add them in the Print Center application (in Mac OS X) on the Macintosh Manager server. Note: The Mac OS X version of the Macintosh Manager administrator application only creates LaserWriter desktop printers. If you need to provide access to non-LaserWriter printers, you must use the Mac OS 9 version of the Macintosh Manager administrator application to manage clients. To add printers in Mac OS 9, use the Chooser in the Apple menu. To allow access to printers: 1 In Macintosh Manager, click Workgroups, and then click Printers. 2 Make sure “Allow members to use only the following Desktop Printers” is selected. 3 Select one or more printers in the Available Printers list and click Add. 4 When you have finished adding printers, click Save. You cannot grant access to both the system access printer and desktop printers. If you want a workgroup to use the system access printer, log in to the System Access workgroup as an administrator and use the Chooser to select a printer. Then follow the steps above. Setting a Default Printer When a user prints a document, applications prefer to send the document to the default printer. If multiple printers are available, the user has the opportunity to select a different printer. After printers have been added to the Available Printers list, you can determine how applications will know which printer to use first. To select a default printer: 1 In Macintosh Manager, click Workgroups, and then click Printers. 2 Make sure “Allow members to use only the following Desktop Printers” is selected. 3 Select a printer in the Selected Printers list and click Set Default Printer. If multiple printers are available and you select “Remember last used printer,” applications prefer to send print jobs to the last printer used, even if it isn’t the default printer. The user still has the opportunity to select a different printer.448 Chapter 10 Restricting Access to Printers You can restrict access to a printer by removing it from the Selected Printers list or by requiring a password to use it. To restrict access to a printer: 1 In Macintosh Manager, click Workgroups, and then click Printers. 2 Make sure “Allow members to use only the following Desktop Printers” is selected. 3 Select a printer in the Selected Printers list. If you want to remove the printer from the list, click Remove. 4 Select “Require an administrator password to print to this printer” to protect only the selected printer. To password-protect all printers in the list, select “Require an administrator password to print to any printer.” Setting Print Quotas A print quota limits the number of pages a user is allowed to print over a period of time. The number of pages allowed refers to the document’s page count, not to the number of pieces of paper. For example, if you print a 16-page document using a layout that shows four document pages on each printed page, you’ll use four sheets of paper; however, 16 pages are subtracted from your print quota. Pages are counted against the maximum allowance even if the printing job is not completed (for example, if there is a paper jam). Using a print quota helps encourage users to use printing resources wisely and helps decrease waste. You can set an individual quota for each printer in the Selected Printers list. To set a print quota for a user: 1 In Macintosh Manager, click Workgroups, and then click Printers. 2 Make sure “Allow members to use only the following Desktop Printers” is selected. 3 Select a printer in the Selected Printers list. 4 Select “Limit users to no more than __ pages every __ days” and enter the maximum number of pages to allow in a number of days. 5 Click Save. Allowing Users to Exceed Print Quotas When you set a print quota, the limitation applies to every user in the selected workgroup. However, you can allow certain users to ignore all print quotas. To allow a user to exceed all print quotas: 1 In Macintosh Manager, click Users, and then click Advanced. 2 Select a user from the Imported Users list, then select “Allow user to exceed print quotas.” Client Management: Mac OS 9 and OS 8 449 3 Click Save. Setting Up a System Access Printer If the printer you want to use doesn’t support desktop printing software, you can make the printer available as a system access printer. The system access printer becomes the default printer for the selected workgroup. Users who can see the Chooser can select any printer visible to them. When the user logs out of a client computer, the printer originally chosen by the administrator as the system access printer becomes the default printer again. Note: You cannot use both regular desktop printers and a system access printer. To set up a system access printer: 1 Create one or more computer lists containing client computers on which you plan to use system access printers. 2 For each workgroup you want to use a system access printer, make sure that workgroup has access to the computers in the list or lists you created. 3 Log in to a client computer using the System Access workgroup. You see the System Access workgroup only if you are a Macintosh Manager administrator or if “User has System Access” is enabled for your account. 4 Select Chooser from the Apple menu. 5 Select and set up a printer, then choose Quit from the File menu and log out. 6 Repeat steps 3 through 5 for each client computer where users need access to a system access printer. 7 From the server or an administrator computer, open Macintosh Manager. 8 Click Workgroups, then click Printers. 9 Select a workgroup that has access to the computers you set up in the previous steps. 10 Select “Members use printer selected in System Access.” 11 Click Save. If you specify that a workgroup should use the system access printer, but do not select a printer from a client computer, users who log in to that computer will not be able to print unless they have access to the Chooser. Using Options Settings Options settings are used to set up a group documents folder, create a login message for workgroups, set startup and login events, and allow users in Panels or Restricted Finder workgroups to eject CDs.450 Chapter 10 Choosing a Location for Storing Group Documents You can use a group documents location to store folders and files you would like to make available to everyone in a workgroup. Once you have chosen a location and login settings for the group documents volume, you can set up shared folder access in the Privileges pane. To set up a group documents volume: 1 In Macintosh Manager, click Workgroups, and then click Options. 2 Select a location for storing group documents in the “Stored on volume” pop-up menu. 3 If the volume doesn’t use the same user names and passwords used by Macintosh Manager, select “Prompt user for log-in.” Users must enter a valid user name and password. 4 If you want to grant easy access to the group documents volume for all users, select “Log in automatically as this AFP user” and type in a valid user name and password. This isn’t as secure as requiring users to log in with their own information, because you can’t control access individually or track who has logged in to the server. 5 If the group documents location is “Designated Macintosh Management Server,” you can choose “Log-in Automatically using the default name and password.” The default name and password are internal to Macintosh Manager. You cannot track user login if you choose this setting. You can select “Always try automatic log-in with user’s name and password first” in addition to the other settings. If this attempt at login fails, the login method you selected under “When mounting” is used. 6 Click Save. If the location you want doesn’t appear in the menu, choose Other from the “Stored on volume” pop-up menu. You can only select volumes that are mounted on the server. If you still can’t find the volume you want, click Find and mount the appropriate volume. Making Items Open at Startup Give users a head start on their work by conveniently opening applications or folders for them when the computer starts up. To open items at startup: 1 On each client computer, place the items you want to open at startup in the Startup Items folder in the Mac OS 9 or Mac OS 8 System Folder. 2 In Macintosh Manager, click Workgroups, and then click Options. 3 Select one or more workgroups in the Workgroups list. 4 Select “Open items in the Startup Items folder” and click Save. Client Management: Mac OS 9 and OS 8 451 For computers that start up using NetBoot, you must follow special procedures to copy items to the Startup Items folder on the startup disk image. See Chapter 12, “NetBoot,” for details. Checking for Email When Users Log In If a user has a Post Office Protocol (POP) email account, you can have Macintosh Manager check the mail server for messages when the user logs in. To check for email automatically: 1 Open Macintosh Manager. Before you proceed, click Computers, and then click Control. Check the incoming email server information and make sure it is correct. The incoming email server must be a POP server in order to check email at login. 2 Click Workgroups, then click Options. 3 Select “Check for email when members log in,” then click Save. Creating Login Messages for Workgroups You can display a message or announcement when a user logs in. To create a workgroup login message: 1 In Macintosh Manager, click Workgroups, and then click Options. 2 Type a message in the Group Message box, then click Save. Setting Up Computer Lists You can use Macintosh Manager to manage computers by grouping several computers together and choosing settings for them. Once you create a list of computers you want to manage, you can select workgroups that are allowed to use them, and you can customize control settings, security settings, and login settings for each list. Checkout features are used to manage mobile computers such as iBooks. This section tells you how to set up computer lists individually, by duplication, or by using a template. Creating Computer Lists Computer lists are simply groups of computers, in the same way that workgroups are groups of users. These lists appear under “Machine Lists” on the left side of the Computers pane. You can limit access to computers by assigning specific workgroups to the computers you want them to use. Computer lists are also useful if you want certain computers to have different settings.452 Chapter 10 A computer cannot belong to more than one list. To set up a computer list: 1 In Macintosh Manager, click Computers, and then click Lists. 2 Click Add and give the new list a name. The name can contain up to 31 characters (including period, underscore, dash, or space). The name cannot contain a colon (:). 3 Click Find and choose or connect to a computer from the workstation selection window. Repeat this step for each computer you want to appear in the list. To remove a computer from the list, select it and click Remove. 4 Make sure the login option is set to Enabled. Choose additional settings for the computer list in the other Computers panes, then click Save. Setting Up the All Other Computers Account Any settings selected for All Other Computers are applied to computers that connect to your managed network but do not appear in their own computer lists. These computers are also called guest computers. To set up the All Other Computers account: 1 In Macintosh Manager, click Computers. 2 Select the All Other Computers account. 3 Choose the settings you want to use in each pane of the Computers pane, then click Save. Duplicating a Computer List You can easily create a computer list with the same settings as one you have already created. A duplicate list doesn’t contain any computers because a computer cannot be in more than one list, but the settings are the same as the original. To duplicate a computer list: 1 In Macintosh Manager, click Computers, and then click Lists. 2 Select an existing computer list and click Duplicate. 3 Type a new name for the list, then click Add to add computers to the list. 4 Click Save. Client Management: Mac OS 9 and OS 8 453 Creating a Computer List Template You can use a template to apply the same initial settings to new computer lists. After you set up the template, each new computer list you add will have the template settings. You can change the computer list settings or the template settings at any time. You cannot add computers to a template because computers cannot belong to more than one list. Note: Once you set up a template, you cannot reset it to its original state. You can, however, change template settings any time you want. To create a template for computer lists: 1 In Macintosh Manager, click Computers, and then select Template in the list of computer lists. If you don’t see the template, open Macintosh Manager Preferences and make sure “Show templates” is selected. To open Macintosh Manager Preferences in Mac OS X, choose Preferences from the Macintosh Manager menu. In Mac OS 9, choose Preferences from the Edit menu. 2 In each Computers pane, set options you want to use for the template, then click Save. Disabling Login for Computers Occasionally, you may need to prevent user access on certain computers while you do maintenance tasks, such as installing and updating applications or running hard disk maintenance software. You can prevent access to computers by disabling login. To prevent users from logging in on certain computers: 1 In Macintosh Manager, click Computers, and then click List. 2 Select a computer list, then set one of the login options explained in the steps that follow. 3 Select “Disabled--Ask User” to allow the user to choose to shut down the computer, go to the Finder (if the user has an administrator password), or pick a new Macintosh Manager server. 4 Select “Disabled--Go to Finder” to take the user to the Finder automatically. 5 Select “Disabled--Pick a different server” to allow the user to select another Macintosh Manager server from a list of local network servers. 6 Click Save. To allow users to log in again, select Enabled in the login pop-up menu and click Save.454 Chapter 10 Using Workgroup Settings for Computers You use settings in the Workgroups pane of the Computers pane to control access to computers. Controlling Access to Computers You can make computers available to everyone, or you can limit access to certain computers. If you want to allow specific workgroups to use only certain computers, make sure you have already set up the workgroups first. Then create a list of computers you want to make available to them, and follow the steps below. The same workgroup can be added to more than one computer list. To make computers available to workgroups: 1 In Macintosh Manager, click Computers, and then click Workgroups. 2 If you want to make computers available to everyone, select “All workgroups can use these computers.” To limit access to only certain workgroups, select “Allow only the following workgroups to use these computers.” 3 Select workgroups in the Available Workgroups list and click Add to add them to the Allowed Workgroups list. To remove an allowed workgroup, select it and click Remove. 4 Click Save. If you want to disable access to certain computers, use one of the “disabled” login settings in the Lists pane of the Computers pane. Using Control Settings Control settings are used to set email settings in addition to options that affect the clock, hard disk name, and automatic disconnect. Disconnecting Computers Automatically to Minimize Network Traffic While a computer is connected to a network, even if no user is logged in, it looks for updates to databases on the server at regular intervals. On very large networks, you may notice delays in client response. You can ease the burden on your network by scheduling an automatic disconnect for computers when they are not in use. To enable automatic disconnect: 1 In Macintosh Manager, click Computer, and then click Control. 2 Select a computer list, then select “Disconnect from the server if no user logs in within __ minutes.” 3 Type in how many minutes the computer should wait before disconnecting. Client Management: Mac OS 9 and OS 8 455 4 Click Save. When the computer disconnects from the server, the computer still displays the login screen, but an X appears over the server icon in the menu bar. Automatic updates will not occur again until a user logs in. To reconnect a client, select a user and click Login. Then, click Cancel in the password dialog box. Setting the Computer Clock Using the Server Clock If your network doesn’t have access to a Network Time Protocol server, you can synchronize the clocks on managed computers with the clock on the server. To synchronize computer clocks: 1 In Macintosh Manager, click Computers, and then click Control. 2 Select a computer list, then select “Synchronize computer clocks with the server’s clock.” 3 Click Save. Using a Specific Hard Disk Name Specifying a certain name for a computer’s hard disk can make it easier for some applications to locate information, such as preferences. Using a specific hard disk name is particularly useful if you use NetBoot. NetBoot clients have a startup volume named “NetBoot HD” by default. If the computers in a list use NetBoot, you should make sure the hard disk name is the same for NetBoot and non-Netboot computers. This ensures that the paths to all applications used on these clients are the same. To use a specific hard disk name: 1 In Macintosh Manager, click Computers, and then click Control. 2 Select a computer list, then select “Force computer hard disk name to __” and type in the name you want to use (for example, Macintosh HD). 3 Click Save. Creating Email Addresses for Managed Users Macintosh Manager can create an email address for a user who doesn’t already have one. When a user logs in, Macintosh Manager adds the user’s short name to the default domain name you specify and creates an email address. If a user has other imported email settings, they will override Macintosh Manager’s settings when the user connects to the Macintosh Manager network. To create an email address for a user: 1 In Macintosh Manager, click Computers, and then click Control.456 Chapter 10 2 Select a computer list. 3 Under User Email Addresses, type the default domain name, the incoming (POP) mail server address, and the outgoing (SMTP) server address. 4 Click Save. To have the computer check for messages when the user logs in, select “Check for email when members log in” in the Options pane of the Workgroups pane. Using Security Settings for Computers Computer security settings let you choose security settings for users, computers, and applications. Keeping Computers Secure If a User Forgets to Log Out If a user doesn’t log out when he or she finishes using a computer, other people can use the computer without logging in. They will have access to anything the previous user had access to, including that user’s home directory and documents. You can prevent this type of unauthorized access with the idle logout feature. Idle logout occurs when there is no user activity (such as typing or using the mouse) for a specified period of time. For example, suppose you enable idle logout after 15 minutes. A user logs in, works for a while, and then decides to leave the computer and go have a snack, but doesn’t log out. After 15 minutes, the user returns and must enter a user name and password again to gain access. To enable idle logout: 1 In Macintosh Manager, click Computers, and then click Control. 2 Select a computer list, then select “Enable idle log-out” and enter the number of minutes the computer should wait. 3 Choose a logout option. If you select “Log user out,” users see a dialog box after idle log out and have the opportunity to save any unsaved documents, and then they return to the login screen. If you select “Lock the screen,” the screen goes black and a dialog box appears. Users can save any unsaved documents, and then they can either enter a password and continue working or log out. 4 Click Save. If this feature has been activated and the computer is connected to the network, you can use a Mac OS X Server administrator password to log in. Client Management: Mac OS 9 and OS 8 457 Allowing Access to All CDs and DVDs Using computer security settings, you can allow user access to CDs and DVDs with no restrictions. To allow access to any CD or DVD: 1 In Macintosh Manager, click Computers. 2 Click Security and select a computer list. 3 Select “Access all CD-ROMs” and click Save. 4 Select “Show a panel for inserted CD-ROMs” to make it easy for Panels workgroups to find inserted CDs. Allowing Access to Specific CDs or DVDs You can restrict user access to CDs and DVDs by using a list of approved discs. You can also allow users to access only certain files on a CD or DVD. First, create the list of approved discs and items, and then allow user access to the discs. To allow access to only specific CDs or DVDs: 1 In Macintosh Manager, make sure you have already set up a list of approved discs and items in the CD-ROMs pane of the Global pane. See “Using Global CD-ROM Settings” on page 465 for instructions. 2 Click Computers, then click Security and select a computer list. 3 Select “Access approved CD-ROMs only.” 4 Select “Show a panel for inserted CD-ROMs” to make it easy for Panels workgroups to find inserted CDs. Choosing Computer Security Settings for Applications Some applications may occasionally use “helper applications” to do jobs they cannot do themselves. For example, if a user clicks a Web link in an email message, the email application might want to open a Web browser. Other applications, such as installers, may need to quit the Finder and restart in order to finish their jobs. To allow applications to open other applications or quit the Finder: 1 In Macintosh Manager, click Computers, and then click Security and select a computer list. 2 Select “Open other applications, such as helper applications” and/or select “Quit the Finder” to allow these options for applications. Important Macintosh Manager does not automatically allow these options, but you may choose to do so. Allowing these options can weaken computer security.458 Chapter 10 3 Click Save. Allowing Specific Applications to Be Opened by Other Applications You can allow specific applications to act as helper applications for other applications that might need to use them. The applications you want to designate as helpers must already be added to the list of allowed items for one or more workgroups. To specify helper applications: 1 Open Macintosh Manager. 2 Choose Application Preferences from the Configure menu. 3 Select an application from the list. The list only shows applications currently assigned to workgroups. If the application you want isn’t in the list, click Add to browse for the application, or click Custom and type in the name and four-character code of the application you want to add. 4 To designate the application as a valid helper, select “Allow this application to be opened by other applications.” Allowing Users to Work Offline If the Macintosh Manager server or a user’s home directory is not available, you can still allow offline computer use. The user must log in, but the Macintosh Manager server is not available. If the home directory is not available, users may not be able to save their documents. To allow users to work offline: 1 In Macintosh Manager, click Computers. 2 Click Security and select a computer list. 3 Select “Work offline if the Macintosh Manager Server is not available” to allow this option for users. If you want, you can also select “Require an Administrator password to work offline” for this option. 4 Select “Work offline if the user’s home directory is not available” to allow this option for users. 5 Click Save. Client Management: Mac OS 9 and OS 8 459 Allowing Users to Switch Servers After Logging In Ordinarily, after users log in, they cannot switch to another managed server without an administrator password. However, you can allow users this privilege. To allow users to switch servers: 1 In Macintosh Manager, click Computers. 2 Click Security and select a computer list. 3 Select “Switch to another server without authentication” to allow this option for users. 4 Click Save. If you want NetBoot client computers to choose a different Macintosh Manager server, remove the DNSPlugin extension from the NetBoot image. Allowing Users to Force-Quit Applications If you allow users to force-quit applications, they can press Command-Option-Esc to force an application to quit. Note: Allowing this option may pose a security risk. To allow users to force-quit: 1 In Macintosh Manager, click Computers. 2 Click Security and select a computer list. 3 Select “Force Quit applications” to allow this option for users. 4 Click Save. Allowing Users to Disable Extensions If users are allowed to restart computers, you can also allow them to turn off extensions by pressing the Shift key during startup. This will not disable the Macintosh Manager extension or necessary system extensions. Note: Allowing this option may pose a security risk. To allow users to start up with extensions off: 1 In Macintosh Manager, click Computers. 2 Click Security and select a computer list. 3 Select “Disable extensions during startup” to allow this option for users. Important Allowing this option can decrease server security. Also, if you have servers that use older versions of Macintosh Manager, switching a client computer to one of these servers may cause the server to install the older software on the client computer.460 Chapter 10 4 Click Save. Using Computer Login Settings Computer login settings allow you to choose how users log in, what messages they see, and what panel names look like. Choosing How Users Log In When users log in to a computer, they can either type their names or choose their names from a list. If you decide to use a list for login, the list can contain up to 2000 users. You can choose not to display administrators in that list. To set login options: 1 In Macintosh Manager, click Computers. 2 Click Log-In and select a computer list. 3 Select “Users choose their name from a list (1-2000 users)” to use the list option. If you do not want administrator names to appear in the list, select “List displays users only (no administrators).” 4 If you do not want to use a list, select “Users type their name.” 5 Click Save. Creating Login Messages for Computers You can create two types of messages for computers. Each can contain up to 127 characters. m The banner message appears in the login dialog box. m The server message appears in a separate panel after users log in. It is preceded by the phrase “From: Global Administrator.” To set up a login message: 1 In Macintosh Manager, click Computers. 2 Click Log-In and select a computer list. 3 Type your banner message or server message in the appropriate message text box. If you do not want to use a message, leave the text box blank. 4 Click Save. Customizing Panel Names You can customize the names of the workgroup and user documents panels shown for Panels workgroups. Client Management: Mac OS 9 and OS 8 461 To customize a panel name: 1 In Macintosh Manager, click Computers. 2 Click Log-In and select a computer list. 3 If you want the workgroup’s name to appear on a workgroup documents panel, select “Show the workgroups name” or click the button next to the text box and type a different name. 4 If you want the user’s name to appear on a user document panel, select “Show the user’s name” or click the button next to the text box and type a different name. 5 Click Save. Managing Portable Computers It is important to plan how you want to manage portable computers that have access to your network. This section gives suggestions for managing portable computers and tells you how to use Macintosh Manager’s checkout feature. Portable Computers With Network Users You can let users share specific portable computers, such as those in an iBook Wireless Mobile Lab. An iBook Wireless Mobile Lab contains either 10 or 15 student iBooks (plus an additional iBook for an instructor), an Airport base station, and a printer, all on a mobile cart. The cart lets you take the computers to your users (for example, from one classroom to another). To manage the mobile lab, first create a computer list containing all of the iBooks. Make sure users have network accounts and home directories, and then assign sets of users to workgroups that will use the iBooks. You might want to create different workgroups for different purposes, such as one for a history class, one for a biology class, and so on. You can use the Check Out feature to allow these workgroups to use the iBooks. You can use the All Other Computers account to manage network users who have their own portable computers. See “Providing Quick Access to Unimported Users” on page 429 for more information. Portable Computers With Local Users Local user accounts cannot be managed using Macintosh Manager. However, you can use the Multiple Users control panel to set up local user accounts on specific computers in one of two ways: m The user does not have administrator privileges, but has a local account. m The user is the administrator for the computer.462 Chapter 10 If the user is the local administrator, he or she has total access to the all folders and applications on the computer, including the System Folder. Letting Users Check Out Computers You can allow users to check out and take home a portable computer (to continue working on a project after school, for example). Macintosh Manager settings and security features remain in effect on the computer even while it is checked out. To check out a computer: 1 In Macintosh Manager, click Computers. 2 Click Check Out and select a computer list. 3 Select “These computers can be Checked Out” and then select one of the checkout options in the steps that follow. 4 Select “All users are allowed to Check Out these computers” to allow this option. 5 Select “Allow only the following users to Check Out these computers” to restrict checkout to a list of specific users. Then, select users in the Available Users list and click Add to make them allowed users. To remove users from the Allowed user list, select one or more users and click Remove. 6 Click Save. Using Wireless Services You can provide wireless network service to managed clients using AirPort, for example. Make sure the Macintosh Manager Server is within range of your wireless service. If a user on a portable computer goes out of range, he or she cannot log in to Macintosh Manager, but you can allow the user to work offline. See “Allowing Users to Work Offline” on page 458 for more information. If you need more information about using Airport, consult Airport documentation or visit the Web site: www.apple.com/airport/ Using Global Security Settings In Macintosh Manager, global security settings apply to your entire Macintosh Manager network (all users, groups, and computers). These settings cover a variety of options that affect reports, guest access, passwords, and how preferences are copied. Client Management: Mac OS 9 and OS 8 463 Using Macintosh Manager Reports Macintosh Manager provides a number of different reports to help you keep track of user and network activity. To view a report: 1 Open Macintosh Manager. 2 Choose the report you want from the Reports menu. You can view the selected report immediately, and then export it to a file or print it if you wish. You can set additional criteria for the Activity Log report and the Computers report before you see the results. Setting the Number of Items in a Report You can set the maximum number of log entries to show for Macintosh Manager reports. Note: The Connected Users report will show only up to 300 log entries, even if the maximum number of log entries you set is greater than 300. To set how many log entries are tracked: 1 In Macintosh Manager, click Global, and then click Security. 2 In the text box next to “Maximum number of log entries,” type a number. To view a report, go to the Report menu and choose the report you want to see. Keeping the Administration Program Secure If an administrator forgets to quit the Macintosh Manager administration application, another person could potentially make changes and save them. To prevent this kind of unauthorized access, you can make the administration application quit after a specified time if there is no user activity. To allow the administration program to quit automatically: 1 In Macintosh Manager, click Global, and then click Security. 2 Select “Quit the administration program if idle for __ minutes” and enter the number of minutes the application should wait before quitting automatically. 3 Click Save. Warning When the administration application quits automatically, unsaved changes are lost.464 Chapter 10 Verifying Login Information Using Kerberos If all users must authenticate using Kerberos, follow the steps below. For more information about using Kerberos, see “Using Kerberos” on page 197. To use Kerberos verification: 1 In Macintosh Manager, click Global, and then click Security. 2 Select “Clients must authenticate using Kerberos” and click Save. Preventing Users From Changing Their Passwords Ordinarily, all users can change the passwords assigned to them. If you don’t want users to change their own passwords, you can remove that privilege. To keep users from changing their passwords: 1 In Macintosh Manager, click Global, and then click Security. 2 If “Users can change their passwords” is selected, deselect it. 3 Click Save. Allowing Administrators to Access User Accounts You can allow a system administrator to log in as any user. The user can enter the user name for the account he or she wants to access and use the appropriate administrator password. To allow administrators to log in as other users: 1 In Macintosh Manager, click Global, and then click Security. 2 Select “Users may log in using a server administrator’s password.” 3 Click Save. Copying Preferences for Mac OS 8 Computers Users on Mac OS 8 computers can make changes to preferences while they are logged in (for example, they can change the desktop picture). However, when users log out, their preferences are saved only if you allow them to be saved. Macintosh Manager provides two ways to control how preferences are copied for Mac OS 8 users. m If you want to save all preference changes for each user, you can copy the entire Preferences folder. Macintosh Manager will copy every item in the folder, regardless of what it is or how big it is. Copying unnecessary or large items can increase login and logout times for Mac OS 8 clients. For more information, see “Preserved Preferences” on page 468. Client Management: Mac OS 9 and OS 8 465 m If you want to limit the preferences copied, you can choose to copy only Internet preferences and administrator-defined preferences. Preference folders for Web browsers are copied, but the cache folders inside them are deleted. Using this option can significantly lighten the load on the server and have less of an impact on login and logout times. If you use this option, Macintosh Manager will always copy the following preference files and folders: Explorer (cache folder inside is deleted) Fetch Preferences Internet Preferences JPEGView Preferences NCSA Telnet Preferences Netscape ƒ (cache folder inside is deleted) Newswatcher Preferences RealAudio Player Preferences StuffIt Expander Preferences To set how Mac OS 8 user preferences are copied: 1 In Macintosh Manager, click Global, and then click Security. 2 Select one of these options: To copy all preference items, select “Copy entire Preferences folder.” To copy only certain preference items, select “Copy only Internet or administrator-defined preferences.” 3 Click Save. Using Global CD-ROM Settings Global CD-ROM settings let you allow access to all CDs and DVDs or to only a specific list of discs. When you make a disc available to Macintosh Manager, you can view its contents, and then you can allow users access to all items on the disk or just the items you select. Note: These settings do not apply to audio CDs. The audio CD setting is in the Privileges pane of the Workgroups pane. To create a list of available discs and disc items: 1 In Macintosh Manager, click Global, and then click CD-ROMs. 2 Insert a CD or DVD.466 Chapter 10 3 Select the disc name and click Add to make it available in Macintosh Manager. To remove an available item, select it and click Remove. 4 To make specific items on a disc available to users, select a CD or DVD in the “Available in Macintosh Manager” list. In the “Allowed items on (__)” list, select items you want to make available to users. Click Allow All to select and allow every item on the disc. Click Allow None to deselect all items. 5 When you have finished, click Save. To make only your list of approved items available to users, select a computer list and make sure to select “Access approved CD-ROMs only” in the Security pane for Computers. You may also want to select “Show a panel for inserted CD-ROMs” to make it easy for Panels workgroups to find inserted CDs. Managing Preferences You can use the Managed Preferences folder to customize how application preferences and system preferences are handled to meet your particular needs and goals. For example, you can make sure that users always start out with a specific set of preferences or that some userset preferences are never overridden. A Managed Preferences folder is created on the workgroup data volume the first time any member of a workgroup logs in. Inside this folder are either two or three (initially empty) additional preference folders, depending on the client operating system: Using Initial Preferences Preferences in the Initial Preferences folder are set once during login. The first time users log in, they get a fresh copy of any preferences contained in the Initial Preferences folder. Users can modify these preferences, and the changes are saved at logout. For example, in a classroom setting, a teacher can set up preferences and a list of bookmarks for a particular Web browser. He or she stores a copy of those preferences in the Initial Preferences folder. When students log in on the first day of class, they all start out with the same browser preferences and the same list of bookmarks. Client operating system Contents of Managed Preferences folder Mac OS 9 Initial Preferences folder Forced Preferences folder Mac OS 8 Initial Preferences folder Forced Preferences folder Preserved Preferences folder Client Management: Mac OS 9 and OS 8 467 After a user’s first login, Macintosh Manager checks the user’s Preferences folder and compares it to the contents of the Initial Preferences folder. If a user already has a preference in the folder, Macintosh Manager doesn’t replace that preference. If a user’s folder doesn’t contain one or more initial preferences, Macintosh Manager copies the missing files to the user’s folder. This process is repeated each time a user logs in, so you can place additional preference files in the Initial Preferences folder later. For example, if you install new software and place the software preferences file in the Initial Preferences folder, Macintosh Manager copies the new file to a user’s Preferences folder when the user opens the new software for the first time. To use the Initial Preferences folder: 1 Set up a workgroup data volume (Group Documents) in the Options pane of the Workgroups pane. 2 From a client computer, access the group documents volume. 3 Create any preferences you want to place in the Initial Preferences folder. 4 Copy the preferences you created to the Initial Preferences folder on the group documents volume. 5 Repeat steps 1 through 4 for each group documents volume. Exceptions to Initial Preferences A few preferences are created automatically the first time a user logs in, regardless of whether you’re using an Initial Preferences folder. You don’t need these items in the Initial Preferences folder because they won’t be copied to the user’s folder: m Apple Menu Options Preferences m AppSwitcher Preferences m Internet Preferences m Keyboard Preferences m Keychains m Location Manager Preferences m Mac OS Preferences m TSM Preferences m User Preferences Using Forced Preferences Using the Forced Preferences folder lets you ensure that users start out with a specified set of preferences every time they log in. If a user changes his or her preferences, those preferences are replaced with the preferences in the Forced Preferences folder the next time the user logs in.468 Chapter 10 Forced preferences are copied to the appropriate location depending upon the client operating system. The processes are explained below. m Mac OS 9 clients: When a user logs in, Macintosh Manager compares preference folders and files in the /Library/Classic folder of a user’s home directory to items in the Forced Preferences folder. Macintosh Manager deletes any matching items from the user’s folder and replaces them with preferences from the Forced Preferences folder. If any forced preferences are missing from the user’s folder, Macintosh Manager places new copies of these items in the user’s Preferences folder. If there are items in the user’s Preferences folder that do not match any items in the Forced Preferences folder, Macintosh Manager does nothing to them. If you have concerns about these items accumulating or consuming disk space, clean out the user’s Preferences folder occasionally. m Mac OS 8 clients: When a user logs in, Macintosh Manager copies items from the Forced Preferences folder to the Preferences folder in the System Folder on the client computer, regardless of whether other copies already exist. No files or folders are copied to the user’s Preferences folder in the home directory. To use forced preferences: 1 Set up a workgroup data volume (Group Documents) in the Options pane of the Workgroups pane. 2 From a client computer, access the group documents volume. 3 Create any preferences you want to place in the Forced Preferences folder. 4 Copy the preferences you created to the Forced Preferences folder on the group documents volume. 5 Repeat steps 1 through 4 for each group documents volume. Preserved Preferences The Preserved Preferences folder is available only for Mac OS 8 client computers. The files and folders that you put in the Preserved Preferences folder are never actually copied. Instead, Macintosh Manager creates a list containing the names of all the folders and files inside the Preserved Preferences folder. Macintosh Manager uses this list to determine which preferences need to be copied between the server and the client computer during login and logout. Because you can limit which preferences are copied, using the Preserved Preferences folder can help you decrease login and logout time for Mac OS 8 clients. When you use Preserved Preferences, this is what happens during login and logout on a Mac OS 8 client: Client Management: Mac OS 9 and OS 8 469 m When a user logs in: Macintosh Manager scans the Preserved Preferences folder and builds a list containing the names of the files and folders inside. Macintosh Manager automatically adds the names of the preferences that are always copied to create a combined list. Next, Macintosh Manager copies all the files and folders on the combined list from the user’s Preferences folder on the server to the client computer’s Preferences folder. Any existing files and folders in the client’s Preferences folder that have the same name as those in the combined list are deleted and replaced. If an item in the list does not exist in either the user’s Preferences folder on the server or the Preferences folder on the client computer, the item is skipped. m When the user logs out: Macintosh Manager uses the same process to determine which preferences are copied from the client computer’s Preferences folder back to the user’s Preferences folder on the server. All items matching those on the combined list are deleted from the Preferences folder on the client computer. Note: A user who logs in using the System Access workgroup may not be able to use some applications, because the preferences for the applications were deleted from the Preferences folder after the last user logged out. To use preserved preferences: 1 Set up a workgroup data volume (Group Documents) in the Options pane of the Workgroups pane. 2 From a client computer, access the group documents volume. 3 Create any preferences you want to preserve for users. 4 Copy the preferences you created to the Preserved Preferences folder on the group documents volume. Alternatively, you can set up Preserved Preferences using “placeholders” instead of the actual preferences, as long as the name and type of the placeholder match the name and type of the preference. For example, if an application’s preferences are in a folder called “MyApp Prefs,” you can create an empty folder named “MyApp Prefs” in the Preserved Preferences folder. 5 Repeat steps 1 through 4 for each group documents volume. The table below lists certain preferences that are always copied, and other preferences that are never copied. You do not have to include any of these preferences in the Preserved Preference folder. Always copied Never copied Control Strip Preferences AppleTalk Preferences Date & Time Preferences Client Preferences Finder Preferences ColorSync Profiles470 Chapter 10 Solving Problems This section describes some problems you may encounter while using Macintosh Manager and provides troubleshooting tips and possible solutions. If your problem is not addressed here, you may want to check Macintosh Manager Help or consult the AppleCare Knowledge Base online. I’ve Forgotten My Administrator Password Contact your Mac OS X Server administrator if you forget your password. If necessary, the server administrator can change your password using the Workgroup Manager application. Administrators Can’t Get to the Finder After Logging In If you have system access, you can choose the System Access workgroup when you log in. If you don’t have system access, and you need to go to the Finder often, ask your Macintosh Manager administrator to enable system access for your account. You can bypass Macintosh Manager login by pressing Command-Shift-Esc when the Welcome dialog box appears. Then enter either the computer owner’s password or a local administrator’s name and password. Generic Icons Appear in the Items Pane If generic icons appear in the Items pane of the Workgroups pane in Macintosh Manager, restart the computer with Mac OS 9 and rebuild the Desktop file. Mac OS Preferences Desktop Picture Preferences Panels Preferences Energy Saver Preferences Extensions Manager Preferences Multi-User Items Multi-User Preferences Open Transport Preferences Remote Access TCP/IP Preferences Users & Groups Data File Users & Groups Data File Backup Always copied Never copied Client Management: Mac OS 9 and OS 8 471 Selecting “Local User” in the Multiple Users Control Panel Doesn’t Work You cannot use both Macintosh Manager client software and the Multiple Users control panel on the same computer. If you want to set up local users, do not install Macintosh Manager client software on the computer. Instead, install the Multi-User Startup extension and use the Multiple Users control panel version 1.4.1. Some Printers Don’t Appear in the Available Printers List When you make printers available to client computers, Macintosh Manager creates desktop printers for your Mac OS 9 clients. The Mac OS X version of the Macintosh Manager administrator application creates only LaserWriter desktop printers. If you need to provide access to non-LaserWriter printers, you must use the Mac OS 9 version of the Macintosh Manager administrator application to manage clients. Users Can’t Log In to the Macintosh Manager Server First, make sure the server has enough free disk space. If the user’s password has not been changed and his or her user account has not been deleted, check the user’s Macintosh Manager login privileges. To make sure login is enabled: 1 In Macintosh Manager, click Users, and then click Basic. 2 Make sure “User can log in” is selected. If “Disable login as of __” is also selected, make sure the date has not already passed. Users Can’t Log In as “Guest” on Japanese-Language Computers If users need to log in using the Guest account on Japanese-language client computers, you must change the computer’s language script to Roman in the International pane of System Preferences. A Client Computer Can’t Connect to the Server Try doing the following: m Make sure the server is running. If you recently started the server, it may take a few minutes for the server to appear. m Make sure network information (including DNS information) is entered correctly. m Make sure the client computer is not low on memory and that it is connected to the network. m If many computers start up at once, the load on your network may be too great. Try starting fewer computers at one time.472 Chapter 10 The Server Doesn’t Appear in the AppleTalk List Mac OS X Server does not support AppleTalk network connections to Apple Filing Protocol (AFP) servers, such as the Macintosh Manager server. To connect to AFP servers, set client computers to connect via TCP/IP. Macintosh Manager client computers can, however, use AppleTalk for service discovery. If your network has AppleTalk zones, users on Mac OS 8 computers may need to select the zone where the server resides. On Mac OS 9 computers, use the Network Browser to make sure you are connected to the server. The User’s Computer Freezes If the computer’s system software is earlier than Mac OS 9, make sure file sharing is turned off. Users Can’t Access Their Home Directories Users may see a message if their home directories cannot be found at login. In Workgroup Manager, make sure the user’s home directory exists and has the correct permissions settings. Then, make sure the server that contains the user’s home directory is connected. Users Can’t Access Shared Files Shared workgroup folders are normally located on the same server volume. However, if you store workgroup documents on more than one volume, some users may not be able to access all of their shared documents without changing workgroups. If the user belongs to more than one workgroup and workgroup documents are stored on several servers, make sure the user has the latest version of AppleShare. Shared Workgroup Documents Don’t Appear in a Panels Environment If you created a workgroup data volume but users in a Panels workgroup can’t see it, make sure the workgroup data volume contains the shared documents folders. Also check to make sure the location of the Users folder has not changed. The Users folder is usually located at the top level of either the server volume or the workgroup data volume. Applications Don’t Work Properly or Don’t Open Some applications write to or create special files in places other than the Preferences folder inside the System Folder. If you enforce file-level security for a workgroup, some older applications may not function properly or may report errors. See “Preventing Applications From Altering Files” on page 441 for more information. Client Management: Mac OS 9 and OS 8 473 You can create a folder called “Other Applications•” and then put the Applications folder (and all of its contents) inside. The Other Applications• folder must reside in the client computer’s Applications folder. If the client computer is running Mac OS 9.1 or later, the Applications folder is called “Applications (Mac OS 9).” Users Can’t Drag and Drop Between Applications In most cases, Macintosh Manager does not allow the drag-and-drop feature. Use the Copy and Paste commands instead. Users Can’t Open Files From a Web Page Sometimes Web browsers rely on helper applications to open files that the browser itself cannot handle (for example, media files or PDF files). 1 In Macintosh Manager, click Computers, and then click Security. 2 Select “Open applications, such as helper applications.” Sometimes the Right Application Doesn’t Open for Users If the wrong application opens when a user tries to open a document, try rebuilding the client computer’s desktop. Where to Find More Information The AppleCare Web site provides a variety of resources, including the Knowledge Base (a database containing technical articles about product usage, implementation, and problem solving). Investigate the Web site at www.apple.com/support Discussion lists for Mac OS X Server and Macintosh Manager let you exchange ideas and tips with other server administrators. You can sign up for a discussion list at www.lists.apple.com475 C H A P T E R 11 11 DHCP Service Dynamic Host Configuration Protocol (DHCP) service lets you administer and distribute IP addresses to client computers from your server. When you configure the DHCP server, you assign a block of IP addresses that can be made available to clients. Each time a client computer starts up, it looks for a DHCP server on your network. If a DHCP server is found, the client computer then requests an IP address. The DHCP server checks for an available IP address and sends it to the client computer along with a “lease period” (the length of time the client computer can use the address) and configuration information. You can use the DHCP module in Server Settings to m configure and administer DHCP service m create and administer subnets m configure DNS and NetInfo options for client computers m view DHCP and NetBoot client computers If your organization has more clients than IP addresses, you will benefit from using DHCP service. IP addresses are assigned on an as-needed basis, and when they are not needed, they are available for use by other clients. You can use a combination of static and dynamic IP addresses for your network if you need to. Read the next section for more information about static and dynamic allocation of IP addresses. Larger organizations may also benefit from some of the other features DHCP service provides, such as being able to set DNS and NetInfo options for client computers. You may not need to use DHCP service if you have a simple network with enough IP addresses for your clients. You can use one of the methods described later in this chapter to assign static IP addresses to all your network clients. Before You Set Up DHCP Service Before you set up DHCP service, read this section for information about creating subnets, assigning static and dynamic IP addresses, locating your server on the network, and avoiding reserved IP addresses.476 Chapter 11 Creating Subnets Subnets are groupings of computers on the same network that simplify administration. You can organize subnets any way that is useful to you. For example, you can create subnets for different groups within your organization or for different floors of a building. Once you have grouped client computers into subnets, you can configure options for all the computers in a subnet at one time instead of setting options for individual client computers. Each subnet needs a way to connect to the other subnets. A hardware device called a router typically connects subnets. Assigning IP Addresses Dynamically With dynamic allocation, an IP address is assigned for a limited period of time (the lease period) or until the client computer doesn’t need the IP address, whichever comes first. By using short leases, DHCP can reassign IP addresses on networks that have more computers than available IP addresses. Using Static IP Addresses Static IP addresses are assigned to a computer or device once and then do not change. You may want to assign static IP addresses to computers that must have a continuous Internet presence, such as Web servers. Other devices that need to be continuously available to network users, such as printers, may also benefit from static IP addresses. Static IP addresses can be set up either by manually entering the IP address on the computer or device or by configuring DHCP to provide the same address to a specific computer or device on each request. DHCP-assigned addresses allow configuration changes at the DHCP server. Manually configured static IP addresses avoid possible issues certain services may have with DHCP-assigned addresses and avoid the delay required for DHCP to process the request. Server Settings does not provide a way to assign static IP addresses using the BootP protocol (the protocol underlying DHCP). To assign static IP addresses, you can use the NetInfo Manager application in Mac OS X to create the appropriate properties in the local NetInfo database. See “Configuring Static Ports for Shared NetInfo Domains” on page 113 for more information on setting up static IP addresses on local networks. Locating the DHCP Server When a client computer looks for a DHCP server, it broadcasts a message. If your DHCP server is on a different subnet from the client computer, you must make sure the routers that connect your subnets can forward the client broadcasts and the DHCP server responses. If you have a relay agent or a router on your network that can relay BootP communications, it will work for DHCP. If you don’t have a relay, you need to place the DHCP server on the same subnet as your clients.DHCP Service 477 Interacting With Other DHCP Servers You may already have other DHCP servers on your network, such as AirPort base stations. Mac OS X Server can coexist with other DHCP servers as long as each DHCP server uses a unique pool of IP addresses. However, you may wish your DHCP server to provide an LDAP server address for client auto-configuration in managed environments. AirPort base stations cannot provide an LDAP server address. Therefore, if you wish to use the auto-configuration feature you must set up AirPort base stations in Ethernet bridging mode and have Mac OS X Server provide DHCP service. If the Airport base stations are on separate subnets, then your routers must be configured to forward client broadcasts and DHCP server responses as described previously. If you wish to provide DHCP service with AirPort base stations then you cannot use the client auto-configuration feature and you must manually enter LDAP server addresses at client workstations. Assigning Reserved IP Addresses Certain IP addresses can’t be assigned to individual hosts. These include addresses reserved for loopback and addresses reserved for broadcasting. Your ISP will not assign such addresses to you. If you try to configure DHCP to use such addresses, you will be warned that the addresses are invalid, and you will need to enter valid addresses. Setting Up DHCP Service for the First Time If you used the Setup Assistant to configure ports on your server when you installed Mac OS X Server, some DHCP information is already configured. You still need to follow the steps in this section to finish configuring DHCP service. You can find more information about settings for each step in “Managing DHCP Service” on page 478. Step 1: Create subnets The following instructions show you how to create a pool of IP addresses that are shared by the client computers on your network. You create one range of shared addresses per subnet. These addresses are assigned by the DHCP server when a client issues a request. To create subnets: 1 In Server Settings, click the Network tab, click DHCP/NetBoot, and choose Configure DHCP. If you configured ports in the Setup Assistant, you see the port information in the Subnets pane. (The list of subnet address ranges shown is extracted from the host’s local NetInfo database. It is initially set to one subnet address range for each active Ethernet port.) 2 Click New to create new subnets, or choose an existing subnet and click Edit.478 Chapter 11 m In the General pane of the subnet settings window, you need to set a range of IP addresses for each subnet, and specify the router address. If you don’t use a router on your network, enter your server’s IP address in the Router field. When you click Enable DHCP, you can choose a lease time for the IP address. m Click the DNS and NetInfo tabs to set options for your client computers. Default settings for the server, if they exist, already appear in each pane. Configuring the options in these panes provides a starting point for client computers when DHCP service is turned on. You may need to set the DNS server address. See “Setting the Default DNS Server for DHCP Clients” on page 479 for more information. Step 2: Set up logs for DHCP service You can log DHCP activity and errors to help you monitor requests and identify problems with your server. DHCP service records diagnostic messages in the system log file. To keep this file from growing too large, you can suppress most messages by selecting “serious errors only (quiet)” in the Logging pane of the Configure DHCP window. For more information on setting up logs for DHCP service, see “Setting Up Logs for DHCP Service” on page 480. Step 3: Start DHCP Service Start DHCP service from Server Settings. To start DHCP service: 1 Click DHCP/NetBoot. 2 Choose Start DHCP. If the server successfully starts up, the menu item changes to Stop DHCP, and a globe appears on the DHCP/NetBoot icon. Managing DHCP Service This section describes how to set up and manage DHCP service on Mac OS X Server. Starting and Stopping DHCP Service Follow these steps when starting or stopping DHCP. To start or stop DHCP service: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Start DHCP or Stop DHCP.DHCP Service 479 As the service is starting up or shutting down, a globe flashes on the DHCP/NetBoot icon. When the service is turned on, the globe appears on the DHCP/NetBoot icon. It may take a moment for the service to start (or stop). Setting the Default DNS Server for DHCP Clients The first time you connect to a Mac OS X Server using Server Settings, the DHCP client module does not use the DNS server IP address you entered in the Setup Assistant. You must set the default address in the DHCP module of Server Settings. To configure DHCP to use the correct DNS server: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP. 3 Select a subnet address range and click Edit. 4 Click the DNS tab. 5 Click Use Defaults, then click Save. Setting the LDAP Server for DHCP Clients You can use DHCP to provide your clients with LDAP server information rather than manually configuring each client’s LDAP information. To configure DHCP to provide the LDAP server address: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP. 3 Select a subnet address range and click Edit. 4 Click the LDAP tab. 5 Enter an LDAP server name and search base. 6 Enter a port or leave the field blank to use the default port. 7 Select “LDAP over SSL” if you wish LDAP information to be encrypted with SSL. SSL must be enabled on your server to use this option. 8 Click Apply to add the server to the LDAP Servers list at the top of the pane. The order in which the LDAP servers appear in the list determines their search order in the automatic Open Directory search policy. 9 Click New to clear the entry fields and enter additional LDAP server information. If you wish to delete a server from the list, click the server name and then click Delete.480 Chapter 11 To modify a listed server, click the server name. Edit the name, search base, port, and SSL settings. Click Apply to update the LDAP Servers list. 10 Click Save when finished to save changes to the LDAP Servers list. Setting Up Logs for DHCP Service You can choose the level of detail you want to log for DHCP service. m “Log warnings and errors only (normal)” can alert you to conditions in which data is inconsistent, but the DHCP server is still able to operate. m “Log serious errors only (quiet)” will indicate conditions for which you need to take immediate action (for example, if the DHCP server can’t start up). To set up logs for your DHCP server: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP. 3 Click the Logging tab and select the logging option you want. Deleting Subnets From DHCP Service You can delete subnets and subnet IP address ranges. To delete subnets or address ranges: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP. 3 Select a subnet or a subnet address range and click Delete. Changing Lease Times for Subnet Address Ranges You can change how long IP addresses in a subnet are available to client computers. To change the lease time for a subnet address range: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP. 3 Select a subnet address range and click Edit. 4 Enter a number in the Lease Time field and choose a value from the pop-up menu. 5 Click Save. Click Use Defaults to use the default subnet address range for this port. The default range includes all valid addresses for the port, based on its IP address and subnet mask.DHCP Service 481 Monitoring DHCP Client Computers The DHCP client list shows the following information for each client computer in the database: m DHCP client ID m computer name m hardware address m IP address served to the client m lease time left To view the DHCP client list: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose View DHCP Clients. 3 Click Refresh to update the list. Click any column heading to sort the list by different criteria. Creating Subnets in DHCP Service Subnets are groupings of client computers on the same network that are organized by location (different floors of a building, for example) or by usage (all eighth-grade students, for example). Each subnet has at least one range of IP addresses assigned to it. To create a new subnet: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP. 3 Click New, or select an existing subnet and click Duplicate. 4 Enter the name of the new subnet and choose a port from the pop-up menu. 5 Enter a beginning and ending IP address for this subnet range. Addresses must be contiguous, and they can’t overlap. 6 Enter the subnet mask and router for this subnet, then click Save. Click Use Defaults to use the default subnet address range for this port. The default range includes all valid addresses for the port, based on its IP address and subnet mask. To use the Mac OS X Server for the gateway for the subnet, enter the server IP address in the router field. Changing Subnet Settings in DHCP Service Use Server Settings to make changes to DHCP subnet settings.482 Chapter 11 To change subnet settings: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP. 3 Select a subnet address range and click Edit. 4 Make the changes you want. 5 Click Save. You can click Use Defaults to use the server’s default settings. Setting DNS Options for a Subnet You can decide which DNS servers and default domain name a subnet should use. DHCP service provides this information to the client computers in the subnet. To set DNS options for a subnet: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP. 3 Select a subnet address range and click Edit. 4 Click the DNS tab. 5 Enter the IP addresses of the DNS servers you want this subnet to use. 6 Enter the default domain name associated with the subnet, then click Save. If you click Use Defaults, DHCP service gets DNS information from a DNS lookup that supplies the domain name and default DNS servers. Setting NetInfo Options for a Subnet You can give client computers in a subnet access to the information in NetInfo databases by “binding” the clients to one or more NetInfo parent servers. You need to know the file name of the NetInfo database (or NetInfo tag) you want to use and the IP address of the server that hosts that database (or domain). The NetInfo tag is “network” if the domain was created using NetInfo Domain Setup. To set NetInfo options for a subnet: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP. 3 Select a subnet and click Edit. 4 Click the NetInfo tab. 5 Enter the NetInfo tag of the NetInfo domain for this subnet.DHCP Service 483 6 Enter the IP address of each NetInfo parent server, then click Save. Click Use Defaults if you want to use the server’s default NetInfo settings. Disabling Subnets Temporarily You can temporarily shut down a subnet without losing all its settings. To disable a subnet: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP. 3 Select a subnet address range and click Edit. 4 Deselect Enable DHCP in the General pane, then click Save. Viewing DHCP and NetBoot Client Lists The DHCP Clients window gives the following information for each client: m The IP address served to the client. Declined addresses are listed with “Declined” in the Time Left column. m The number of days of lease time left, until the time is less than 24 hours; then the number of hours and minutes. m The DHCP client ID. This is usually, but not always, the same as the hardware address. m The computer name. m The hardware address. The NetBoot client list shows the following information for each connected client computer: m path to the startup disk image used by the client m clients’ Ethernet address (from the TCP/IP control panel) m system software version and type of computer To view the DHCP or NetBoot client list: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose View DHCP Clients or View NetBoot Clients. 3 Click Refresh to update the list. Click any column heading to sort the list by different criteria. Viewing DHCP Log Entries If you’ve enabled logging for DHCP service, you can check the system log for DHCP errors.484 Chapter 11 To see DHCP log entries: 1 In Server Settings, click the General tab. 2 Click Log Viewer and choose System Software. 3 Choose System Log from the pop-up menu and look for entries that begin with “bootpd.” Solving Problems m Examine logs to pinpoint problems. m Try a different client to determine whether the problem is with the client or the server. Where to Find More Information Request for Comments (RFC) documents provide an overview of a protocol or service and details about how the protocol should behave. If you are a novice server administrator, you’ll probably find some of the background information in an RFC helpful. If you are an experienced server administrator, you can find all the technical details about a protocol in its RFC document. You can search for RFC documents by number at this Web site: www.faqs.org/rfcs For details about DHCP, see: m DCHP: RFC 2131485 C H A P T E R 12 12 NetBoot NetBoot lets you start up Macintosh client computers from disk images on a Mac OS X Server. A disk image is a file that looks and acts like a mountable disk or volume. NetBoot disk images that contain system software can be used as a startup disk by client computers on the network. By creating Mac OS disk images on a server, you can have your Macintosh client computers start up from a standardized Mac OS configuration. You can ensure that all the clients are running the same system software, which is properly configured for the tasks users will be doing on their computers. Because the client computers are all starting up from the same disk image, you can quickly update the operating system for the entire group by changing the configuration of the disk image from which they start. You can also use NetBoot to start up other Mac OS X Servers. Mac OS X Server allows you to create set up than one disk image. This lets you provide custom Mac OS environments for different groups of clients. You can also create disk images containing application software. You use the following Mac OS X Server applications to set up and administer NetBoot: m Network Image Utility—to create Mac OS X disk images. The Network Image Utility is installed with Mac OS X Server software, in the Utilities folder. m NetBoot Desktop Admin—to modify the Mac OS 9 system disk image and accompanying disk image for applications. m Server Settings (DHCP/NetBoot pane of the Network tab)—to enable and configure NetBoot on the server. m PropertyListEditor—to edit property list (plist) files (used primarily when creating custom packages for Network Install images) m Package Maker—to create package files that can be included on disk images. You can use Mac OS X client management services to provide a personalized work environment for any NetBoot client computer user. For information about client management services, see Chapter 6, “Client Management: Mac OS X,” and Chapter 10, “Client Management: Mac OS 9 and OS 8.” 486 Chapter 12 The Mac OS X Server product includes the following CDs that contain applications and files specific to NetBoot: m Mac OS X Server Administration Tools CD NetBoot, Network Install ƒ—includes Network Image Utility (in Image Creation ƒ) and Package Maker and PropertyListEditor (in Image Manipulation ƒ) m NetBoot, Mac OS 9 CD About NetBoot.pdf (Read Me file) NetBoot Desktop Admin ƒ—contains About NetBoot Desktop Admin (Read Me file) and NetBoot Desktop Admin NetBoot.pkg—contains the preconfigured Mac OS 9.2.2 system disk image Note: The contents listed above are localized into four languages: English, French, German, and Japanese. Each localized set appears in a separate folder on the CD labeled by language. Prerequisites Administrator Requirements If you want to set up NetBoot on your server, you should meet the following requirements: m You are the server administrator. m Your are familiar with Network Setup. m You know the DHCP configuration. You will also need to work with your networking staff who can configure network topologies, switches, routers, and other network settings. Server Requirements Your server must meet the following requirements: m DHCP service (either provided by this server or elsewhere on your network) m Ethernet: 100 Mb (for fewer than 10 clients) 100 Mb switched (for 10–50 clients) Gigabit (more than 50 clients) Warning Setting up your server to use NetBoot requires that you have the authority (authorization privileges) as well as the expertise to make changes to your network configuration. Potential risks include loss of data, client computers that can’t start up, and failure of the network. NetBoot 487 These are estimates for the number of clients supported. See “Capacity Planning” on page 488 for a more detailed discussion of the optimal system and network configurations to support the number of clients you have. NetBoot is not supported over wireless connections. Client Computer Requirements Any Macintosh computer that can run Mac OS 9.2.2 (all Macintosh computers released since the iMac) can use Netboot to start up from a Mac OS X Server disk image. At the time of this publication, this includes the following Macintosh computers: m iMac m iBook m eMac m Power Macintosh G3 (blue and white) m Power Mac G4 m Power Mac G4 Cube m PowerBook (FireWire) m PowerBook G4 m Xserve Note: You should install the latest firmware updates on all client computers. Firmware updates are available from the Apple support Web site: www.apple.com/support/ Older Macintosh computers—tray-loading iMac computers and Power Macintosh G3 (blue and white) computers—require static addressing when using NetBoot. See “Network Requirements” on page 488. Client computer RAM requirements The following are the minimum RAM requirements for a client computer starting up from a Mac OS 9 or Mac OS X NetBoot disk image. Start up from Mac OS 9 disk image: 64 MB Start up from Mac OS X disk image: 128 MB Client computers using Network Install must also have 128 MB of RAM. Software updates for NetBoot system disk images You should make sure to use the latest system software available when creating NetBoot disk images. New releases of Macintosh computers require updates of system software, so if you have new Macintosh clients you’ll need to update the disk images.488 Chapter 12 You cannot update Mac OS X disk images directly. To “update” your Mac OS X disk images, you must create new ones. See “Creating a Mac OS X Disk Image” on page 496. To update Mac OS 9 disk images, see “Modifying the Mac OS 9 Disk Image” on page 498. Ethernet support on client computers NetBoot is supported only over the built-in Ethernet connection. Multiple Ethernet ports are not supported on client computers. Network Requirements The recommended method of provided IP addressing for NetBoot clients is DHCP. However, some older client computers require BootP for IP address assignment when using NetBoot. When this is the case, there can be only one server providing BootP addressing on the network to which those clients are attached. See the following section, “Capacity Planning,” for more information on this topic and other issues relevant to your network configuration when using NetBoot. The following Macintosh computers require BootP addressing for NetBoot: m tray-loading iMac computers m Power Macintosh G3 (blue and white) computers Capacity Planning The number of NetBoot client computers you can connect to your server depends on how your server is configured, the server’s hard disk space, and a number of other factors. In planning for your server and network needs, consider these factors: m Ethernet speed: 100Base-T or faster connections are required for both client computers and the server. As you add more clients, you may need to increase the speed of your server’s Ethernet connections. Ideally you want to take advantage of the Gigabit Ethernet capacity built in to your Mac OS X server hardware to connect to a Gigabit switch. From the switch you should connect Gigabit Ethernet or 100 Mb Ethernet to each of the NetBoot clients. m Hard disk capacity and number of NetBoot images: The NetBoot server requires a certain amount of hard disk space depending on the size and configuration of the system image and the number of images being served. m Hard disk capacity and number of users: If you have a large number of users, consider adding a separate file server to your network to store user documents. Because the system software for a disk image is written to a shadow image for each client booting from the disk image, you can get a rough estimate for the required hard disk capacity required by multiplying the size of the shadow image by the number of clients. NetBoot 489 m Location of server and client: NetBoot clients that require static IP addresses (NetBoot 1.0) must be located on the same subnet as the server, and there can be only one server on that subnet serving static addresses. m Number of Ethernet ports on the switch: Distributing NetBoot clients over multiple Ethernet ports on your switch offers a performance advantage. Each port must serve a distinct segment. NetBoot Implementation This section describes how NetBoot is implemented on Mac OS X Server—including information on the protocols, files, directory structures, and configuration details that support the NetBoot functionality. NetBoot Image Folder The NetBoot image folder contains the startup disk image file, a boot file that the firmware uses to begin the startup process, and other files required to start up a client computer over the network. A NetBoot image folder (NBI folder) is something like a package file (a folder compressed into a file), except that the folder and its contents are uncompressed so that the contents are readily visible. The name of a NetBoot image folder includes the suffix “.nbi”. An NBI folder for Mac OS 9 (MacOS 9.2.2.nbi) is slightly different from an NBI folder for Mac OS X (MacOSX.nbi) since the components required for startup are different. The following tables describe the contents of each. Mac OS X NetBoot image folder (MacOSX.nbi) You use Network Image Utility to create a Mac OS X NBI folder. The utility lets you m name the image m choose the image type (NetBoot or Network Install) m provide an image ID (not visible to users) m choose the default language—English, French, German, or Japanese m specify a default user name and password File Description booter Boot file mach.macos.x UNIX kernel mach.macosx.mkext Drivers MacOSX.dmg System startup image file (may include application software) NBImageInfo.plist Property list file490 Chapter 12 m enable automatic installation (Network Install only) m add additional package or preinstalled applications (Network Install only) Note: The size of the disk image is set automatically by Network Image Utility when you choose the image type. NetBoot disk images are 2.0 GB and Network Install disk images are 1.4 GB. See “Creating a Mac OS X Disk Image” on page 496. Mac OS 9 NetBoot image folder (MacOS9.2.2.nbi) You use NetBoot Desktop Admin to modify the Mac OS 9 NBI folder. The utility lets you change the image file (NetBoot HD.img), the name of the image, adjust the size of the image, and add software to the application image. Property List File The property list file (NBImageInfo.plist) stores the properties that you use to configure an NBI folder. The property lists for Mac OS 9 and Mac OS X are described in the following tables. For the most part, the values in the NBImageInfo.plist are set by the tools you use to work with the image files—NetBoot Desktop Admin (for Mac OS 9 images) and Network Image Utility (for Mac OS X images)—and you do not need to change the property list file directly. Some values are set by the Configure DHCP/NetBoot panel in Server Settings. If you need to edit a property list file, however, you can use PropertyListEditor, which is supplied on the Mac OS X Server Administration Tools CD. Mac OS 9 property list File or Folder Description Mac OS ROM Boot file NetBoot HD.img System startup image file Application HD.img Application image file NBImageInfo.plist Property list file Backup Folder created by NetBoot Desktop Admin for the backup image Property Type Description BootFile String Name of boot ROM file: Mac OS ROM. Index Number Image ID. IsDefault Boolean True specifies this image file as the default. NetBoot 491 Mac OS X property list Boot Server Discovery Protocol (BSDP) NetBoot uses an Apple-created extension to BootP and DHCP called Boot Server Discovery Protocol, or BSDP for short. This protocol implements a method of discovering NetBoot servers on a network. BSDP allows NetBoot clients to obtain their IP identities from either the BSDP server or from a DHCP server elsewhere on the network. BSDP provides some basic load balancing. See “Load Balancing” on page 504. IsEnabled Boolean Sets whether the image is available to NetBoot (or Network Image) clients. IsInstall Boolean True specifies a Network Install image; False specifies a NetBoot image. Name String Name of the image as it appears in the Startup Disk control panel (Mac OS 9) or Preferences pane (Mac OS X). Type String Classic. Property Type Description Property Type Description BootFile String Name of boot ROM file: booter. Index Number Image ID. IsDefault Boolean True specifies this image file as the default. IsEnabled Boolean Sets whether the image is available to NetBoot (or Network Image) clients. IsInstall Boolean True specifies a Network Install image; False specifies a NetBoot image. Name String Name of the image as it appears in the Startup Disk control panel (Mac OS 9) or Preferences pane (Mac OS X). RootPath String Specifies path to disk image on server. Type String NFS.492 Chapter 12 TFTP and the Boot ROM File NetBoot uses the Trivial File Transfer Protocol (TFTP) to send the boot ROM from the server to the client. Installation of the NetBoot software on a server places the Mac OS 9 boot ROM file in /Library/NetBoot/NetBootSPx/imagename.nbi/ (where x is the volume number and imagename is the name of the NBI folder.) The file is called “Mac OS ROM.” For Mac OS X images, Network Image Utility creates the boot ROM file (“booter”) at this location. The NetBootSPx directory is automatically created as an NFS share point when you install NetBoot on your server. Instead of pointing the client directly to the location of the boot ROM file, NetBoot points to a symbolic link stored in the directory /private/tftpboot/. The symbolic link references the actual location of the Mac OS ROM file. This allows you to move the Mac OS ROM file, should the need arise, by changing the symbolic link in /private/tftpboot/. Disk Images The read-only disk images contain the system software and applications used over the network by the client computers. The name of a disk image file typically ends in .img or .dmg. Disk Copy—a utility included with Mac OS X and Mac OS 9.2.2—can mount disk image files as volumes on the desktop. With NetBoot, disk images mounted this way behave as system startup disks. You set up Mac OS 9 and Mac OS X disk images in slightly different ways. A preconfigured Mac OS 9 disk image is provided for you on the CD named NetBoot, Mac OS 9. (The CD contains four localized versions of the Mac OS 9 image: Tier 0: English, Japanese, French, and German.) See “Installing the Mac OS 9 Disk Image” on page 497. You can modify the Mac OS 9 disk image using NetBoot Desktop Admin. See “Modifying the Mac OS 9 Disk Image” on page 498. You use Network Image Utility to create Mac OS X disk images, using a Mac OS X install disc as the “source.” See “Creating a Mac OS X Disk Image” on page 496. Shadow Images Many clients may read from the same system disk image, but whenever a client needs to write anything back to its startup volume (such as print jobs and other temporary files), NetBoot automatically redirects the written data to the client’s shadow image—a file hidden from regular system and application software. The shadow image is what preserves the unique identity of each computer during the entire time it is running off a NetBoot server disk image. NetBoot transparently handles reading changed data from the shadow file, while reading unchanged data from the shared system image. The shadow image is recreated at boot time, so any changes made by the user to his or her startup volume are lost upon restart. For instance, if a user saves a document to the startup volume, after a restart that document will be gone. This behavior preserves the condition of the environment the administrator set up. Therefore it is recommended that users have accounts on a file server on the network to save their documents.NetBoot 493 NetBoot creates share points on all available server volumes to store client shadow images as a way of providing load balancing for NetBoot clients. See “Load Balancing” on page 504. NetBoot Files and Directory Structure NetBoot learns about a client it supports the first time the client attempts to start up from the NetBoot server. When a clients attempts to start up from a disk image on the NetBoot server, it provides information to NetBoot, which NetBoot saves and uses to identify the client during future startup attempts. The file that holds this information is called bsdpd_client and is kept in the /var/db/ directory. Security You can secure access to NetBoot service on a case-by-case basis using the hardware address of specific computers to which you specifically allow or deny access. A client computer’s hardware address is automatically added to the NetBoot Filtering list when the client starts up using NetBoot and is, by default, enabled to use NetBoot. See “Filtering NetBoot Client Connections” on page 503. Note: The hardware address for a computer using Mac OS X can be found by opening the Network system preference and examining the Ethernet address under TCP/IP. The hardware address for a computer using Mac OS 9 can be found by opening the TCP/IP control panel, choosing Get Info from the File menu, and examining the hardware address. NetBoot and AirPort The use of AirPort wireless technology with NetBoot clients is not supported by Apple and is discouraged. Setup Overview Here is an overview of the basic steps for setting up NetBoot: Step 1: Evaluate and update your network, servers, and client computers as necessary The number of client computers you can support using NetBoot is determined by the number of servers you have, how they are configured, hard disk storage capacity, and other factors. See “Capacity Planning” on page 488.494 Chapter 12 Some older client computers require BootP for getting an IP address assignment when using NetBoot. (See “Network Requirements” on page 488 for a list of Macintosh computers that require BootP.) When this is the case, you must make sure that only one server on the network to which those clients are attached is configured to supply BootP addressing. Because this may impact your ability to implement a load balancing strategy, you may want to set up a separate subnet for these clients, as described in the next step. For more information about providing load balancing for NetBoot clients see “Load Balancing” on page 504. Depending on the results of your evaluation in step 1, you may want to add servers or hard disks, add Ethernet ports, or make other changes to your servers, and you may want to set up one or more subnets for your BootP clients, depending on the number of BootP clients that you have. You may also want to implement subnets on this server (or other servers) in order to take advantage of NetBoot filtering. See “Filtering NetBoot Client Connections” on page 503. If you plan to provide personalized work environments for NetBoot clients by using Workgroup Manager (Mac OS X clients) and Macintosh Manager (Mac OS 9 clients), you should set this up and import users from the Mac OS X Server Users & Groups database before you create disk images. Make sure you have at least one Macintosh Manager user assigned to the System Access workgroup for Mac OS 9 clients and the Workgroup Manager for Mac OS X clients. See Chapter 6, “Client Management: Mac OS X,” on page 267 and Chapter 10, “Client Management: Mac OS 9 and OS 8,” on page 411. If you plan to provide authentication and personalized work environments for NetBoot client users by using Workgroup Manager (Mac OS X clients) and Macintosh Manager (Mac OS 9 clients), you should set this up and import users from the Mac OS X Server Users & Groups database before you create disk images. Make sure you have at least one Macintosh Manager user assigned to the System Access workgroup for Mac OS 9 clients and the Workgroup Manager for Mac OS X clients. See Chapter 6, “Client Management: Mac OS X,” and Chapter 10, “Client Management: Mac OS 9 and OS 8.” Step 2: Create disk images for client computers You can set up both Mac OS 9 disk images and Mac OS X disk images for client computers to start up from. A preconfigured Mac OS 9 image is supplied with Mac OS X Server on the NetBoot, Mac OS 9 CD. The Mac OS 9 disk image can be modified. If you are supporting new client computers that were released after this version of Mac OS X Server, you will need to modify the Mac OS 9 disk image to support the new clients. See “Modifying the Mac OS 9 Disk Image” on page 498. To create Mac OS X disk images, you use Network Image Utility. See “Creating a Mac OS X Disk Image” on page 496.NetBoot 495 Step 3: Set up DHCP NetBoot requires that you have a DHCP—either on the local server or on a remote server on the network. You need to make sure that you have a range of IP addresses sufficient to accommodate the number of clients that will be using NetBoot at the same time. See Chapter 11, “DHCP Service,” on page 475. Step 4: Configure and turn on the NetBoot service You use the Configure DHCP/NetBoot panel in Server Settings to configure NetBoot on your server. See “Configuring NetBoot on Your Server” on page 501. You turn on the NetBoot service by starting DHCP/NetBoot service and enabling disk images. See “Starting NetBoot on Your Server” on page 501 and “Enabling NetBoot Disk Images” on page 502. Step 5: Set up NetBoot filtering (optional) NetBoot filtering is done by client computer hardware address. Each client’s hardware address is automatically registered the first time the client attempts to start up from a NetBoot disk image. You then disallow a client address to prevent the client from using NetBoot. See “Filtering NetBoot Client Connections” on page 503. Step 6: Test your NetBoot setup Because there is risk of data loss or bringing down the network (by misconfiguring DHCP), it is recommended that you test your NetBoot setup before implementing it on all your clients. You should test each different model of Macintosh that you are supporting. This is to make sure that there are no problems with the boot ROM for a particular hardware type. Step 7: Set up all client computers to use NetBoot When you are satisfied that NetBoot is working on all types of computers then you can set up all your client computers to start up from the NetBoot disk images. You can set up NetBoot in the following ways: Clients running Mac OS 9: Use the Startup Disk control panel to select a startup disk image on the server, then restart the computer. See “Selecting a NetBoot Startup Image (from Mac OS 9)” on page 506. Note: You must update the Startup Disk control panel on client computers running Mac OS 9 from their local hard disks in order to be able to view NetBoot disk images in the control panel. See “Updating the Startup Disk Control Panel” on page 505. Clients running Mac OS X version 10.2 or later: Use the Startup Disk System Preference pane to select a startup disk image on the server, then restart the computer. See “Selecting a NetBoot Startup Image (from Mac OS X)” on page 506.496 Chapter 12 Any client: Restart the computer and hold down the N key until the NetBoot icon starts flashing on the screen. The client starts up from the default image on the NetBoot server. See “Starting Up Using the N Key” on page 507. Setting Up NetBoot on a Mac OS X Server This section describes how to enable NetBoot on a Mac OS X server and how to create and edit NetBoot disk images. Creating a Mac OS X Disk Image NetBoot lets you provide one or more Mac OS X disk images to support NetBoot clients you want to start up over the network. You use Network Image Utility to create these images. Network Image Utility creates a Mac OS X disk image by using the files on a Mac OS X installation disc. Have the install CD ready—you’ll need to insert the disc into the CD drive during this procedure. Note: You are required to purchase a user license for each client starting up from a NetBoot disk image. To create a Mac OS X disk image: 1 Open Network Image Utility. 2 Enter a name for the disk image you are creating. 3 Select NetBoot from the Image Type popup menu. Network Image Utility automatically adjusts the size of the disk image depending on the type of image you create. NetBoot disk images are 2 GB and Network Install disk images are 1.4 GB. 4 Enter an Image ID. The Image ID allows you mount multiple identical disk images (on multiple servers) without each of them showing up in clients’ Startup Disk control panels and panes. All the images with the same image name and ID are listed only once. Providing duplicate disk images on multiple servers allows Mac OS X Server to employ load balancing for NetBoot clients. 5 Choose the default language for the system: English, French, German, or Japanese. 6 (Optional) Enter the default user name, short name, and password (in both the Password and Verify fields) to create a default user account. Entering a default name and password creates a “dummy” user account that anyone can use to log in to the disk image. Users who have their own accounts can also log in with their own names and passwords. The default user is created with administrator privileges for the client computer. 7 Click Create Image.NetBoot 497 If you haven’t inserted a Mac OS X install CD, you will be prompted to do so. The image file is created and saved in a NetBoot image folder in the following location, where x is the volume number and imagename is the image name you provided: /Library/NetBoot/NetBootSPx/imagename.nbi/ If the source for the Mac OS X software is on two CDs, you will be prompted to remove the first disc and insert the second. Installing Classic (Mac OS 9) on a Mac OS X Disk Image You install Classic onto a Mac OS X image by copying a Mac OS 9.2.2 system folder onto an “unlocked” NetBoot image. You must also select the Mac OS X image and start Classic using the System 9 preference pane to complete the integration of Classic into the image. Do not try to install Classic onto Network Install disk images. This procedure for installing Classic only works for NetBoot disk images. To install Classic on a Mac OS X disk image: 1 Make sure the disk image file (.dmg) is unlocked. In the Finder, select the image file and choose Show Info from the File menu. If the file is locked, click the Locked checkbox to unlock it. 2 Double-click the image file to mount the Mac OS X image on your server. 3 Drag a Mac OS 9 System Folder to the disk image. You can use the System Folder from the NetBoot, Mac OS 9 CD that came with Mac OS X Server, or use another Mac OS 9 version 9.2.2 System Folder that has been blessed (previously run as Classic under Mac OS X.) 4 In your server’s System Preferences, open the Classic preferences pane and select the disk image as the startup volume for Classic. 5 Click Start to start up Classic. 6 Shut down Classic, then eject the image file. 7 (optional) Lock the image file if you want to protect against inadvertent changes. Installing the Mac OS 9 Disk Image Included with the NetBoot software is a preconfigured Mac OS 9 disk image, provided on the NetBoot, Mac OS 9 CD, which you install from the NetBoot.pkg file. Warning Do not modify a disk image that is in use by any NetBoot clients. Doing so will result in unpredictable behavior for the clients. Before modifying a disk image, make sure no one is using the image or make a copy of the file and modify the copy.498 Chapter 12 To install the preconfigured Mac OS 9 disk image: m Open NetBoot.pkg on the NetBoot, Mac OS 9 CD. The Installer installs the Mac OS 9 NetBoot image folder in the /Library/NetBoot/ NetBootSPx/DefaultMacOS92.nbi/ directory (where x is the volume number). Modifying the Mac OS 9 Disk Image To install software on or change the preconfigured Mac OS 9 disk image, you need to start up from a NetBoot client computer, connect to the NetBoot server volume, and open the NetBoot Desktop Admin program, as described in the following steps. Your changes are not available to you or other users until after the NetBoot client computer running NetBoot Desktop Admin restarts the last time. Before you start, you need the following information: m Name and password of a user with read and write access privileges to the NetBoot server volume (for example, the administrator of the Mac OS X Server). The following procedure requires the you restart the client computer several times. If you are using Macintosh Manager with NetBoot client computers, each time you start or restart the client computer, you need to log in as a Macintosh Manager administrator who belongs to the System Access workgroup. 1 Log in to the server volume as a user with read and write access privileges (for example, as an administrator of the Mac OS X Server). 2 Using the Chooser, log in to all the server volumes on the client. 3 Copy the NetBoot Desktop Admin application to your server hard disk then open the application. NetBoot Desktop Admin is supplied on the NetBoot, Mac OS 9 CD. 4 Click Make Private Copy. Important Be careful if there is more than one NetBoot server on your network. The client may start up automatically from a disk image on a server other than the one you are working on.NetBoot 499 NetBoot Desktop Admin creates a copy of the disk image. This may take several minutes, and you should not interrupt the process. When it finishes, your NetBoot client computer restarts automatically. 5 If you are installing a new version of the Mac OS or adding system extensions, you may need to increase the size of the disk image. Make sure the disk image is large enough to accommodate the size of the new system and extensions you are installing. You cannot reduce the size of an image without reverting to a smaller backup copy. 6 If you are installing a new application software, you may need to increase the size of the application disk image. Be sure the disk image has enough space for the software you want to install. However, increase the size of an image only as much as needed. You cannot reduce the size of an image without reverting to a smaller backup copy. 7 Install the software or make changes to the system configuration. Make sure to install the latest updates for the system software. If you are installing software, follow the installation instructions that came with the software. If necessary, restart the computer. After installing an application, open it. Doing so lets you enter a registration number, if necessary. If you don’t enter the number now, every time users open the application they will need to enter the registration number. In addition, most applications create a preferences file in the System Folder. If you don’t open the application, users may not be able to open the application because the preferences won’t exist. 8 Be sure there aren’t any files in the Trash that you want to save. (The Trash is emptied automatically after the next step.) Note: If you cannot empty the Trash because it contains files that are in use, you may need to restart the computer. 9 User the Chooser, log back in to all the server volumes. 10 Open the NetBoot Desktop Admin application, then click Save. The computer restarts automatically. If you need to make other changes, click Quit and return to Step 7. Important Because the copy of a disk image is associated with the NetBoot client computer you used to create it, you must make the changes to the image using the same computer. If you change computers, you will not be able to see the changes you have made and your changes will not be available to users. In addition, you increase the risk of unauthorized users making changes to the disk image.500 Chapter 12 Clicking Discard removes the changes you’ve made to the disk image. 11 Start the NetBoot client computer again, and log back in to all the server volumes. 12 Open NetBoot Desktop Admin. If you want to keep a backup copy of the old disk image, leave the “Keep previous disks as backup” option selected. Backup copies are stored in the Backup Images folder in the Shared Images folder on the NetBoot server. Note: Because there is only one Backup folder, the backup image saved at this time will overwrite any backup image in the folder from a previous session. 13 If you clicked Save in Step 10, click Restart. Otherwise, click OK. If you click Restart, NetBoot Desktop Admin saves your changes, deletes the old disk image, and then restarts the computer. Changes are available the next time a NetBoot client computer restarts. If you click OK, NetBoot Desktop Admin deletes the old disk image. Specifying the Default NetBoot Disk Image The default disk image is the NetBoot disk image used when a user starts a client computer using the N key. See “Starting Up Using the N Key” on page 507. If you’ve created more than one startup disk image, use the Configure DHCP/NetBoot pane to select the default startup image. Note: If you have more than one NetBoot server on the network, there is no way to control which disk image is used by client computers looking for the default disk image. The default image of the first server to respond to the client’s NetBoot request is the one that will be used. To specify the default NetBoot disk image: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP/NetBoot. 3 Click the Image tab. 4 Select the image you want to be the default. Setting Up Multiple Disk Images You can create as many Mac OS X disk images as you want using the Network Image Utility. To create more than one Mac OS 9 disk image, make copies of the preconfigured disk image you installed from the NetBoot, Mac OS 9 CD into the /Library/NetBoot/NetBootSP0 directory. Then use NetBoot Desktop Admin to modify the Mac OS 9 disk images as desired. Use Server Settings to enable disk images and select the default disk image. See “Enabling NetBoot Disk Images” on page 502 and “Specifying the Default NetBoot Disk Image” on page 500.NetBoot 501 Configuring NetBoot on Your Server You use DHCP/NetBoot module of Server Settings to configure your Mac OS X Server to provide NetBoot services to client computers. Note: In the previous release of Mac OS X Server, “Static” was referred to as NB 1.0 and “Dynamic” as NB 2.0. To configure NetBoot: 1 Open Server Settings and click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP/NetBoot. 3 Click the Logging tab and choose the level of logging you want: “Warning and errors (normal)” or “Serious errors only (quiet).” 4 Click the NetBoot tab and select an Ethernet port to use for NetBoot. You can select multiple ports to configure them simultaneously. 5 Select Static, Dynamic, or both. “Static” provides NetBoot service for NetBoot 1.0 clients. “Dynamic” provides NetBoot service for NetBoot 2.0 and NetBoot 3.0 clients. If you chose Dynamic and have an existing DHCP infrastructure, skip the following four steps and continue with Step 10. 6 For each Ethernet port you want to set up for NetBoot, repeat step 5. 7 If you chose Static or Both, click the Subnets tab and choose the matching port name. 8 Click Edit, then create an IP address range for the port. Make sure that the Enable DHCP option is selected. 9 Repeat Steps 7 and 8 for each port over which you’re serving NetBoot. 10 Click the Image tab. Select the Enable checkbox of the images that you want to make available to client computers for startup, then click Apply Now. Starting NetBoot on Your Server You turn on NetBoot by starting DHCP. Note: You must also enable one or more images on your server before client computers can use NetBoot. Important Make sure that you set up only one static server on a network. Setting up multiple static servers may prevent NetBoot 1.0 clients from being able to start up over the network.502 Chapter 12 To start DHCP: 1 Open Server Settings and click the Network tab. 2 Click DHCP/NetBoot and choose Start DHCP Service. Enabling NetBoot Disk Images You must enable one or more disk images on your server to make the images available to client computers for NetBoot startups. Note: You must also start DHCP on the server before client computers can use NetBoot. To enable disk images: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP/NetBoot. 3 Click the Image tab. 4 Select the Enable checkbox for the images you want to make available for NetBoot clients. Managing NetBoot This section describes how to manage the ongoing use of a NetBoot installation. Turning Off NetBoot The best way to prevent clients from using NetBoot on the server is to disable NetBoot service on all Ethernet ports. Note: You can also stop NetBoot by disabling all disk images on the server. To disable NetBoot on Ethernet ports: 1 Open Server Settings and click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP/NetBoot. 3 Click the NetBoot tab and make sure no Ethernet ports are selected. Disabling Disk Images Disabling a disk image prevents client computers from using the image to start up over the network. To disable a NetBoot disk image: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP/NetBoot. 3 Click the Image tab.NetBoot 503 4 Select an image and deselect the Enable checkbox. Updating Mac OS X Disk Images Because Network Image Utility works by creating disk images from installation files on a CD-ROM disc, you cannot update a Mac OS X disk image. You must create a new disk image using a current Mac OS X installation CD. Monitoring the Status of Mac OS X NetBoot Clients Server Status lets you monitor all services on a Mac OS X server. To monitor NetBoot service: 1 In Server Status, locate the name of the server you want to monitor in the Devices & Services list and select DHCP/NetBoot in the list of services under the server name. If the services aren’t visible, click the arrow to the left of the server name. 2 Click the Overview tab to see if DHCP/NetBoot is running. 3 Click the NetBoot Clients tab to see a list of client computers that have started up from the server, the hardware addresses of the clients, and the clients’ system type. Note: This is historical information—a list of clients that are currently connected or have connected in the past. It is not a list of currently connected clients only. Monitoring the Status of Mac OS 9 NetBoot Clients Server Status lets you monitor all services on a Mac OS X server. To monitor NetBoot service: 1 In Server Status, locate the name of the server you want to monitor in the Devices & Services list and select AppleFile in the list of services under the server name. If the services aren’t visible, click the arrow to the left of the server name. 2 Click the Overview tab to see if DHCP/NetBoot is running. 3 Click the Connections tab to see a list of client computers currently connected to the server, their types, IP addresses, how long the computers have been connected, and how long the computers have been idle. Filtering NetBoot Client Connections The filtering feature of NetBoot lets you allow or deny NetBoot access by client computer hardware addresses. Client hardware addresses are added to the filter list automatically the first time clients start up from a NetBoot disk image and are allowed access by default, so it is usually not necessary to enter hardware addresses manually. 504 Chapter 12 To allow or deny client access to the NetBoot service: 1 Open Server Settings and click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP/NetBoot. 3 Click the Filter tab. 4 Select the clients you want to allow access and which you want to deny access to the NetBoot service. Load Balancing NetBoot provides a significant benefit to those system administrators tasked with maintaining a large number of Macintosh computers by having all of those computers boot from the same system software image. This feature, however, makes it critical that the NetBoot server remain available to the client computer relying upon it. To provide responsive and reliable NetBoot service, you should set up redundant NetBoot servers in your network infrastructure. Most sites using NetBoot achieve acceptable responsiveness by staggering the boot times of client computers in order to reduce network load. Generally, there isn’t a need to boot all client computers at exactly the same time; rather, client computers are booted early in the morning and just remain booted throughout the work day. For clients computers running Mac OS 9, you can program staggered startup times using the Energy Saver control panel. (There is no equivalent feature in Mac OS X, however.) If heavy usage and simultaneous client startups are overloading the NetBoot server and causing delays, you may want to consider adding additional NetBoot servers to distribute the demands of the client computers across multiple servers (load balancing). When incorporating multiple NetBoot servers, it is important to use switches, as the shared nature of hubs creates a single shared network on which additional servers would have to vie for time. Enabling Server Selection If you add a second NetBoot server to a network that has a single server already in use, you will need to delete the bsdpd_clients file (located in the directory path /var/db/) from the existing NetBoot server. This enables clients to select which server they will use as their NetBoot server. Similarly, if you are recovering from a server or infrastructure failure, and your clients have been booting from a reduced number of NetBoot servers, you will need to delete the bsdpd_clients file from the running servers so that clients can once again spread out across the entire set of servers. NetBoot 505 The bsdpd_clients file on any given server holds the Ethernet Media Access Control (MAC) addresses of the machines that have selected this server as their NetBoot server. As long as a client has an entry in an available server bsdpd_client file, it will always boot from that server. If that server should become unavailable to those clients, they will locate and associate themselves with an available server until such time as you remove their entries (or the entire files) from their servers. (If a client ends up being registered on more than one server because an unavailable server comes back on line, the client boots from the server with the fewest number of clients booted off of it.) Using Share Points to Spread the Load By default, NetBoot creates share points for client shadow images on all server volumes in order to spread the load across multiple drive mechanisms. You can use Workgroup Manager to see these share points. They are named NetBootSPx where x is the share point number— the share points are numbered starting with zero. For instance, if your server has two volumes installed (NetBootSP0 and NetBootSP1), NetBoot stores the first client’s shadow image on NetBootSP0, the second client’s shadow image on NetBootSP1, the third client’s shadow image on NetBootSP0, and so on. Likewise, with three volumes installed and eight clients, the first, fourth, and seventh clients will use the first volume; the second, fifth, and eighth clients will use the second volume; and the third and sixth clients will use the third volume.This load balancing is automatic and usually ensures optimal performance. With drive sizes getting larger and larger, some sites elect to partition their drives. An example would be partitioning a 60GB drive into a 10GB boot partition and a 50GB data partition, with the intention of keeping just your operating system and associated configuration files on the boot partition, and all user data (such as client shadow images) on the data partition. After installation of the NetBoot software, however, there will be a NetBootSP0 on the boot partition and a NetBootSP1 on the data partition. Supporting Client Computers See “Client Computer Requirements” on page 487 for a list of supported Macintosh computers and the client system requirements for using NetBoot. Updating the Startup Disk Control Panel You need to replace the Startup Disk control panel for client computers running Mac OS 9 in order for the control panel to be able to display the available NetBoot disk images. Version 9.2.4 of the Startup Disk control panel is located on the NetBoot, Mac OS 9 CD. m Drag the new version of the control panel to the System Folder of each client computer running Mac OS 9 locally.506 Chapter 12 Setting Up “System-Less” Clients NetBoot makes it possible to configure client computers without locally installed operating systems. “System-less” clients can start up from a NetBoot server using the N key method. (See “Starting Up Using the N Key” on page 507.) After the client computer has started up, you can use the Startup Disk control panel (Mac OS 9) or preference pane (Mac OS X) to select the NetBoot disk images as the default startup disk for the client. That way you no longer need to use the N key method to start up the client from the server. Removing the system software from client computers gives you additional control over users’ environments. By forcing the client to boot from the server and using client management to deny access to the client computer’s local hard disk, you can prevent users from saving files to the local hard disk. Selecting a NetBoot Startup Image (from Mac OS X) If your computer is running Mac OS X version 10.2 or later, you use the Startup Disk System Preferences pane to select a NetBoot startup disk image. To select a NetBoot startup image from Mac OS X: 1 In System Preferences select the Startup Disk pane. 2 Select the network disk image you want to use to start up the computer. 3 Click Restart. The NetBoot icon appears, and then the computer starts up from the selected NetBoot disk image. Selecting a NetBoot Startup Image (from Mac OS 9) If your computer is running Mac OS 9, you use the Startup Disk control panel to select a NetBoot startup disk image. Note: You must update the Startup Disk control panel on client computers running Mac OS 9 from their local hard disks in order to be able to view NetBoot disk images in the control panel. See “Updating the Startup Disk Control Panel” on page 505. To select a NetBoot startup image from Mac OS 9: 1 Open the Startup Disk control panel. 2 Select the network disk image you want to use to start up the computer. 3 Click Restart in the warning dialog box that appears. The NetBoot icon appears, and then the computer starts up from the selected NetBoot disk image.NetBoot 507 The network disk image appears with a distinctive icon. Starting Up Using the N Key You can use this method to start up any supported client computer from a NetBoot disk image. When you start up with the N key, the client computer starts up from the default NetBoot disk image. (If there are multiple servers present, then the client starts up from the default image of the first server to respond.) If you have an older client computer that requires BootP for IP addressing, you must use this method for starting up from a NetBoot disk image. These older computers do not support selecting a NetBoot startup disk image from the Startup Disk control panel or preferences pane. The N key also provides a way to start up client computers running Mac OS 8 or that do not have system software installed. See “Setting Up “System-Less” Clients” on page 506. To start up from a NetBoot disk image using the N key: 1 Turn on (or restart) your computer while holding the N key down on your keyboard. Hold the N key down until the NetBoot icon appears in the center of the screen or an arrow appears in the upper left corner of the screen. 2 If a login window appears, enter your name and password. The network disk image has an icon typical of server volumes. Solving Problems A NetBoot Client Computer Won’t Start Up m Sometimes a computer may not start up immediately because other computers are putting a heavy demand on the network. Wait a few minutes and try starting up again. m Make sure that all the cables are properly connected and that the computer and server are getting power. m If you installed memory or an expansion card in the client computer, make sure it is installed properly. m If the server has more than one Ethernet card, or you are using more than one port on a multiport Ethernet card, check to see if other computers using the same card or port can start up. If they can’t, check to be sure the Ethernet port you set up on the server is the same port to which the client computer is connected. It’s easy to mistake Ethernet port 1 for Ethernet port 4 on a multiport card. On the cards that come preinstalled in Macintosh servers, the ports are numbered 4, 3, 2, 1 (from left to right), if you’re looking at the back of the computer. 508 Chapter 12 m If the computer has a local hard disk with a System Folder on it, disconnect the Ethernet cable and try to start up the computer from the local hard disk. Then reconnect the Ethernet cable and try to start up the computer from the network. You Are Using Macintosh Manager and a User Can’t Log In to a NetBoot Client m Check to see if the user can log in to other computers. If the user can log in to other computers, then the computer the user can’t log in to may be connected to a Macintosh Manager server on which the user does not have an account. If there is more than one Macintosh Manager server, make sure the user has selected a server on which he or she has an account. m Open Macintosh Manager and make sure the user is a member of at least one workgroup. m Open Macintosh Manager and reset the user’s password.509 C H A P T E R 13 13 Network Install Network Install lets you install Mac OS X system and other software onto client computers over the network. Network Install is similar to NetBoot. Instead of using start-up disk images on the server, however, client computers start up from installer disk images. An installer disk image looks and behaves like an installer CD. Client computers can start up from the installer disk image on Mac OS X server. After a client has started up, system software, application software, or both can be installed on the client. Installations can be set up to run unattended (“automated”) or to require user interaction, allowing users to specify installation options. Note: Network Install only installs Mac OS X system software on client computers. You cannot use Network Install to install Mac OS 9. If you haven’t done so already, read Chapter 12, “NetBoot,” before continuing. In addition to describing how NetBoot works, Chapter 12 includes important prerequisites for anyone attempting to use NetBoot or Network Install. You use the following Mac OS X Server applications to set up and administer Network Install: m Network Image Utility—to create Mac OS X installer disk images. m Package Maker—to create package files that can be included on disk images. m PropertyListEditor—to edit property list (.plist) files to include packages in an installer disk image. The Mac OS X Server product includes the following CD that contains applications you use to set up Network Install: m Mac OS X Server Administration Tools CD NetBoot, Network Install ƒ—includes Network Image Utility (in Image Creation ƒ) and Package Maker and PropertyListEditor (in Image Manipulation ƒ) Understanding Packages If you plan to use Network Install to install application software, you need to know what packages are and how they work. 510 Chapter 13 A package is a collection of compressed files and other information used to install software onto a computer. The contents of a package are contained within a single file, which has the extension .pkg. The following table shows the components of a package file. The contents of a package can be viewed by selecting the package and holding down the Command, Shift, and O keys. This opens a viewer window in which the contents of the package are displayed. You use Package Maker, available on the Mac OS X Server Administration Tools CD, to create application software packages to use with Network Install. Additional information about Package Maker is available at the following Web site: http://developer.apple.com/techpubs/macosx/DeveloperTools/PackageMaker/ PackageMaker.help/Contents/Resources/English.Iproj/ Setup Overview Here are the basic steps for creating installer disk images. Step 1: Read the NetBoot chapter and enable NetBoot on your server Chapter 12, “NetBoot,” provides important information, such as system requirements and configuration procedures that you’ll need to know to use Network Install. Follow the instructions in “Starting NetBoot on Your Server” on page 501 to turn on NetBoot and Network Install. File Description product.pax.gz The files to be installed, compressed with gzip and archived with pax. (See man pages for more information about gzip and pax.) product.bom Bill of Materials: a record of where files are to be installed. This is used in the verification and uninstall processes. product.info Contains information to be displayed during installation. product.sizes Text file; contains the number of files in the package. product.tiff Contains custom icon for the package. product.status Created during the installation, this file will either say “installed” or “compressed.” product.location Shows location where the package will be installed. software_version (Optional) Contains the version of the package to be installed.Network Install 511 Step 2: Create a Mac OS X installer disk image Use Network Image Utility to create one or more Mac OS X installer images. See “Creating a Network Install Disk Image” on page 511. Step 3: (Optional) Create an application software package Use Package Maker to create packages if you want to install application software over the network. Application software packages can be used by themselves or in conjunction with Mac OS X system software. See “Creating Custom Packages for Network Install” on page 512. To include the packages in an installer disk image you must edit the image’s property list (.plist) file using PropertyListEditor. See “Including Packages in an Installer Disk Image” on page 512. Step 4: Enable installer disk images on your server You enable installer disk images in the DHCP/NetBoot pane in Server Settings. See “Enabling Installer Disk Images” on page 513. Setting Up Network Install This section tell you how to create network installer disk images and enable them on your server. Creating a Network Install Disk Image You use Network Image Utility to create installer disk images. Network Image Utility is included with the Mac OS X Server product on the Mac OS X Server Administration Tools CD, at the following location: NetBoot, Network Install ƒ/ImageManipulation ƒ Network Image Utility creates an installer disk image by using the files on a Mac OS X install disc. Have the install CD ready—you’ll need to insert the disc into the CD drive during this procedure. To create a Mac OS X installer disk image: 1 Open Network Image Utility. 2 Enter a name for the disk image you are creating. 3 Select Network Install from the Image Type pop-up menu. To create an image for installing application software packages only (no system software), choose Empty Image from the Image Type pop-up menu. Network Image Utility automatically adjusts the size of the disk image depending on the type of image you create. NetBoot disk images are 2 GB and Network Install disk images are 1.4 GB.512 Chapter 13 4 Enter an Image ID. The Image ID lets you mount multiple identical disk images (on multiple servers) without each of them showing up in a client’s Startup Disk control panel or pane. All the images with the same image name and ID will be listed only once. 5 Choose the default language for the system: English, French, German, or Japanese. 6 (Optional) Enter the default user name, short name, and password (in both the Password and Verify fields) to create a default user account. Entering a default name and password creates a user account that anyone can use to log in to the disk image. Users that have their own accounts can also log in with their own names and passwords. The default user is created with administrator privileges for the client computer. 7 Click Create Image. If you haven’t inserted a Mac OS X installer CD, you will be prompted to do so. The image file is created and saved in a NetBoot image folder in the following location, where x is the volume number and imagename is the Image Name you provided: /Library/NetBoot/NetBootSPx/imagename.nbi/ Creating Custom Packages for Network Install You can use Package Maker to create additional packages to include with an installer disk image. Package Maker is included with the Mac OS X Server product on the Mac OS X Server Administration Tools CD, at the following location: NetBoot, Network Install ƒ/ImageManipulation ƒ Use PropertyListEditor to update the property list file to include your custom packages. See “Including Packages in an Installer Disk Image” on page 512. Including Packages in an Installer Disk Image Use PropertyListEditor to update the property list (.plist) file of the installer disk image to include packages with the installer. PropertyListEditor is included with the Mac OS X Server product on the Mac OS X Server Administration Tools CD, at the following location: NetBoot, Network Install ƒ/ImageManipulation ƒ To update the property list to include packages in an installer disk image: 1 Make sure the disk image file (.dmg) is unlocked. In the Finder, select the image file and choose Show Info from the File menu. If the file is locked, click the Locked checkbox to unlock it. 2 Double-click the image file to mount the Mac OS X image on your server.Network Install 513 3 On the volume that gets mounted, Control-click the OSInstall.mpkg file at the following location: volume/System/Installation/Packages/ 4 Choose Show Package Contents to open a viewer window showing the package’s contents. 5 Double-click the Contents folder, then double-click the Resources folder. 6 Open the Packages.plist. PropertyListEditor should open. If not, open PropertyListEditor and open the property list file from within the application. 7 Create a new package in the Package list under Root. 8 Define the new package as a Dictionary using the Class pop-up menu. 9 Create a child labeled “packageName” of type String and enter the package name in the Value field. 10 Create a second child labeled “required” of type String and type YES in the Value field. 11 Repeat steps 7 through 10 for each package you want to add. 12 Save the updated property list and close PropertyListEditor. 13 In the Finder, copy the package files that correspond to the entries you just made in the property list into the following folder: volume/System/Installation/Packages 14 Eject the image. 15 (Optional) Lock the image file if you want to protect against inadvertent changes. Enabling Installer Disk Images You must enable one or more of your installer disk images on your server to make the images available to client computers on the network. You must also start DHCP on the server before client computers can use Network Install. See “Starting NetBoot on Your Server” on page 501. Warning If an installer disk image is the only image you enable, it will become the default NetBoot image. Clients that start up using the N key will boot from and run the installer image instead of booting from a startup disk image.514 Chapter 13 To enable installer disk images: 1 In Server Settings, click the Network tab. 2 Click DHCP/NetBoot and choose Configure DHCP/NetBoot. 3 Click the Image tab. 4 Select the Enable checkbox for the images you want to make available for Network Install.515 C H A P T E R 14 14 DNS Service When your clients want to connect to a network resource such as a Web or file server, they typically request it by its domain name (such as www.example.com) rather than by its IP address (such as 192.168.12.12). The Domain Name System (DNS) is a distributed database that maps IP addresses to domain names so your clients can find the resources by name rather than by numerical address. A DNS server keeps a list of domain names and the IP addresses associated with each name. When a computer needs to find the IP address for a name, it sends a message to the DNS server (also known as a name server). The name server looks up the IP address and sends it back to the computer. If the name server doesn’t have the IP address locally, it sends messages to other name servers on the Internet until the IP address is found. Setting up and maintaining a DNS server is a complex process. Therefore many administrators rely on their Internet service provider (ISP) for DNS services. In this case, you only have to configure your network preferences with the name server IP address provided by your ISP. If you don’t have an ISP to handle DNS requests for your network and either of the following is true, you need to set up DNS service: m You do not have the option to use DNS from your ISP or other source. m You plan on making frequent changes to the namespace and want to maintain it yourself. m You have a mail server on your network and you have difficulties coordinating with the ISP that maintains your domain. Mac OS X Server uses Berkeley Internet Name Domain (BIND) for its implementation of DNS protocols. BIND is an open-source implementation and is used by the majority of name servers on the Internet.516 Chapter 14 Before You Set Up DNS Service This section contains information you should consider before setting up DNS on your network. The issues involved with DNS administration are complex and numerous. You should only set up DNS service on your network if you are an experienced DNS administrator. DNS and BIND You should have a thorough understanding of DNS before you attempt to set up your own DNS server. A good source of information about DNS is DNS and BIND, 4th edition, by Paul Albitz and Cricket Liu (O’Reilly and Associates, 2001). Note: Apple can help you locate a network consultant to implement your DNS service. You can contact Apple Professional Services and Apple Solutions Experts at: http://www.apple.com/services/ http://experts.apple.com/ Setting Up Multiple Name Servers You should set up at least one primary and one secondary name server. That way, if the primary name server unexpectedly shuts down, the secondary name server can continue to provide service to your users. A secondary server gets its information from the primary server by periodically copying all the domain information from the primary server. Once your name server learns a name/address pair of a host in another domain (outside the domain it serves), the information is cached, which ensures DNS services are available. DNS information is usually cached on your name server for a set time, referred to as a time-to-live (TTL) value. When the TTL for a domain name/IP address pair has expired, the entry is deleted from the name server’s cache and your server will request the information again as needed. (The entry is never deleted from the domain owner’s DNS server.) Using DNS With Mail Service If you plan to provide mail service on your network, you must set up DNS so that incoming mail is sent to the appropriate mail host on your network. When you set up mail service, you define a series of hosts, known as mail exchangers or MX hosts, with different priorities. The host with the highest priority gets the mail first. If that host is unavailable, the host with the next highest priority gets the mail, and so on. For example, let’s say your mail server’s host name is “reliable” in the “example.com” domain. Without an MX record, your users’ mail addresses would include the name of your mail server computer, like this: user-name@reliable.example.com DNS Service 517 If you want to change your mail server or redirect mail, you have to notify potential senders of a new address for your users. Or, you can create an MX record for each domain that you want handled by your mail server and direct the mail to the correct computer. When you set up an MX record, you should include a list of all possible computers that can receive mail for a domain. That way, if your server is busy or down, mail is sent to another computer. Each computer on the list is assigned a priority number. The one with the lowest number is tried first. If that computer isn’t available, the computer with the next lowest number is tried, and so on. When a computer is available, it holds the mail and sends it to the main mail server when the main server becomes available, and then the server delivers the mail. A sample list might look like this: example.com 10 reliable.example.com 20 our-backup.example.com 30 last-resort.example.com MX records are used for outgoing mail, too. When your mail server sends mail, it looks at the MX records to see whether the destination is local or somewhere else on the Internet. Then the same process happens, in reverse. If the main server at the destination is not available, your mail server tries every available computer on that destination’s MX record list, until it finds one that will accept the mail. If you don’t enter the MX information into your DNS server correctly, mail won’t work. For more information about MX records, see the resources listed at the end of this chapter. Setting Up DNS Service for the First Time If you are using an external DNS name server and you entered its IP address in the Setup Assistant, you don’t need to do anything else. If you are setting up your own DNS server, follow the steps in this section. Step 1: Register your domain name Domain name registration is managed by a central organization, the Internet Assigned Numbers Authority (IANA). IANA registration makes sure domain names are unique across the Internet. (See www.iana.org for more information.) If you don’t register your domain name, your network won’t be able to communicate over the Internet. Once you register a domain name, you can create subdomains within it as long as you set up a DNS server on your network to keep track of the subdomain names and IP addresses. 518 Chapter 14 For example, a server in a domain would be host1.example.com, a server in a subdomain would be host2.good.example.com. The DNS server for example.com keeps track of information for its subdomains, such as host (or computer) names, static IP addresses, aliases, and mail exchangers. The range of IP addresses for use with a given domain must be clearly defined before setup. These addresses are used exclusively for one specific domain (never by another domain or subdomain). The range of addresses should be coordinated with your network administrator or ISP. Step 2: Configure BIND BIND is the name of the program included with Mac OS X Server that implements DNS. It is also called the name daemon, or named, when the program is running. To set up and configure BIND, you need to modify the configuration file and the zone file. The configuration file is located in this directory: /etc/named.conf The zone file name is based on the IP address of the server and begins with “db.” For example, the zone file db.192.168.12 is located in this directory: /var/named/db.192.168.12 See “Inside DNS Service (Configuring BIND)” on page 520 for more information. Step 3: Set up a mail exchange (MX) record (optional) If you provide mail service over the Internet, you need to set up an MX record for your server. For more information about this, read the next section. Step 4: Start DNS service Mac OS X Server includes GUI tools to start and stop DNS service. See “Starting and Stopping DNS Service” on page 518 for more information. Managing DNS Service Mac OS X Server provides a simple interface for starting and stopping DNS service as well as viewing logs and status. Changing DNS settings requires configuring BIND from the command line and is not covered here. Starting and Stopping DNS Service Use this procedure to start or stop DNS Service.DNS Service 519 To start or stop DNS service: 1 In Server Settings, click the Network tab. 2 Click DNS Service and choose Start DNS or Stop DNS. When the service is turned on, a globe appears on the DNS Service icon. The service may take a moment to start (or stop). Viewing DNS Log Entries DNS service creates entries in the system log for error and alert messages. To see DNS log entries: 1 In Server Status, click the server name in the Devices and Services list. 2 Click the Logs tab. 3 Choose System Log from the Show pop-up menu and look for entries that begin with “named.” Viewing DNS Service Status You can check the DNS Status window to see m whether the service is running m the version of BIND (the underlying software for DNS) that is running m when the service was started and stopped m the number of zones allocated m the number of transfers running and deferred m whether the service is loading the configuration file m if the service is priming m whether query logging is turned on or off m the number of Start of Authority (SOA) queries in progress To view DNS service status: 1 In Server Status, click DNS in the Devices and Services list. 2 Click the Overview tab for general DNS service information. 3 Click the Activity tab to view operations currently in progress. Viewing DNS Usage Statistics You can check the DNS Statistics window to see statistics on common DNS queries. m Name Server (NS): Asks for the authoritative name server for a given zone. m Address (A): Asks for the IP address associated with a domain name.520 Chapter 14 m Canonical Name (CName): Asks for the “real name” of a server when given a “nickname” or alias. For example, mail.apple.com might have a canonical name of MailSrv473.apple.com. m Pointer (PTR): Asks for the domain name of a given IP address (reverse lookup). m Mail Exchanger (MX): Asks which computer in a zone is used for email. m Start Of Authority (SOA): Asks for name server information shared with other name servers and possibly the email address of the technical contact for this name server. m Text (TXT): Asks for text records used by the administrator. To see DNS usage statistics: 1 In Server Status, click DNS in the Devices and Services list. 2 Click the Activity tab to view operations currently in progress and usage statistics. Inside DNS Service (Configuring BIND) In order to set up and use DNS service on Mac OS X Server you need to configure BIND. Configuring BIND requires making changes to UNIX configuration files in the Terminal application. To configure BIND, you must be comfortable with typing UNIX commands and using a UNIX text editor. Only manipulate these settings if you have a thorough understanding of DNS and BIND, preferably as an experienced DNS administrator. What Is BIND? As stated at the beginning of this chapter, BIND stands for Berkeley Internet Name Domain. BIND runs on UNIX-based operating systems and is distributed as open-source software. BIND is used on the majority of name servers on the Internet today. BIND is configured by editing text files containing information about how you want BIND to behave and information about the servers on your network. If you wish to learn more about DNS and BIND, resources are listed at the end of this chapter. BIND on Mac OS X Server Mac OS X Server uses BIND version 8.2.3. You can start and stop DNS service on Mac OS X Server using the Server Settings application. You can use Server Status to view DNS status and usage statistics. BIND Configuration File By default, BIND looks for a configuration file labeled “named.conf ” in the /etc directory. This file contains commands you can use to configure BIND’s many options. It also specifies the directory to use for zone data files. Warning Incorrect BIND configurations can result in serious network problems.DNS Service 521 Zone Data Files Zone data files consist of paired address files and reverse lookup files. Address records link host names (host1.example.com) to IP addresses. Reverse lookup records do the opposite, linking IP addresses to host names. Address record files are named after your domain name– for example, db.example.com. Reverse lookup file names look like part of an IP address, such as db.192.168.12. By default, the zone data files are located in /var/named/ Practical Example The following example allows you to create a basic DNS configuration using BIND for a typical network behind a Network Address Translation (NAT) device that connects to an ISP. The port (cable modem/DSL/dial-up/etc.) that is connected to your ISP is referred to here as the WAN port. The port that is connected to your internal network is referred to here as the LAN port. The sample files you need are installed with Mac OS X Server in the directories listed in the steps below. This example also assumes the following: m The IP address of the WAN port is determined by your ISP. m The IP address of the LAN port is 10.0.1.1 m The IP address of the Mac OS X or Mac OS X Server machine that will be used as the DNS server is 10.0.1.2. m The IP addresses for client computers are 10.0.1.3 through 10.0.1.254. If IP address assignment is provided by the NAT device via DHCP, it needs to be configured with the above information. Please consult your router or gateway manual for instructions on configuring its DHCP Server. If your NAT device connects to the Internet, you also need to know the DNS server addresses provided by your ISP. Setting Up Sample Configuration Files The sample files can be found in: /usr/share/named/examples The sample files assume a domain name of example.com behind the NAT. This may be changed, but must be changed in all modified configuration files. This includes renaming /var/named/db.example.com to the given domain name, for example, /var/named/db.foo.org. To set up the sample files: 1 Log in to the DNS server machine as root. 2 Choose Go To Folder from the Go menu.522 Chapter 14 3 In the “Go to the folder:” sheet, enter “/etc” (no quotation marks) and click the Go button. 4 Locate the file named.conf and rename it named.conf.OLD. 5 Launch the TextEdit application located in /Applications. 6 Copy the contents of /usr/share/named/examples/db.10.0.1.sample into a new file. Save the file as /var/named/db.10.0.1. 7 Copy the contents of /usr/share/named/examples/db.example.com.sample into a new file. Save the file as /var/named/db.example.com. 8 Copy the contents of /usr/share/named/examples/named.conf.sample into a new file. 9 Follow the instructions in the sample file to apply edits appropriate to your specific installation, then save the file as /etc/named.conf. 10 Log out and log back in as an administrator user. 11 Using Server Settings, via the Network tab, start the DNS service. 12 In the Network preference pane of System Preferences, change the domain name servers to list only the IP address of the new DNS server, 10.0.1.2. Configuring Clients If the IP addresses of your client computers are statically assigned, change the domain name servers of their Network preference panes to only list the new server’s IP address, 10.0.1.2. If you are using Mac OS X Server as your DHCP Server: 1 In Server Settings, choose Configure DHCP from the Network tab. 2 On the Subnet tab, edit the built-in Ethernet port (default). 3 In the General tab, enter the following information: Start: 10.0.1.3 End: 10.0.1.254 Subnet Mask: 255.255.255.0 Router: 10.0.1.1 4 Select the DNS tab and enter the following information: Default Domain: example.com DNS Servers: 10.0.1.2 5 Click the Save button and log out of Server Settings. Note: The client computers may not immediately populate with the new IP configuration information. This will depend upon when their DHCP leases expire. It may be necessary to restart the client computers for the changes to populate.DNS Service 523 Check Your Configuration To verify the steps were successful, launch the Terminal application located in /Applications/ Utilities and enter the following commands (substituting the local domain name for “example.com” if different): nslookup server.example.com nslookup 10.0.1.2 Note: If this generic configuration example does not meet your needs, Apple recommends that you do not attempt to configure DNS on your own and seek out a professional consultant or additional documentation. Load Distribution With Round Robin BIND allows for simple load distribution using an address shuffling method called round robin. You set up a pool of IP addresses for several hosts mirroring the same content, and BIND cycles the order of these addresses as it responds to queries. Round robin has no capability to monitor current server load or processing power. It simply cycles the order of an address list for a given host name. You enable round robin by adding multiple address entries in your zone data file for a given host. For example, suppose you want to distribute Web server traffic between three servers on your network that all mirror the same content. Suppose the servers have the IP addresses 192.168.12.12, 192.168.12.13, and 192.168.12.14. You would add these lines to the zone data file db.example.com: www.example.com 60 IN A 192.168.12.12 www.example.com 60 IN A 192.168.12.13 www.example.com 60 IN A 192.168.12.14 When BIND encounters multiple entries for one host, its default behavior is to answer queries by sending out this list in a cycled order. The first request gets the addresses in the order A, B, C. The next request gets the order B, C, A, then C, A, B, and so on. Notice that the TTL is set quite short to mitigate the effects of local caching. Setting Up a Private TCP/IP Network If you have a local area network that has a connection to the Internet, you must set up your server and client computers with IP addresses and other information that’s unique to the Internet. You obtain IP addresses from your Internet service provider (ISP).524 Chapter 14 If it’s unlikely that your local area network will ever be connected to the Internet and you want to use TCP/IP as the protocol for transmitting information on your network, it’s possible to set up a “private” TCP/IP network. When you set up a private network, you choose IP addresses from the blocks of IP addresses that the IANA (Internet Assigned Numbers Authority) has reserved for private intranets: m 10.0.0.0–10.255.255.255 (10/8 prefix) m 172.16.0.0–172.31.255.255 (172.16/12 prefix) m 192.168.0.0–192.168.255.255 (192.168/16 prefix) If you set up a private TCP/IP network, you can also provide DNS service. By setting up TCP/IP and DNS on your local area network, your users will be able to easily access file, Web, mail, and other services on your network. Where to Find More Information For more information on DNS and BIND, see the following: m DNS and BIND, 4th edition, by Paul Albitz and Cricket Liu (O’Reilly and Associates, 2001) m The International Software Consortium Web site: www.isc.org Important If you think you might want to connect to the Internet in the future, you should register with an Internet registry and use the IP addresses provided by the registry when setting up your private network. Otherwise, when you do connect to the Internet, you’ll need to reconfigure every computer on your network.525 C H A P T E R 15 15 Firewall Service Firewall service is software that protects the network applications running on your Mac OS X Server. Turning on Firewall service is similar to erecting a wall to limit access. Firewall service scans incoming IP packets and rejects or accepts these packets based on the set of filters you create. You can restrict access to any IP service running on the server, and you can customize filters for all incoming clients or for a range of client IP addresses. Services such as Web and FTP are identified on your server by a Transmission Control Protocol (TCP) or User Datagram Protocol (UDP) port number. When a computer tries to connect to a service, Firewall service scans the filter list for a matching port number. m If the port number is in the filter list, the filter applied is the one that contains the most specific address range. m If the port number is not in the list, the Any Port filter that contains the most specific address range is used.526 Chapter 15 The picture below illustrates this process. The port filters you create are applied to TCP packets and can also be applied to User Datagram Protocol (UDP) packets. In addition, you can set up filters for restricting Internet Control Message Protocol (ICMP), Internet Group Management Protocol (IGMP), and NetInfo data. If you plan to share data over the Internet, and you do not have a dedicated router or firewall to protect your data from unauthorized access, you should use Firewall service. This service works well for small to medium businesses, schools, and small or home offices. Large organizations with a firewall can use Firewall service to exercise a finer degree of control over their servers. For example, individual workgroups within a large business, or schools within a school system, may want to use Firewall service to control access to their own servers. Mac OS X Server uses the ipfw software for firewall service. Is there a filter for port 80? Locate the Any Port filter with the most specific range that includes the address 10.221.41.33. A computer with IP address 10.221.41.33 attempts to connect to the server over the Internet (port 80). The server begins looking for filters. Is there a filter containing IP address 10.221.41.33? Yes Connection is refused. Yes What does the filter specify? Connection is made. Allow No Deny Important When you start Firewall service the first time, all incoming TCP packets are denied until you change the filters to allow access. By default, all addresses that are not specifically allowed are denied. Therefore, you must create filters if you want to allow access to your server. If you turn Firewall service off, all addresses are allowed access to your server.Firewall Service 527 Before You Set Up Firewall Service When you start Firewall service, the default configuration denies access to all incoming packets from remote computers. This provides the highest level of security. You can then add new IP filters to allow server access to those clients who require access to services. First, think about the services that you want to provide on your server. Mail, Web, and FTP services generally require access from computers on the Internet. File and print services will most likely be restricted to your local subnet. Once you decide which services you want to protect using Firewall service, you need to m determine which IP addresses you want to allow access to your server m determine which IP addresses you want to deny access to your server Then you can create the appropriate filters. To learn how IP filters work and how to create them, read the sections that follow. What Is a Filter? A filter is made up of an IP address and a subnet mask, and sometimes a port number and access type. The IP address and the subnet mask together determine the range of IP addresses to which the filter applies, and can be set to apply to all addresses. IP Address IP addresses consist of four segments with values between 0 and 255, separated by dots (for example, 192.168.12.12). The segments in IP addresses go from general to specific (for example, the first segment might belong to all the computers in a whole company, and the last segment might belong to a specific computer on one floor of a building). Subnet Mask The subnet mask, like the IP address, consists of up to four segments. You enter a mask to indicate which segments in the specified IP address can vary and by how much. The only values you can use in a subnet mask segment are m 0 m 128 m 192 m 224 m 240 m 248 m 252 m 254 m 255528 Chapter 15 The segments in a mask go from general to specific, so the earlier a zero appears in the segments of the subnet mask, the wider the resulting range of addresses. A subnet mask of 255.255.255.255 is the narrowest and indicates a single IP address. Any value except 255 in a segment of the subnet mask must be followed by zero segments. The following subnet mask examples are invalid, because in each case, a value other than 255 is followed by a non-zero value: m 255.255.128.255 m 255.0.128.128 m 255.255.252.255 Using Address Ranges When you create filters using Server Settings, you enter an IP address and a subnet mask. Server Settings shows you the resulting address range, and you can change the range by modifying the subnet mask. When you indicate a range of possible values for any segment of an address, that segment is called a wildcard. The following below gives examples of address ranges created to achieve specific goals. Goal Sample IP address Subnet mask Address range Create a filter that specifies a single IP address. 10.221.41.33 255.255.255.255 10.221.41.33 (single address) Create a filter that leaves the last segment of the IP address range as a wildcard. 10.221.41.33 255.255.255.0 10.221.41.0 to 10.221.41.255 Create a filter that leaves part of the third segment and all of the fourth segment as a wildcard. 10.221.41.33 255.255.252.0 10.221.40.0 to 10.221.43.255 Create a filter that applies to all incoming addresses. Select “All IP addresses” All IP addressesFirewall Service 529 IP Address Precedence If you create multiple filters for a port number, the filter that contains the most specific address range has precedence. The table below illustrates how this works. If a request comes in from an address that falls within the range specified on the first line, access is allowed. If the request doesn’t fall within that address range, the second line is checked. The last line, All, denies access. You cannot set both Deny and Allow for the exact same range of addresses. Multiple IP Addresses A server can support multiple homed IP addresses, but Firewall service applies one set of filters to all server IP addresses. If you create multiple alias IP addresses, then the filters you create will apply to all of those IP addresses. Practical Examples The IP filters you create work together to provide security for your network. The examples that follow show you how to use filters to achieve some specific goals. Block Access to Internet Users To allow users on your subnet access to your server’s Web service, but deny access to the general public on the Internet: Port IP address Mask Access mode Result 80 ( Web) 10.221.41.33 255.255.255.255 Allow Address 10.221.41.33 is allowed. 80 ( Web) 10.221.41.33 255.255.252.0 Allow Address in range 10.221.40.0 to 10.221.43.255 is allowed. 80 ( Web) All Deny All addresses are denied. Access Port IP address Allow 80 ( Web) In Server Settings, select “a range of IP addresses” and click Use My Subnet in the IP filter window. Deny 80 ( Web) All530 Chapter 15 Block Junk Mail To reject email from a junk mail sender with an IP address of 17.128.100.0 and accept all other Internet email: Allow a Customer to Access the Apple File Server To allow a customer with an IP address of 10.221.41.33 to access an Apple file server: Setting Up Firewall Service for the First Time Once you’ve decided which filters you need to create, follow these overview steps to set up Firewall service. If you need more help to perform any of these steps, see “Managing Firewall Service” on page 531 and the other topics referred to in the steps. Step 1: Configure Firewall service Configure Firewall service in Server Settings. To configure Firewall service: 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Configure Firewall. You can configure Firewall service to log denied and allowed packets, start up automatically, specify how rejections are handled, apply TCP port filters to UDP and other packets, and set up access for NetInfo. For more information about the settings, see “Managing Firewall Service” on page 531. Access Port IP address Deny 25 (SMTP) 17.128.100.0 Allow 25 (SMTP) All Important Set up very specific address ranges in filters you create to block incoming SMTP mail. For example, if you set a filter on port 25 to deny mail from all addresses, you will prevent any mail from being delivered to your users. Access Port IP address Allow 548 (AFP/TCP) 10.221.41.33 Deny 548 (AFP/TCP) AllFirewall Service 531 Step 2: Add filters to the IP filter list Read “Before You Set Up Firewall Service” on page 527 to learn how IP filters work and how to create them. To add IP filters: 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Show Firewall List. 3 Click New and create a filter. For more information about creating a new filter, see “Creating an IP Filter” on page 532. Step 3: Start Firewall service m In Server Settings, click Firewall and choose Start Firewall. Managing Firewall Service Check this section to find step-by-step instructions for setting up and configuring Firewall service. Starting and Stopping Firewall Service By default, Firewall service blocks all incoming TCP connections and allows all UDP connections. Before you turn on Firewall service, make sure you’ve set up filters allowing access from IP addresses you choose – otherwise, no one will have access to your server. To start or stop Firewall service: 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Start Firewall or Stop Firewall. Setting Firewall Service to Start Automatically If you plan to use Firewall service regularly, you should set the service to start automatically on startup. This ensures that your firewall is in place after a system restart or power outage. Important If you add or change a filter after starting Firewall service, the new filter will affect connections already established with the server. For example, if you deny all access to your FTP server after starting Firewall service, computers already connected to your FTP server will be disconnected. Important If you add or change a filter after turning on Firewall service, the new filter will affect connections already established with the server. For example, if you deny all access to your file server, computers already connected to your file server will be disconnected.532 Chapter 15 To set Firewall service to start automatically each time your computer starts up: 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Configure Firewall. 3 Select “Start Firewall at system startup,” then click Save. Editing IP Filters If you edit a filter after turning on Firewall service, your changes affect connections already established with the server. For example, if any computers are connected to your Web server, and you change the filter to deny all access to the server, connected computers will be disconnected. If you delete a port from the filter list, all IP filters for that port will also be deleted. To edit IP filters: 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Show Firewall List. 3 Select a filter and click Duplicate, Edit, or Delete. If you are deleting a filter, you’ve finished. 4 Make any changes to the settings, then click Save. Creating an IP Filter IP filters contain an IP address and a subnet mask. You can apply a filter to all IP addresses, a specific IP address, or a range of IP addresses. To create an IP filter: 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Show Firewall List. 3 Click New, or select a port or address that has a filter similar to the one you want to create, and click Duplicate. 4 Select whether this filter will allow or deny access. 5 Choose a port number from the pop-up menu, or enter the port number. If you select a nonstandard port, you can enter a name that indicates the port’s use, such as Web or Apple file service. 6 Select the IP addresses that you want to filter. If you choose a range of addresses, enter the beginning IP address for the range. If you don’t know the IP address, click Find IP Address to search for an IP address. A search returns one IP address from the domain name you specified.Firewall Service 533 7 If you choose “a range of IP addresses,” enter a subnet mask or click Use My Subnet to use the computer’s subnet mask. The resulting address range is displayed at the bottom of the window. 8 Click Save. Searching for IP Filters You can use the Find button in the IP Filter List window to search for filters that match specific criteria. For example, you may want to see what filters you have set up for a specific IP address. To search the IP filter list: 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Show Firewall List. 3 Click the Find button. 4 Choose your search criteria from the pop-up menus. 5 Click Find. The search results appear in the bottom half of the window. Viewing the Firewall Log Each filter you create in Server Settings corresponds to one or more “rules” in the underlying firewall software. Log entries show you the rule applied, the IP address of the client and server, and other information. To view the log for Firewall service: 1 In Server Status, click your server in the Devices and Services list. 2 Click the Log tab and choose System Log. 3 Look for log entries with the prefix “ipfw.” Configuring Firewall Service By default, Firewall service blocks all incoming TCP connections and allows all UDP connections. Before you turn on Firewall service, make sure you’ve set up filters allowing access from IP addresses you choose; otherwise, no one will have access to your server. Important If you add or change a filter after turning on IP filtering, the new filter will affect connections already established with the server. For example, if you deny all access to your file server, computers already connected to your file server will be disconnected.534 Chapter 15 To configure Firewall service: 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Configure Firewall. 3 Select “Start Firewall at system startup” if you want the service to start whenever the server starts up. 4 Select “Send rejection to client if connection is denied” if you want your server to respond to denied connection attempts (this is on by default). 5 Choose which connections (allowed or denied) you want to log. 6 Click the NetInfo and Advanced tabs if you want to make configuration settings for UDP, ICMP, IGMP, and NetInfo. 7 Click Save, then restart Firewall service. Setting Up Logs for Firewall Service You can log only the packets that are denied by the filters you set, only the packets that are allowed, or both. Both logging options can generate a lot of log entries, which can fill up disk space and degrade the performance of the server. You should use “Log all allowed packets” only for limited periods of time. To set up logs: 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Configure Firewall. 3 Select the logging options you want, then click Save. 4 Restart Firewall service. Server Status provides access to all of Mac OS X Server’s service logs. Click your server in the Devices and Services list, then choose System Log and look for entries that begin with “ipfw.” The filters you create in Server Settings correspond to one or more rules in the underlying filtering software. Log entries show you the rule applied, the IP address of the client and server, and other information. For more information about rules and what they mean, see “Creating IP Filter Rules Using ipfw” on page 538. Here are some examples of firewall log entries and how to read them. Log Example 1 Dec 12 13:08:16 ballch5 mach_kernel: ipfw: 65000 Unreach TCP 10.221.41.33:2190 192.168.12.12:80 in via en0 This entry shows that Firewall service used rule 65000 to deny (unreach) the remote client at 10.221.41.33:2190 from accessing server 192.168.12.12 on Web port 80 via Ethernet port 0.Firewall Service 535 Log Example 2 Dec 12 13:20:15 mayalu6 mach_kernel: ipfw: 100 Accept TCP 10.221.41.33:721 192.168.12.12:515 in via en0 This entry shows that Firewall service used rule 100 to allow the remote client at 10.221.41.33:721 to access the server 192.168.12.12 on the LPR printing port 515 via Ethernet port 0. Log Example 3 Dec 12 13:33:15 smithy2 mach_kernel: ipfw: 10 Accept TCP 192.168.12.12:49152 192.168.12.12:660 out via lo0 This entry shows that Firewall service used rule 10 to send a packet to itself on port 660 via the loopback device 0. Viewing Denied Packets Viewing denied packets can help you identify problems and troubleshoot Firewall service. To view denied packets: 1 Turn on logging of denied packets in the Configure Firewall window. 2 To view log entries in Server Status, click your server in the Devices and Services list. 3 Click the Log tab and choose System Log from the pop-up menu. Filtering UDP Ports in Firewall Service Many services use User Datagram Protocol (UDP) to communicate with the server. By default, all UDP connections are allowed. You should apply filters to UDP ports sparingly, if at all, because “deny” filters could create severe congestion in your server traffic. If you filter UDP ports, don’t select the “Log all allowed packets” option in the General pane. Since UDP is a “connectionless” protocol, every packet to a UDP port will be logged if you select that option. You should also create allow filters for specific services, including m DNS on port 53 m DHCP on port 67 m SLP on port 427 m Windows Name Service browsing on ports 137 and 138 m Network Assistant on port 3283 m NFS on port 2049 m NetInfo536 Chapter 15 UDP ports above 1023 are allocated dynamically by certain services, so their exact port numbers may not be determined in advance. To set up UDP port filters: 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Configure Firewall. 3 Click the Advanced tab and select “Apply filters in IP filter list to UDP ports.” 4 Click “all UDP ports” or enter a range of port numbers to filter in the “in range” fields. 5 Click Save, then restart Firewall service. Blocking Multicast Services in Firewall Service Some hosts and routers use Internet Gateway Multicast Protocol (IGMP) to send packets to lists of hosts. Keep in mind that denying IGMP packets may prevent services that use multicast addressing from running correctly. QuickTime Streaming uses multicast addressing, as does Service Location Protocol (SLP). To block IGMP connections: 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Configure Firewall. 3 Click the Advanced tab and select Deny Internet Gateway Multicast Protocol (IGMP). 4 Click Save, then restart Firewall service. Allowing NetInfo Access to Certain IP Addresses Any information stored in a shared NetInfo domain needs to be accessed by multiple Mac OS X computers on the network. You can use Firewall service to control which IP addresses can access a particular shared domain. To allow NetInfo access: 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Configure Firewall. 3 Click the NetInfo tab and select a shared domain from the “Network visible domain” pop-up menu. 4 Choose “everyone” to allow all IP addresses to access the domain. To restrict access to certain IP addresses, enter IP addresses in the text field, pressing Return between entries. To enter a range of IP addresses, type a slash (/) after the IP address. For example, 192.168.33.3/24 means the range 192.168.33.0 to 192.168.33.255.Firewall Service 537 5 Click Save, then restart Firewall service. Any IP filters you create allow NetInfo access for the IP addresses you specify. By default, NetInfo dynamically chooses a TCP or UDP port from the 600 through 1023 range, but you can configure a shared domain to be accessible using one port or using a port for TCP and a second port for UDP packets. If you choose to allow access to all IP addresses, you should have a firewall that protects your internal network from the Internet and blocks external traffic targeted at the ports used for NetInfo. If you don’t have a separate firewall, selecting all IP addresses could compromise your server’s security. Changing the Any Port (Default) Filter If the server receives a packet using a port or IP address to which none of your filters apply, Firewall service uses the Any Port (default) filter. You can set the Any Port (default) filter to either deny or allow these packets for specific IP addresses. By default the Any Port filter denies access. If you need to change the All filter to allow access, you can. However, you should not take this action lightly. Changing the default to allow means you must explicitly deny access to your services by setting up specific port filters for all the services that need protection. To change the default Any Port setting: 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Show Firewall List. 3 Select Any Port and click New, or select an IP address under Any Port and click Edit. 4 Make any changes to the settings, then click Save. Preventing Denial-of-Service Attacks When the server receives a TCP connection request from a client to whom access is denied, by default it sends a reply rejecting the connection. This stops the denied client from resending over and over again. However, a malicious user could generate a series of TCP connection requests from a denied IP address and force the server to keep replying, locking out others who are trying to connect to the server. This is one type of denial-of-service attack. To prevent denial-of-service attacks: 1 In Server Settings, click the Network tab. 2 Click Firewall and choose Configure Firewall. 3 Make sure “Send rejection to client if connection is denied” is not checked. 4 Click the Advanced tab and select “Deny ICMP echo (ping) reply.”538 Chapter 15 5 Click Save, then restart Firewall service. Creating IP Filter Rules Using ipfw You can use the ipfw command in conjunction with the Firewall module of Server Settings when you want to m Display rules created by the Firewall module. Each filter translates into one or more rules. m Create filters with characteristics that cannot be defined using the Firewall module. For example, you may want to use rules specific to a particular kind of IP protocol. Or you may want to filter or block outgoing packets. m Count the number of times rules are applied. If you use ipfw, make sure you do not modify rules created using the Firewall module. Changes you make to Firewall module rules are not permanent. Firewall service recreates any rules defined using the Firewall module whenever the service is restarted. Here is a summary of how the Firewall module assigns rule numbers: Important Denial-of-service attacks are somewhat rare, so make these settings only if you think your server may be vulnerable to an attack. If you don’t send rejection replies to clients, some clients may retry connections, resulting in server congestion. Also, if you deny ICMP echo replies, services that use pinging to locate network services will be unable to detect your server. Rule number Used by Firewall module for 10 Loop back. 20 Discarding any packet from or to 127.0.0.0/8 (broadcast). 30 Discarding any packet from 224.0.0.0/3 (broadcast). 40 Discarding TCP packets to 224.0.0.0/3 (broadcast). 100–64000 User-defined port-specific filters. 63200 Denying access for icmp echo reply. Created when “Deny ICMP echo reply” is selected in the Advanced pane of the Configure Firewall window. 63300 Denying access for igmp. Created when Deny IGMP is selected in the Advanced pane of the Configure Firewall window. 63400 Allowing any TCP or UDP packet to access port 111 (needed by NetInfo). Created when a shared NetInfo domain is found on the server.Firewall Service 539 Reviewing IP Filter Rules To review the rules currently defined for your server, use the Terminal application to submit the ipfw show command. The show command displays four columns of information: When you type: ipfw show You see information similar to this: 0010 260 32688 allow log ip from any to any via lo* 0020 0 0 deny log ip from 127.0.0.0/8 to any in 0020 0 0 deny log ip from any to 127.0.0.0/8 in 0030 0 0 deny log ip from 224.0.0.0/3 to any in 0040 0 0 deny log tcp from any to 224.0.0.0/3 in 00100 1 52 allow log tcp from 111.222.33.3 to 111.222.31.3 660 in ... Creating IP Filter Rules To create new rules, use the ipfw add command. The following example defines rule 200, a filter that prevents TCP packets from a client with IP address 10.123.123.123 from accessing port 80 of the system with IP address 17.123.123.123: ipfw add 200 deny tcp from 10.123.123.123 to 17.123.123.123 80 Deleting IP Filter Rules To delete a rule, use the ipfw delete command. This example deletes rule 200: ipfw delete 200 63500 Allowing user-specified TCP and UDP packets to access ports needed for NetInfo shared domains. You can configure NetInfo to use a static port or to dynamically select a port from 600 through 1023. Then use the Configure Firewall window to allow all or specific clients to access those ports. 64000–65000 User-defined filters for Any Port. Rule number Used by Firewall module for Column Information 1 The rule number. The lower the number, the higher the priority of the rule. 2 The number of times the filter has been applied since it was defined 3 The number of bytes to which the filter has been applied 4 A description of the rule540 Chapter 15 For more information, consult the man pages for ipfw. Port Reference The following tables show the TCP and UDP port numbers commonly used by Mac OS X computers and Mac OS X Servers. These ports can be used when you are setting up your IP filters. Note: See www.faqs.org/rfcs to view the RFCs referenced in the tables. TCP port Used for Reference 7 echo RFC 792 20 FTP data RFC 959 21 FTP control RFC 959 22 ssh (secure shell) 23 Telnet RFC 854 25 SMTP (email) RFC 821 53 DNS RFC 1034 79 Finger RFC 1288 80 HTTP ( Web) RFC 2068 88 Kerberos RFC 1510 110 POP3 (email) RFC 1081 111 Remote Procedure Call (RPC) RFC 1057 113 AUTH RFC 931 115 sftp 119 NNTP (news) RFC 977 137 Windows Names 138 Windows Browser 139 Windows file and print (SMB) RFC 100 143 IMAP (email access) RFC 2060Firewall Service 541 389 LDAP (directory) RFC 2251 427 SLP (service location) 443 SSL (HTTPS) 514 shell 515 LPR (printing) RFC 1179 532 netnews 548 AFP (AppleShare) 554 Real-Time Streaming Protocol (QTSS) RFC 2326 600–1023 Mac OS X RPC-based services (for example, NetInfo) 625 Remote Directory Access 626 IMAP Administration (Mac OS X mail service and AppleShare IP 6.x mail) 636 LDAP SSL 660 Server Settings 985 NetInfo (when a shared domain is created using NetInfo Domain Setup) 1220 QTSS Admin 1694 IP Failover 1723 PPTP VPN 2049 NFS 3283 Apple Remote Desktop 7070 Real-Time Streaming Protocol (QTSS) 8000–8999 Web service 16080 Web service with performance cache 2236 Macintosh Manager 24000–24999 Web service with performance cache TCP port Used for Reference542 Chapter 15 UDP port Used for Reference 7 echo 53 DNS 67 DHCP server (BootP) 68 DHCP client 69 Trivial File Transfer Protocol (TFTP) 111 Remote Procedure Call (RPC) 123 Network Time Protocol 137 Windows Name Service ( WINS) 138 Windows Datagram Service 161 Simple Network Management Protocol (SNMP) 427 SLP (service location) 497 Retrospect 513 who 514 Syslog 554 Real-Time Streaming Protocol (QTSS) 600–1023 Mac OS X RPC-based services (for example, NetInfo) 985 NetInfo (when a shared domain is created using NetInfo Domain Setup) 2049 Network File System (NFS) 3283 Apple Network Assistant 6970 and up QTSS 7070 Real-Time Streaming Protocol alternate (QTSS)Firewall Service 543 Solving Problems This section reviews some common Firewall service issues and provides possible solutions. You Can’t Access the Server Over TCP/IP m Check the filters in the filter list. If you started Firewall service, but have not added any additional filters, all TCP access to your server is denied by default. m Stop Firewall service. Add new filters to your filter list that allow access to computers that have the IP addresses you specify. Then restart Firewall service. You Can’t Locate a Specific Filter m Use the Find button in the IP Filter List window to locate specific filters by IP address, port, or access type. Where to Find More Information Request for Comments (RFC) documents provide an overview of a protocol or service and details about how the protocol should behave. If you are a novice server administrator, you’ll probably find some of the background information in an RFC helpful. If you are an experienced server administrator, you can find all the technical details about a protocol in its RFC document. You can search for RFC documents by number at this Web site: www.faqs.org/rfcs m See RFC 792 for information on ICMP. m IGMP is documented in Appendix I of RFC 1112. m Important multicast addresses are documented in the most recent Assigned Numbers RFC, currently RFC 1700.545 C H A P T E R 16 16 SLP DA Service Service Location Protocol Directory Agent (SLP DA) provides structure to the services (or resources) available on a network and gives users easy access to them. Anything that can be accessed using a URL—including file servers, WebDAV servers, NFS servers, printers, and personal Web servers—can be a network service. When a service is added to your network, it uses SLP to “register” itself—or make its presence known and identify the service it provides—on the network. You don’t have to configure the service manually. When a client computer needs to locate a network service, it uses SLP to look for that type of service. All registered services that match the client computer’s request are displayed to the user, who can then choose which one to use. SLP Directory Agent (DA) is an improvement on basic SLP, storing registered network services in a central repository. You can set up a directory agent to keep track of services for one or more scopes (groups of services). When a client computer looks for network services, the directory agent for the scope in which the client computer is located responds with a list of available services. Because a client computer only needs to look locally for services, network traffic is kept to a minimum and users can connect to network services more quickly. SLP DA Considerations Normally, SLP service sends requests to all SLP services on a network, which can substantially increase network traffic. If you have a large network, SLP communications can slow network performance and increase the amount of time users must wait to locate network services. You can improve SLP performance by setting up SLP DA service. You should also consider setting up more than one directory agent, so client computers can contact the directory agent closest to them for services, and services can be registered with more than one directory agent. Before You Begin Before you set up SLP DA service, read these overview steps to learn about defining scopes and making sure of client and router compatibility.546 Chapter 16 Step 1: Define scopes To define scopes, you need to decide how you want to organize the computers on your network. A scope can be a logical grouping of computers, such as all computers used by the production department, or a physical grouping, such as all computers located on the first floor. You can define a scope as part or all of your network. Even if you don’t plan to divide your network into scopes, you still need to set up at least one scope to use SLP DA service. Step 2: Check client and router compatibility Your client computers must be using Mac OS 9.1 or later to use SLP DA service. Versions of SLP on Mac OS 9.0 will continue to use IP multicast. If your network uses routers that are not capable of IP multicast, you will need to upgrade them or set up tunneling. When tunneling is set up, the router passes along IP multicast packets. See the documentation that came with your routers for information on tunneling. Step 3: Configure logging settings You can log events to help you monitor SLP DA activity. If problems occur, or if you want to improve service performance, the entries in the log can provide important diagnostic information. SLP DA service errors are logged automatically, but you can configure the service to log other types of events as well. To configure logging settings, click the Network tab, then click SLP Service and choose Configure SLP DA. Then choose the settings you want. You can find more information about the settings in “Managing Service Location Protocol (SLP) Directory Agent (DA) Service” on page 547. Step 4: Create scopes for your network When you start SLP service, one scope already exists, named Default. You can change that name or add more scopes to your network. To create scopes: 1 In Server Settings, click the Network tab. 2 Click SLP Service and choose Show Registered Services. The Registered Services window appears. 3 Click New Scope and type the name of the scope you are creating in the Add Scope dialog box. SLP DA service converts the name you type to the correct format and adds it to the list in the Registered Services window.SLP DA Service 547 Step 5: Assign network services to each scope Once you’ve created a scope, you can assign network services to it. 1 In the Registered Services window, click New Service. 2 In the Add Proxied Service dialog box, choose the scope and add the service you want. For more information about adding services to a scope, see “Registering a Service With SLP DA” on page 548. Step 6: Start SLP DA service To start SLP DA service: 1 Click SLP Service. 2 Choose Start SLP DA. When the service is turned on, a globe appears on the service icon. As services on the network register with the directory agent, they appear in the Registered Services window under the appropriate scope. Managing Service Location Protocol (SLP) Directory Agent (DA) Service This section describes day-to-day management tasks for SLP DA service. Starting and Stopping SLP DA Service Use Server Settings to start and stop SLP DA service. To start or stop SLP DA service: 1 In Server Settings, click the Network tab. 2 Click SLP Service and choose Start SLP DA or Stop SLP DA. When the service is running, a globe appears on the SLP icon. It may take a moment for the service to start (or stop). Viewing Scopes and Registered Services in SLP You can view scopes and the services registered within the scopes in the Registered Services window of SLP DA service. This window also shows the name, IP address and service type for each service in the list. To view scopes and registered services: 1 In Server Settings, click the Network tab. 2 Click SLP Service and choose Show Registered Services.548 Chapter 16 3 Choose a service type from the Show pop-up menu. 4 Click the disclosure triangle next to a scope name to see the services registered within it. 5 Double-click a service to see more detailed information about the service. You can change the way the list is sorted by clicking a column heading. Creating New Scopes in SLP DA Service Scopes are groups of services available on the network, organized in a way that works best for your network. To create a new scope and add services to it: 1 In Server Settings, click the Network tab. 2 Click SLP Service and choose Show Registered Services. 3 Click New Scope. 4 Type a name for the scope and click OK. 5 Click New Service. 6 Choose the scope you just created from the pop-up menu, then type the URL of the service you’re adding in the URL field. 7 Click OK. You can also enter information about the service in the Attribute List field. If you enter attributes, they must be in the correct format, or SLP DA service may not recognize the service. Registering a Service With SLP DA You can register services available on the network with SLP DA to make them easily discoverable by client users. To register a service: 1 In Server Settings, click the Network tab. 2 Click SLP Service and choose Show Registered Services. 3 Click New Service and choose a scope from the pop-up menu. 4 Type the URL of the service you’re adding in the URL field. 5 If you want to use an attributes list, type the attributes in the Attribute List text box. 6 Click OK. Important If you enter information about the service in the Attribute List field, make sure the attributes are in the correct format or SLP DA may not recognize the service.SLP DA Service 549 Deregistering Services in SLP DA Service If a service is no longer available to network clients you must manually remove the service from the SLP DA registered service list. To deregister a service: 1 In Server Settings, click the Network tab. 2 Click SLP Service and choose Show Registered Services. 3 Select a service and click Remove. Setting Up Logs for SLP DA Service SLP DA errors are logged automatically in the system log file. You can choose other events to log when you configure SLP DA service. To set SLP DA logging options: 1 In Server Settings, click the Network tab. 2 Click SLP Service and choose Configure SLP DA. 3 Select the types of events you want to log and click Save. Logging Debugging Messages in SLP DA Service In addition to the basic logging options available in the Configure SLP window, you can choose to log all messages, including debugging messages. These messages are useful to advanced system administrators. To log debugging messages: 1 In Server Settings, click the Network tab. 2 Click SLP Service. 3 Hold down the Option key and choose Configure SLP DA. 4 Click All Messages and click Save. Viewing SLP DA Log Entries You can view the system log for SLP event messages. To view log entries for SLP DA service: 1 In Server Status, click the Log tab. 2 Choose System Log from the pop-up menu and look for entries in the log that include “slpd:”.550 Chapter 16 Each SLP log entry includes a code that indicates the type of event that has occurred. Using the Attributes List Services may advertise their presence on the network along with a list of attributes. These attributes are listed as a string encoding that follows a specific format. Directory agents use the attributes list to help match client requests with appropriate services. Here is an example of an attributes list for a network printer named Amazon. It’s an LPR printer located in the Research scope. The attributes list entered by the administrator might look like this: (Name=Amazon),(Description=For research dept only),(Protocol=LPR),(locationdescription=bldg 6),(media-size=na-letter),(resolution=res-600),x-OK The directory agent must scan any included attributes lists when it’s looking for services. So, if you create an attributes list that is incorrectly formatted, you could inadvertently block the directory agent from using a service. Where to Find More Information Request for Comments (RFC) documents provide an overview of a protocol or service and details about how the protocol should behave. If you are a novice server administrator, you’ll probably find some of the background information in an RFC helpful. If you are an experienced server administrator, you can find all the technical details about a protocol in its RFC document. You can search for RFC documents by number at this Web site: www.faqs.org/rfcs m For SLP DA, see RFC 2608. Code Event type REG Service registrations and deregistrations EXP Service deregistrations only SR Service requests DA Directory agent information requests ERR SLP errors551 C H A P T E R 17 17 Tools for Advanced Users This chapter describes tools, and techniques intended for use by experienced server administrators. The following table summarizes them. Tool or technique Use to For more information, see Terminal Run command-line tools page 552 Secure shell (SSH) Use Terminal to run command-line tools for remote servers page 553 dsimportexport Import and export user and group accounts using XML or text files page 555 log rolling scripts Periodically roll, compress, and delete server log files page 555 diskspacemonitor Monitor percentage-full disk thresholds and execute scripts that generate email alerts and reclaim disk space when thresholds are reached page 556 diskutil Manage Mac OS X Server disks and volumes remotely page 557 installer Install software packages remotely page 558 softwareupdate Find new versions of software and install them remotely on a server page 561 systemsetup Configure system preferences on a remote server page 561 networksetup Configure network services for a particular network hardware port on a remote server page 562552 Chapter 17 Terminal You use the Terminal application to run command-line tools. Most of the tools described in this chapter are command-line tools, such as dsimportexport, systemsetup, networksetup, and diskutil. Using the Terminal Application Terminal lets you open a UNIX shell command-line session on your server or a remote server you are administering. You’ll find Terminal in /Applications/Utilities/. When you open Terminal, you see a prompt that usually includes the name of the local host, the directory you’re using, your user name, and a symbol (for example, “[patsy6:/usr/sbin] liz%”). In this example, patsy6 is the server’s host name, the directory you are working in is /usr/sbin, and the user name is liz. The percent symbol (%) is called the prompt. It indicates that you can enter a command. Press the Return key after you type a command. Depending on what you typed, you could see a list of information followed by another prompt, or your command will execute and give you some type of feedback and a prompt, or you will receive no feedback and another prompt. No feedback usually means that the command was executed properly. MySQL Manager Manage the version of MySQL that is installed with Mac OS X Server page 565 Simple Network Management Protocol (SNMP) administration tools Monitor your server using the SNMP interface page 566 diskKeyFinder Verify the physical location of a remote headless server volume that you want to manage page 566 Enabling IP failover Set up a standby server that takes over if the primary server fails page 567 Tool or technique Use to For more information, seeTools for Advanced Users 553 Understanding UNIX Command-Line Structure UNIX commands share some basic conventions. First you enter the name of the tool, then any information the tool needs to carry out your request. Most tools come with help or man (short for “manual”) pages that describe how to use the tool. Help pages give an overview of arguments (also known as options or parameters) that the tool understands. Man pages give more detail and examples: m To find help pages, type the name of the tool and then the argument “-help” (for example, “dsimportexport -help”). m To find man pages for a tool, type “man”, followed by the tool name (for example, “man ssh”). When you supply information in a command, enclose location or item names that include spaces in quotation marks (“like this”). Secure Shell (SSH) Command Secure Shell (SSH) lets you send secure, encrypted commands over a network. With SSH turned on, you can use the Terminal application to open an SSH session and use commandline tools to securely configure a remote server. You can also connect a terminal to a headless server through the serial port and log in using SSH. For complete information about SSH, type “man ssh” in Terminal. Enabling and Disabling SSH Access Access to Mac OS X computers using SSH is enabled by default. You can disable SSH access to a Mac OS X computer locally or remotely: m When logged in locally to a Mac OS X computer, make sure that “Remote login” in the Sharing pane is not selected. m To disable SSH access to a remote server, while in an SSH session with the remote computer, type “systemsetup -setremotelogin off ”. You can reenable SSH access only locally. Opening an SSH Session Open an SSH session and log into a remote server when you manage the remote server using command-line tools. To open an SSH session and log in to the server: 1 Open Terminal.554 Chapter 17 2 At the prompt, type ssh, then a hyphen, the flag “l” (lower case L, for “login”) followed by the user name of an administrator of the remote server and the server’s IP address or host name. Press Return when you’re finished (for example, “ssh -l jsmith 192.168.100.100”). If you’re not sure of the administrator’s name, you can also type “ssh admin@192.168.100.100”. If you don’t enter an administrator name (or “admin”), SSH will use the user name of the person currently logged in to the computer you are using. If this user doesn’t have administrator access to the server, you must enter the appropriate administrator name. 3 At the prompt, type the administrator password and press Return. If everything is entered correctly, the prompt identifies the remote server (for example, [192.168.100.100:~] jsmith%”). If you started the remote server up from a CD and logged in as root, you will see a number sign (#) instead of the remote server identifier. Executing Commands in an SSH Session Once you are logged in using SSH, you can use command-line tools to execute commands on the remote server. If you want to execute a single command on the server and then immediately log out of the server, you can do it in one step. Type your login information and the command, then press Return. For example, the command to log in to a remote server and remove a file called “Test Data” looks like this: “ssh -l root 192.168.100.100 rm "/Documents/Test Data"”. The server asks for the password, and then executes the command. Closing an SSH Session When you have finished with a SSH session, you should close the session, especially if you are logged in as the root administrator with root privileges, so that no one else can make changes on the server. To log out, simply type “exit”, then press Return. Understanding Key Fingerprints The first time you log in to a server using SSH, your local computer adds a “fingerprint” from the remote server to a list of known remote host computers and displays a message: The authenticity of host ‘192.168.12.12’ can’t be established. RSA key fingerprint is a8:0d:27:63:74:00:f1:04:bd:6a:e4:0d:a3:47:a8:f7. Are you sure you want to continue connecting (yes/no)? Enter “yes” and press Return to finish authenticating.Tools for Advanced Users 555 If you see a warning message about a “man in the middle attack” when you try to connect using SSH, the RSA key fingerprint on the remote server and the computer you are using to administer it no longer match. This can happen if you use command-line tools to administer a remote server, establish an RSA key fingerprint, and later change your SSH configuration, perform a clean install of system software, or start up from the Mac OS X Server CD. To connect to the remote server again using SSH, you need to edit the entries corresponding to the hosts (which can be stored by both name and IP number) in this file: ~/.ssh/ known_hosts. You can use TextEdit or another editor to find the host name or IP address and then delete the key. The key is a long string that may wrap to several lines. In TextEdit you can press the Control key and type K to delete the line, and then delete the blank line that the deletion creates. dsimportexport Use dsimportexport to import user and group accounts from a file or export them to a file. It is a useful tool when you want to m Create a large number of users or groups in a batch. m Migrate user or group accounts from another server. You can import users and groups from AppleShare IP 6.3 or Mac OS X Server version 10.1 and earlier. m Update a large number of user or group accounts with new information. See “Importing and Exporting User and Group Information” on page 178 for more information about dsimportexport. Log Rolling Scripts Three predefined scripts are executed automatically to reclaim space used on your server for log files generated by m Apple file service m Windows service m Web service m Web performance cache m Mail service m Print service The scripts use values in predefined configuration files to determine whether and how to reclaim space: m The script /etc/periodic/daily/600.daily.server runs daily. Its configuration file is /etc/diskspacemonitor/daily.server.conf.556 Chapter 17 m The script /etc/periodic/weekly/600.weekly.server is intended to run weekly, but is currently empty. Its configuration file is /etc/diskspacemonitor/weekly.server.conf. m The script /etc/periodic/monthly/600.monthly.server is intended to run monthly, but is currently empty. Its configuration file is /etc/diskspacemonitor/monthly.server.conf. As configured, the scripts specify actions that complement the log file management performed by the services listed above, so do not modify them. All you need to do is log in as an administrator and use a text editor to define thresholds in the configuration files that determine when the actions are taken: m the number of megabytes a log file must contain before its space is reclaimed m the number of days since a log file’s last modification that need to pass before its space is reclaimed Specify one or both thresholds. The actions are taken when either threshold is exceeded. There are several additional parameters you can specify. Refer to comments in the configuration files for information about all the parameters and how to set them. The scripts ignore all log files except those for which at least one threshold is present in the configuration file. To configure the scripts on a server from a remote Mac OS X computer, open a Terminal window and log in to the remote server using ssh. Then open a text editor and edit the scripts. You can also use the diskspacemonitor command-line tool to reclaim disk space. diskspacemonitor When you need more vigilant monitoring of disk space than the log rolling scripts provide, you can use the diskspacemonitor command-line tool. It lets you monitor disk space and take action more frequently than once a day when disk space is critically low, and gives you the opportunity to provide your own action scripts. diskspace monitor is disabled by default. You can enable diskspacemonitor by opening a Terminal window and typing “sudo diskspacemonitor on”. You may be prompted for your password. Type “man diskspacemonitor” for more information about the command-line options. When enabled, diskspacemonitor uses information in a configuration file to determine when to execute alert and recovery scripts for reclaiming disk space: m The configuration file is /etc/diskspacemonitor/diskspacemonitor.conf. It lets you specify how often you want to monitor disk space and thresholds to use for determining when to take the actions in the scripts. By default, disks are checked every 10 minutes, an alert script executed when disks are 75% full, and a recovery script executed when disks are 85% full. To edit the configuration file, log in to the server as an administrator and use a text editor to open the file. See the comments in the file for additional information. Tools for Advanced Users 557 m By default, two predefined action scripts are executed when the thresholds are reached. The default alert script is /etc/diskspacemonitor/action/alert. It runs in accord with instructions in configuration file /etc/diskspacemonitor/alert.conf. It sends email to recipients you specify. The default recovery script is /etc/diskspacemonitor/action/recover. It runs in accord with instructions in configuration file /etc/diskspacemonitor/recover.conf. See the comments in the script and configuration files for more information about these files. m If you want to provide your own alert and recovery scripts, you can. Put your alert script in /etc/diskspacemonitor/action/alert.local and your recovery script in /etc/diskspacemonitor/action/recovery.local. Your scripts will be executed before the default scripts when the thresholds are reached. To configure the scripts on a server from a remote Mac OS X computer, open a Terminal window and log in to the remote server using SSH. diskutil This Mac OS X tool is especially useful in a server environment, because it offers a wide variety of commands for managing and repairing disks. For example: m To list the disks and partitions on the Mac OS X computer you are logged into, type “diskutil list” in a Terminal window. m To create a Redundant Array of Independent Disks (RAID) set on multiple disks, type “sudo diskutil createRAID mirror MirrorDisk BootableHFS+ disk1 disk2”. Root access is required. m To verify the disk structure of a volume, type “sudo diskutil verifyDisk /Volumes/ SomeDisk”. To repair the disk structure, type “sudo diskutil repairDisk /Volumes/ SomeDisk”. Root access is required. m To verify permissions of a Mac OS X boot volume, type “sudo diskutil verifyPermissions /”. Root access is required. Type “man diskutil” in a Terminal window for complete information about this command. To run diskutil on a Mac OS X computer from a remote Mac OS X computer, open a Terminal window and log in to the remote computer using SSH.558 Chapter 17 installer You can use the installer tool to install software packages from a CD-ROM on a mounted remote server volume. This tool doesn’t perform any authentication, so if a package needs authentication (set in the package’s .info file), you must log in as root or use the sudo command. Remember that copyright laws may prevent certain programs from being shared. Before putting programs inside shared folders, check the applicable licensing agreements and follow their requirements. Using installer Here are the parameters that installer accepts. Parameters are delimited using angle brackets (<>) if they are required and square brackets ([]) if they are optional: installer [-volinfo] [-pkginfo] [-allow] [-dumplog] [-help] [-verbose] [-vers] [-config] [-plist] [-file pathToFile] [-lang isoLanguageCode] <-pkg pathToPackage> <-target pathToDestinationVolume> where -volinfo displays a list of mounted volumes into which the software package can be installed. -pkginfo displays a list of packages that can be installed onto the target volume. If a metapackage is specified, all of its subpackages are listed. -allow installs an older version over a newer version if the software package supports this. -dumplog sends the standard installer log to StdOut. -help displays a list of parameters you can use with the installer tool. -verbose displays more information than the default output, which is formatted for scripting. Use this parameter in conjunction with information requests. -vers displays the version of the tool.Tools for Advanced Users 559 -config formats the command-line installation arguments for later use. You can redirect the output to a configuration file. Then you can use the -file parameter to perform multiple identical installs. -plist formats the installer tool’s output into an XML file, which is sent by default to StdOut. You use this parameter with -pkginfo and -volinfo. -file pathToFile specifies the path to an XML file containing parameter information. This file can be used instead of the command-line parameters and supersedes any parameters on the command-line (for example, “installer -file /temp/configfile.plist”). -lang isoLanguageCode specifies the default language of the installed system. You need this parameter only if you perform a full system install. You specify the language in ISO language code format: EN for English, JA for Japanese, FR for French, and DE for German. -pkg pathToPackage specifies where to find the package you want to install. Don’t end the pathname string with a forward slash (/) or the command will not execute. -target pathToDestinationVolume specifies where to install the package. Don’t end the pathname string with a forward slash (/) or the command will not execute. To use installer to install software on a server: 1 Insert the application disk in the optical drive of the remote server on which you want to install the software. 2 Open an SSH connection in Terminal and log in to the remote server. 3 Type an installer command. 4 If the software package you’re installing requires that you restart the server, type “/sbin/ reboot” or /sbin/shutdown -r”. Full Operating System Installation If you have to install the operating system on a remote Mac OS X Server, you can use the installer tool to do so. To use installer to install a full operating system: 1 Insert a bootable CD and start up the server from the CD. ( You can’t install an operating system onto the current startup volume.)560 Chapter 17 2 Open Terminal on another Mac OS X Server or administrator computer and log in to the server as root using SSH. For example, type: ssh -l root 3 Mount volumes using the autodiskmount tool. To do this, type: autodiskmount 4 List the volumes available to install the software on and specify the package you want to install. For example, type: /usr/sbin/installer -volinfo -pkg /System/Installation/Packages/ OSInstall.mpkg and get a list. The information displayed reflects your particular environment, but here’s an example: /private/var/tmp/Mount01 /private/var/tmp/Mount1 /private/var/tmp/Mount02 5 Install the operating system on a volume from the list. For example, to use Mount01 in the example in step 4, type: /usr/sbin/installer -pkg /System/Installation/Packages/OSInstall.mpkg -target /private/var/tmp/Mount01 -lang en -verbose to get this result: installer: Package name is Mac OS X installer: Installing onto volume mounted at /private/var/tmp/Mount01. installer: The install was successful. 6 Type one of these commands to restart the server: /sbin/reboot /sbin/shutdown -r Important Don’t use the disk utility and installer applications after you use autodiskmount to manually mount volumes until after you have restarted your server. Otherwise, you will get unreliable results. Important Apple strongly recommends that you not store data on the hard disk or hard disk partition where the operating system is installed. With this approach, you will not risk losing data should you need to reinstall or upgrade system software.Tools for Advanced Users 561 softwareupdate You use softwareupdate to find new versions of software and install them on a remote server. To use softwareupdate: 1 Open Terminal on a Mac OS X Server or administrator computer and log in to the remote server using SSH. 2 At the prompt, type “softwareupdate”. Available updates are listed. 3 Type “softwareupdate” followed by the items you want to install (for example, “softwareupdate PrintingEpsonUS Printing EpsonEU”). The tool downloads and installs the software on the remote server. 4 If the new software requires you to restart the remote server, type “/sbin/reboot” or “/sbin/ shutdown -r”. systemsetup You use systemsetup to remotely configure these system preferences: sleep settings; remote login (SSH); startup disk; computer name; and date, time, and time-zone settings. To use systemsetup, open Terminal on a server or administrator computer and open an SSH session on the remote server whose preferences you want to set up. Type one of the following commands to review complete information about systemsetup: m “systemsetup -printcommands” displays all the available commands. m “systemsetup -help” displays commands plus explanations of them. m “man systemsetup” displays the most complete information, including examples. You use “get” options to retrieve settings and “set” options to change them: m “systemsetup -getusingnetworktime” may display “Network Time: Off ”. m “systemsetup -setusingnetworktime on” starts a network time server. Working With Server Identity and Startup You can use systemsetup to set information about a remote server and specify how to handle its startup: m To set the computer name, which is used by file sharing and AppleTalk, type “systemsetup -setcomputername ”. m To retrieve the current startup disk for the server, type “systemsetup -getstartupdisk”. Type “systemsetup -liststartupdisks” to list all available disks. Type “systemsetup -setstartupdisk ” to set the startup disk, specifying the disk name exactly as formatted in the list.562 Chapter 17 m Type “systemsetup -setrestartpowerfailure on” to restart the server automatically after a power failure. m To restart the server automatically if it freezes, type “systemsetup -setrestartfreeze on”. m To enable the server to respond to events sent by other computers, such as AppleScript programs, type “systemsetup -setremoteappleevents on”. Working With Date and Time Preferences You can use systemsetup to set up date and time preferences for a remote server: m To set the current month, day, and year, type “systemsetup -setdate ”. m To set the current hour, minutes, and seconds, type “systemsetup -settime ”. m To set the server’s time zone, type “systemsetup -settimezone ”. To determine which timezone values are valid, type “systemsetup -listtimezones”. m To designate a network time server, type “systemsetup -setnetworktimeserver ”. m To turn network time on, type “systemsetup -setusingnetworktime on”. Working With Sleep Preferences You can use systemsetup to set when a remote server sleeps and whether the server wakes for different types of network activity. Remember, however, that while a server is asleep, you can’t administer it remotely: m To specify how many minutes the server can be inactive before going to sleep, type “systemsetup -setsleep ”. If you don’t want the server to sleep, type “0” or “never”. m To specify that the server should wake from sleep when modem activity is detected, type “systemsetup -setwakeonmodemactivity on”. m To specify that the server should wake from sleep when a network admin packet is sent to it, type “systemsetup -setwakeonnetworkaccess on”. networksetup Use networksetup to configure network services on a remote Mac OS X Server. A network service is a complete collection of settings for a specific network hardware port. “Built-in Ethernet” is an example of a network service. You may have one or several network services for a given hardware port. With networksetup you can m enable or disable network servicesTools for Advanced Users 563 m create new network services m set the order of network services m configure the TCP/IP options of the network services m set other networking options for the services, such as proxy server information To use networksetup, open Terminal on a server or administrator computer and open an SSH session on the remote server whose preferences you want to set up. Type one of the following commands to review complete information about networksetup: m “networksetup -printcommands” displays all the available commands. m “networksetup -help” displays commands plus explanations of them. m “man networksetup” displays the most complete information, including examples. Reverting to Previous Network Settings When you change your network preference settings with networksetup, your previous settings are saved to the com.apple.preferences.xml.old file located in /var/db/SystemConfiguration/com.apple.preferences.xml.old Note that if you make changes to network settings locally using Network preferences, the settings in the com.apple.preferences.xml.old file will not match the settings you make using networksetup. If you want to revert to your previous settings, rename the file “com.apple.preferences.xml” and then restart the server. If network settings prevent you from accessing a server using SSH, log in to the server locally as root and rename the file “com.apple.preferences.xml” (replacing the current file). Restart the server to apply the settings. Retrieving Your Server’s Network Configuration You can use networksetup to find out about the network services on a remote server: m To display a list of network services in the order in which they are contacted for a connection along with the corresponding ports and devices, type “networksetup - listnetworkserviceorder”. An asterisk (*) next to a service means the service is inactive. m To display a list of all network services, type “networksetup -listallnetworkservices”. An asterisk (*) next to a service means the service is inactive. m To display a list of hardware ports with corresponding device names and Ethernet addresses, type “networksetup -listallhardwareports”. m To detect new hardware and create a default network service on the hardware, type “networksetup -detectnewhardware”. m To display the IP address, subnet mask, router, and Ethernet address for a particular network service, type “networksetup -getinfo ”. 564 Chapter 17 Configuring TCP/IP Settings You can use networksetup to configure TCP/IP settings: m To specify a manual configuration for a network service, type “networksetup -setmanual ”. m To set the TCP/IP configuration for a specified network service to use DHCP, type “networksetup -setdhcp [client id]”. m To specify an address to use for DHCP, type “networksetup -setmanualwithdhcprouter ”. m To set the TCP/IP configuration for the specified network service to use BOOTP, type “networksetup -setbootp ”. Configuring DNS Servers and Search Domains You can use networksetup to specify how you want network services to use Domain Name System (DNS): m To specify the IP addresses of servers you want a network service to use to resolve domain names, type “networksetup -setdnsservers [dns server2] [...]”. To clear all entries for the network service, type “empty” in place of a DNS server name. m Type “networksetup -setsearchdomains [domain2] [...]” to designate the search domain for the network service. To clear all search domain entries for the network service, type “empty” in place of the domain name. Managing Network Services You can use networksetup to create or rename network services, turn them on or off, remove them, and change the order in which they’re contacted. This application is also useful for displaying the names of hardware ports: m To display all hardware port names, type “networksetup -listallhardwareports”. m To create a new network service on a port, type “networksetup -createnetworkservice ”. m To duplicate an existing network service, type “networksetup -duplicatenetworkservice ”. m To rename a network service, type “networksetup -renamenetworkservice ”. m To delete a network service, type “networksetup -removenetworkservice ”. If there is only one network service for a port, you can’t delete it using this option. Instead, use -setnetworkserviceenabled to turn a network service off. m To turn a network service on, type “networksetup -setnetworkserviceenabled on”.Tools for Advanced Users 565 m To turn AppleTalk on, type “networksetup -setappletalk on”. m To turn passive FTP on, type “networksetup -setpassiveftp on”. m To set the order in which network services are contacted on a particular port, type “networksetup -ordernetworkservices [...]”. Designating Proxy Servers You can use networksetup to designate servers to be used as proxies for some services: m To set up proxy servers, use these networksetup commands: -setftpproxy -setwebproxy -setsecurewebproxy -setstreamingproxy -setgopherproxy -setsocksfirewallproxy m To enable or disable the proxy settings, use these networksetup commands: -setftpproxystate -setwebproxystate -setsecurewebproxystate -setstreamingproxystate -setgopherproxystate -setsocksfirewallproxystate m To designate bypass domains that you want to use for a network service, type “networksetup -setproxybypassdomains [...]”. To clear all bypass domain entries for the network service, type “empty” in place of a domain name. MySQL Manager You use MySQL Manager to manage the version of MySQL that is installed with Mac OS X Server. MySQL provides a relational database management system for hosting information you want to make available and manage using a Web site. It lets you m initialize the MySQL database m start the MySQL process and make sure it starts automatically when the server restarts m shut down the MySQL process and keep it from starting when the server restarts You’ll find MySQL Manager in /Applications/Utilities/MySQL Manager.app. 566 Chapter 17 Simple Network Management Protocol (SNMP) Tools SNMP is a set of standard protocols used to manage and monitor multiplatform computer network devices. SNMP uses agents to contact network devices such as routers and servers. SNMP interacts with these devices using virtual databases known as management information bases (MIBs). Vendors provide MIBs that describe their devices so that they can be monitored using SNMP applications. Mac OS X Server comes with a MIB that lets you use SNMP tools to view a server’s system and network usage statistics. To use SNMP on your server, use a graphical browser (not supplied with your server) or the SNMP command-line tool available in /usr/sbin. SNMP support in Mac OS X Server is turned off by default. To turn it on, use TextEdit or another application to edit the /etc/hostconfig file on the server. If you turn SNMP on, you should run the snmpconf command to enter site-specific information, such as system location and admin email address. Type “man snmpconf ” in a Terminal window to learn about snmpconf. You can find SNMP information and tools on the Net-SNMP Home Page, located at www.net-snmp.com diskKeyFinder You can use the diskKeyFinder tool to verify the physical location of a remote headless server volume that you want to manage. When you specify the bsd file system name for a volume using diskKeyFinder, you’ll see the drive bay where the volume is located (for example, Bay 2). To find the bsd file system name of a volume, log in to the server using SSH and type “df -l”. The output from this command shows the bsd file name and volume path. For example: Filesystem Mounted On /dev/disk0s13 / /dev/disk0s9 /Volumes/Spare3 /dev/disk0s10 /Volumes/Holding /dev/disk0s11 /Volumes/Spare1 /dev/disk0s12 /Volumes/Spare2 In this example, disk0 has five partitions (also known as slices) named 9, 10, 11, 12, and 13. If you want to know the physical location of partition 10, type “/System/Library/ServerSetup/ diskKeyFinder /dev/disk0s10”. The tool returns the drive bay number where the volume is located. Headless server drive bays are numbered in ascending order from left to right. Tools for Advanced Users 567 Enabling IP Failover IP failover allows a secondary server to acquire the IP address of a primary server if the primary server ceases to function. Once the primary server returns to normal operation, the secondary server relinquishes the IP address. This allows your Web site to remain available on the network even if the primary server is temporarily offline. Note: IP failover only allows a secondary server to acquire a primary server’s IP address. You need additional software tools such as rsync to provide capabilities such as mirroring the primary server’s data on the secondary server. See rsync’s man pages for more information. Requirements IP failover is not a complete solution, rather one tool you can use to increase your server’s availability to your clients. In order to use IP failover you will need to set up the following hardware and software. Hardware IP failover requires the following hardware setup: m primary server m secondary server m public network (servers must be on same subnet) m private network between the servers (additional network interface card) See “Setting Up a Private TCP/IP Network” on page 523 for more information on private networks. Note: Because IP failover uses broadcast messages, both servers must have IP addresses on the same subnet of the public network. In addition, both servers must have IP addresses on the same subnet of the private network. Software IP failover requires the following software setup: m unique IP addresses for each network interface (public and private) m software to mirror primary server data to secondary server m scripts to control failover behavior on secondary server (optional) Failover Operation When IP failover is active, the primary server periodically broadcasts a brief message confirming normal operation on both the public and private networks. This message is monitored by the secondary server. m If the broadcast is interrupted on both public and private networks, the secondary server initiates the failover process.m If status messages are interrupted on only one network, the secondary server sends email notification of a network anomaly, but does not acquire the primary server’s IP address. Email notification is sent when the secondary server detects a failover condition, a network anomaly, and when the IP address is relinquished back to the primary server. Normal operation and failover operation are illustrated in the following two diagrams. Crossover Cable en1 en1 en0 en0 100.0.0.10 100.0.0.11 10.0.0.1 10.0.0.2 Primary server (Web server) Secondary server (mirrors primary content, but not running Web server software) Normal Operation Network Hub Failover Operation en0 en1 en1 en0 100.0.0.10 100.0.0.10 and 100.0.0.11) 10.0.0.1 10.0.0.2 Primary server (Web server) Secondary server (acquires primary IP address and starts Web server software) Network HubTools for Advanced Users 569 Enabling IP Failover You enable IP failover by adding command lines to the file /etc/hostconfig on the primary and the secondary server. Be sure to enter these lines exactly as shown with regard to spaces and punctuation marks. To enable IP failover: 1 At the primary server, add the following line to /etc/hostconfig: FAILOVER_BCAST_IPS=”10.0.0.255 100.0.255.255” Substitute the broadcast addresses used on your server for the public and private networks. This tells the server to send broadcast messages over relevant network interfaces that the server at those IP addresses is functioning. 2 Restart the primary server so that your changes can take effect. 3 At the secondary server, add the following lines to /etc/hostconfig: FAILOVER_PEER_IP=”10.0.0.1” FAILOVER_PEER_IP_PAIRS=”en0:100.0.0.10” FAILOVER_EMAIL_RECIPIENT=”admin@example.com” In the first line substitute the IP address of the primary server on the private network. In the second line enter the local network interface that should adopt the primary server’s public IP address, a colon, then the primary server’s public IP address. (Optional) In the third line, enter the email address for notification messages regarding the primary server status. If this line is omitted, email notifications are sent to the root account on the local machine. 4 Restart the secondary server so that your changes can take effect. Configuring IP Failover You configure failover behavior using scripts. The scripts must be executable (for example, shell scripts, Perl, compiled C code, or executable AppleScripts). You place these scripts in a directory named “IPFailover” in the Library directory of the secondary server. Check the IPFailover directory for sample scripts. You need to create a directory named with the public IP address of the primary server to contain the failover scripts for that server. For example: /Library/IPFailover/100.0.0.10 Important Always be sure that the primary server is up and functioning normally before you activate IP failover on the secondary server. If the primary server is not sending broadcast messages, the secondary server will initiate the failover process and acquire the primary’s public IP address.570 Chapter 17 Notification Only You can use a script named “Test” located in the failover scripts directory to control whether, in the event of a failover condition, the secondary server acquires the primary’s IP address, or simply sends an email notification. If no script exists, or if the script returns a zero result, then the secondary server acquires the primary’s IP address. If the script returns a non-zero result, then the secondary server skips IP address acquisition and only sends email notification of the failover condition. The test script is run to determine whether the IP address should be acquired and to determine if the IP address should be relinquished when the primary server returns to service. A simple way to set up this notification-only mode is to copy the script located at /usr/bin/false to the directory named with your primary server IP address and then change the name of the script to “Test”. This script always returns a non-zero result. Using the Test script, you can configure the primary server to monitor the secondary server, and send email notification if the secondary server becomes unavailable. Pre And Post Scripts You can configure the failover process with scripts that can run before acquiring the primary IP address (preacquisition), after acquiring the IP address (postacquisition), before relinquishing the primary IP address (prerelinquish) and after relinquishing the IP address back to the primary server (postrelinquish). These scripts reside in the /Library/IPFailover/ directory on the secondary server, as previously discussed. The scripts use these four prefixes: m PreAcq–run before acquiring IP address from primary server m PostAcq–run after acquiring IP address from primary server m PreRel–run before relinquishing IP address back to primary server m PostRel–run after relinquishing IP address back to primary server You may have more than one script at each stage. The scripts in each prefix group are run in the order their file names would appear in a directory listing using the ls command. For example, your secondary server may perform other services on the network such as running a statistical analysis application and distributed image processing software. A preacquisition script quits the running applications to free up the CPU for the Web server. A postacquisition script starts the Web server. Once the primary is up and running again, a prerelinquish script quits the Web server, and a postrelinquish script starts the image processing and statistical analysis applications. The sequence of scripted events might look like this: Test (if present) PreAcq10.StopDIPTools for Advanced Users 571 PreAcq20.StopSA PreAcq30.CleanupTmp PostAcq10.StartTimer PostAcq20.StartApache PreRel10.StopApache PreRel20.StopTimer PostRel10.StartSA PostRel20.StartDIP PostRel30.MailTimerResultsToAdmin573 A P P E N D I X A A Open Directory Data Requirements This appendix contains tables that specify the data requirements of Open Directory domains. Use the information in the following tables when mapping Mac OS X data types to attributes in LDAP or Active Directory domains: m User Data That Mac OS X Server Uses (p. 573) m Standard Data Types in User Records (p. 574) m Format of the MailAttribute Data Type (p. 577) m Standard Data Types in Group Records (p. 580) User Data That Mac OS X Server Uses The following table describes how your Mac OS X Server uses data from user records in directory domains. Consult this table to determine the data items that your server’s various services need to retrieve from directory domains. Note that “All services” in the far-left column include AFP, SMB, FTP, HTTP, NFS, WebDAV, POP, IMAP, Workgroup Manager, Server Settings, Server Status, the Mac OS X login window, and Macintosh Manager. Server component Data item used Dependency All services RecordName Required for authentication All services RealName Required for authentication All services Password Required for authentication If the LDAP server contains a crypt password, it is retrieved and used for authentication. Otherwise, the LDAP server validates the password using the LDAP BIND command. All services UniqueID Required for authorization (for example, file permissions and mail accounts)574 Appendix A Standard Data Types in User Records The following table specifies the standard data types found in Open Directory user records. All services PrimaryGroupID Optional, but recommended. Used for authorization (for example, file permissions and mail accounts). FTP service Web service Apple file service NFS service Macintosh Manager Mac OS X login window Application and system preferences HomeDirectory NFSHomeDirectory Optional Mail service MailAttribute Required for login to mail service on your server Mail service EMailAddress Optional Server component Data item used Dependency Important When mapping attributes of a read/write directory domain (a domain that is not read-only), do not map the distinguished name and the first short name to the same data type. If these attributes are mapped to the same data type, serious problems will occur when you try to edit the distinguished name in Workgroup Manager. Data type Format Sample values RecordName: a list of names associated with a user; all attributes used for authentication must map to this data type ASCII characters A-Z, a-z, 0-9, _,-,. Dave David Mac DMacSmith Non-zero length, at least one instance. Maximum 255 characters (127 double-byte characters) per instance, 16 instances per record. RealName: a single name, usually the user’s full name; not used for authentication ASCII David L. MacSmith, Jr. Non-zero length, maximum 255 characters (127 double-byte characters).Open Directory Data Requirements 575 UniqueID: a unique user identifier, used for access privilege management Unsigned 32-bit ASCII string of digits 0–9 Range is 100 to 4,294,967,295. Values below 100 are typically used for system accounts. Zero is reserved for use by the system. Normally unique among entire population of users, but sometimes can be duplicated. Warning: A non-integer value is interpreted as 0, which is the UniqueID of the root user. Password: the user’s password UNIX crypt PrimaryGroupID: a user’s primary group association Unsigned 32-bit ASCII string of digits 0–9 Range is 1 to 4,294,967,295. Normally unique among entire population of group records. Comment: any documentation you like ASCII John is in charge of product marketing. UserShell: the location of the default shell for command-line interactions with the server Path name /bin/tcsh /bin/sh None (this value prevents users with accounts in the directory domain from accessing the server remotely via a command line) Non-zero length. AuthenticationHint: text set by the user to be displayed as a password reminder ASCII Your guess is as good as mine. Maximum 255 bytes. NFSHomeDirectory: local file system path to the user’s home directory ASCII /Network/Servers/example/Users/K-M/Tom King Non-zero length. Maximum 255 bytes. Picture: file path to a recognized graphic file to be used as a display picture for the user ASCII Maximum 255 bytes. Data type Format Sample values576 Appendix A MCXSettings: stores preferences for a managed user Mac OS X property list AuthenticationAuthority: an XML description of the user’s defined method for authentication. ASCII Values are used to describe SASL server authentication, Kerberos authentication, directory-based authentication, or crypt and replacement crypt authentication. Absence of this data type signifies legacy authentication/password management. MailAttribute: a user’s mail service configuration (refer to “Format of the MailAttribute Data Type” on page 577 for information on individual fields) Mac OS X property list kAttributeVersion Apple Mail 1.0 kAutoForwardValue user@example.com kIMAPLoginState IMAPAllowed kMailAccountLocation domain.example.com kMailAccountState Enabled kNotificationState NotificationStaticIP kNotificationStaticIPValue [1.2.3.4] kPOP3LoginState POP3Allowed kSeparateInboxState OneInbox kShowPOP3InboxInIMAP HidePOP3Inbox Data type Format Sample valuesOpen Directory Data Requirements 577 Format of the MailAttribute Data Type Ensure that each MailAttribute data type you configure your server to retrieve from an LDAP or Active Directory server is in the format described in the following table. If any field contains an incorrect value, the MailAttribute is ignored (in other words, treated as if MailAccountState were “Off ”). EMailAddress: an email address to which mail should be automatically forwarded when a user has no MailAttribute defined Any legal RFC 822 email address or a valid “mailto:” URL user@example.com mailto:user@example.com HomeDirectory: the location of an AFP-based home directory Mac OS X property list afp://server/sharepoint usershomedirectory In the following example, Tom King’s home directory is K-M/Tom King, which resides beneath the share point directory, Users: afp://example.com/Users K-M/Tom King Data type Format Sample values MailAttribute field Format Sample values AttributeVersion A required caseinsensitive value that must be set to “AppleMail 1.0.” kAttributeVersion AppleMail 1.0 MailAccountState A required caseinsensitive keyword describing the state of the user’s mail. It must be set to one of these values: “Off,” “Enabled,” or “Forward.” kMailAccountState Enabled578 Appendix A POP3LoginState A required caseinsensitive keyword indicating whether the user is allowed to access mail via POP. It must be set to one of these values: “POP3Allowed” or “POP3Deny.” kPOP3LoginState POP3Deny IMAPLoginState A required caseinsensitive keyword indicating whether the user is allowed to access mail using IMAP. It must be set to one of these values: “IMAPAllowed” or “IMAPDeny.” kIMAPLoginState IMAPAllowed MailAccountLocation A required value indicating the domain name or IP address of the Mac OS X Server responsible for storing the user’s mail. kMailAccountLocation domain.example.com AutoForwardValue A required field only if MailAccountState has the value “Forward.” The value must be a valid RFC 822 email address. kAutoForwardValue user@example.com NotificationState An optional keyword describing whether to notify the user whenever new mail arrives. If provided, it must be set to one of these values: “NotificationOff,” “NotificationLastIP,” or “NotificationStaticIP.” If this field is missing, “NotificationOff ” is assumed. kNotificationState NotificationOff MailAttribute field Format Sample valuesOpen Directory Data Requirements 579 NotificationStaticIPValue An optional IP address, in bracketed, dotted decimal format ([xxx.xxx.xxx.xxx]). If this field is missing, NotificationState is interpreted as “NotificationLastIP.” The field is used only when NotificationState has the value “NotificationStaticIP.” kNotificationStaticIPValue [1.2.3.4] SeparateInboxState An optional caseinsensitive keyword indicating whether the user manages POP and IMAP mail using different inboxes. If provided, it must be set to one of these values: “OneInbox” or “DualInbox.” If this value is missing, the value “OneInbox” is assumed. kSeparateInboxState OneInbox ShowPOP3InboxInIMAP An optional caseinsensitive keyword indicating whether POP messages are displayed in the user’s IMAP folder list. If provided, it must be set to one of these values: “ShowPOP3Inbo x” or “HidePOP3Inbox.” If this field is missing, the value ShowPOP3Inbox is assumed. kShowPOP3InboxInIMAP HidePOP3Inbox MailAttribute field Format Sample values580 Appendix A Standard Data Types in Group Records The following table specifies the standard data types found in Open Directory group records. Data type Format Sample values RecordName: name associated with a group ASCII characters A-Z, a-z, 0-9, _,-,. Science Science_Dept Science.Teachers Non-zero length, maximum 255 characters (127 double-byte characters). RealName: usually the group’s full name ASCII Science Department Teachers Non-zero length, maximum 255 characters (127 double-byte characters). PrimaryGroupID: a user’s primary group association Unsigned 32-bit ASCII string of digits 0–9 Range is 0 to 4,294,967,295. Normally unique among entire population of group records. GroupMembership: a list of short names of user records that are considered part of the group ASCII characters A-Z, a-z, 0-9, _,-,. bsmith, jdoe Can be an empty list (normally for users primary group). HomeDirectory: the location of an AFP-based home directory for the group Mac OS X property list afp://server/sharepoint grouphomedirectory In the following example, the Science group’s home directory is K-M/Science, which resides beneath the share point directory, Groups: afp://example.com/Groups K-M/Science MCXSettings: stores preferences for a workgroup (a managed group) Mac OS X property list581 Glossary This glossary defines terms and spells out abbreviations you may encounter while working with online help or the “Mac OS X Server Administrator’s Guide.” References to terms defined elsewhere in the glossary appear in italics. A, B administrator A user with server or directory domain administration privileges. Administrators are always members of the predefined “admin” group. administrator computer A Mac OS X computer onto which you have installed the server applications from the Mac OS X Server Admin CD. AFP (Apple Filing Protocol) A client/server protocol used by Apple file service on Macintosh-compatible computers to share files and network services. AFP uses TCP/IP and other protocols to communicate between computers on a network. authentication authority attribute A value that identifies the password validation scheme specified for a user and provides additional information as required. BIND (Berkeley Internet Name Domain) The program included with Mac OS X Server that implements DNS. The program is also called the name daemon, or named, when the program is running. boot ROM Low-level instructions used by a computer in the first stages of starting up. BSD (Berkeley System Distribution) A version of UNIX on which Mac OS X software is based. C canonical name The “real” name of a server when you’ve given it a “nickname” or alias. For example, mail.apple.com might have a canonical name of MailSrv473.apple.com.582 Glossary CGI (Common Gateway Interface) A script or program that adds dynamic functions to a Web site. A CGI sends information back and forth between a Web site and an application that provides a service for the site. For example, if a user fills out a form on the site, a CGI could send the message to an application that processes the data and sends a response back to the user. child A computer that gets configuration information from the shared directory domain of a parent. computer account A list of computers that have the same preference settings and are available to the same users and groups. D, E DHCP (Dynamic Host Configuration Protocol) A protocol used to distribute IP addresses to client computers. Each time a client computer starts up, the protocol looks for a DHCP server and then requests an IP address from the DHCP server it finds. The DHCP server checks for an available IP address and sends it to the client computer along with a lease period—the length of time the client computer may use the address. directory domain A specialized database that stores authoritative information about users and network resources; the information is needed by system software and applications. The database is optimized to handle many requests for information and to find and retrieve information quickly. Also called a directory node or simply a directory. directory domain hierarchy A way of organizing local and shared directory domains. A hierarchy has an inverted tree structure, with a root domain at the top and local domains at the bottom. directory node See directory domain. directory services Services that provide system software and applications with uniform access to directory domains and other sources of information about users and resources. disk image A file that when opened (using Disk Copy) creates an icon on a Mac OS desktop that looks and acts like an actual disk or volume. Using NetBoot, client computers can start up over the network from a server-based disk image that contains system software. DNS (Domain Name System) A distributed database that maps IP addresses to domain names. A DNS server, also known as a name server, keeps a list of names and the IP addresses associated with each name. drop box A shared folder with privileges that allow other users to write to, but not read, the folder’s contents. Only the owner has full access. Drop boxes should only be created using AFP. When a folder is shared using AFP, the ownership of an item written to the folder is automatically transferred to the owner of the folder, thus giving the owner of a drop box full access to and control over items put into it.Glossary 583 dynamic IP address An IP address that is assigned for a limited period of time or until the client computer no longer needs the IP address. everyone Any user who can log in to a file server: a registered user or guest, an anonymous FTP user, or a Web site visitor. export The Network File System (NFS) term for sharing. F, G filter A “screening” method used to control access to your server. A filter is made up of an IP address and a subnet mask, and sometimes a port number and access type. The IP address and the subnet mask together determine the range of IP addresses to which the filter applies. firewall Software that protects the network applications running on your server. IP Firewall service, which is part of Mac OS X Server software, scans incoming IP packets and rejects or accepts these packets based on a set of filters you create. FTP (File Transfer Protocol) A protocol that allows computers to transfer files over a network. FTP clients using any operating system that supports FTP can connect to a file server and download files, depending on their access privileges. Most Internet browsers and a number of freeware applications can be used to access an FTP server. group A collection of users who have similar needs. Groups simplify the administration of shared resources. group directory A directory that organizes documents and applications of special interest to group members and allows group members to pass information back and forth among them. guest computer An unknown computer that is not included in a computer account on your server. guest user A user who can log in to your server without a user name or password. H home directory A folder for a user’s personal use. Mac OS X also uses the home directory, for example, to store system preferences and managed user settings for MacOS X users. HTML (Hypertext Markup Language) The set of symbols or codes inserted in a file to be displayed on a World Wide Web browser page. The markup tells the Web browser how to display a Web page’s words and images for the user. HTTP (Hypertext Transfer Protocol) An application protocol that defines the set of rules for linking and exchanging files on the World Wide Web.584 Glossary I, J, K IANA (Internet Assigned Numbers Authority) An organization responsible for allocating IP addresses, assigning protocol parameters, and managing domain names. ICMP (Internet Control Message Protocol) A message control and error-reporting protocol used between host servers and gateways. For example, some Internet software applications use ICMP to send a packet on a round-trip between two hosts to determine round-trip times and discover problems on the network. idle user A user who is connected to the server but hasn’t used the server volume for a period of time. IGMP (Internet Group Management Protocol) An Internet protocol used by hosts and routers to send packets to lists of hosts that want to participate, in a process known as multicasting. QuickTime Streaming Server (QTSS) uses multicast addressing, as does Service Location Protocol (SLP). IMAP (Internet Message Access Protocol) A client-server mail protocol that allows users to access their mail from anywhere on the Internet. Mail remains on the server until the user deletes it. IP (Internet Protocol) A method used with Transmission Control Protocol (TCP) to send data between computers over a local network or the Internet. IP delivers packets of data, while TCP keeps track of data packets. ISP (Internet service provider) A business that sells Internet access and often provides Web hosting for ecommerce applications as well as mail services. L LDAP (Lightweight Directory Access Protocol) A standard client-server protocol for accessing a directory domain. lease period A limited period of time during which IP addresses are assigned. By using short leases, DHCP can reassign IP addresses on networks that have more computers than available IP addresses. load balancing The process of distributing the demands by client computers for network services across multiple servers in order to optimize performance by fully utilizing the capacity of all available servers. local domain A directory domain that can be accessed only by the computer on which it resides. local home directory A home directory for a user whose account resides in a local NetInfo or LDAPv3 directory domain. long name See user name. LPR (Line Printer Remote) A standard protocol for printing over TCP/IP.Glossary 585 M mail host The computer that provides your mail service. managed client A user, group, or computer whose access privileges and/or preferences are under administrative control. managed preferences System or application preferences that are under administrative control. Server Manager allows administrators to control settings for certain system preferences for Mac OS X managed clients. Macintosh Manager allows administrators to control both system preferences and application preferences for Mac OS 9 and Mac OS 8 managed clients. MBONE (multicast backbone) A virtual network that supports IP multicasting. An MBONE network uses the same physical media as the Internet, but is designed to repackage multicast data packets so they appear to be unicast data packets. MIBS (management information bases) Virtual databases that allow various devices to be monitored using SNMP applications. MIME (Multipurpose Internet Mail Extension) An Internet standard for specifying what happens when a Web browser requests a file with certain characteristics. A file’s suffix describes the type of file it is. You determine how you want the server to respond when it receives files with certain suffixes. Each suffix and its associated response make up a MIME type mapping. MTA (mail transfer agent) A mail service that sends outgoing mail, receives incoming mail for local recipients, and forwards incoming mail of nonlocal recipients to other MTAs. multihoming The ability to support multiple network connections. When more than one connection is available, Mac OS X selects the best connection according to the order specified in Network preferences. MX record (mail exchange record) An entry in a DNS table that specifies which computer manages mail for an Internet domain. When a mail server has mail to deliver to an Internet domain, the mail server requests the MX record for the domain. The server sends the mail to the computer specified in the MX record. N name server See DNS (Domain Name System). NetBIOS (Network Basic Input/Output System) A program that allows applications on different computers to communicate within a local area network. NetBoot server A Mac OS X server on which you have installed NetBoot software and have configured to allow clients to start up from disk images on the server. NetInfo The Apple protocol for accessing a directory domain.586 Glossary Network File System (NFS) A client/server protocol that uses TCP/IP to allow remote users to access files as though they were local. NFS exports shared volumes to computers according to IP address, rather than user name and password. network installation The process of installing systems and software on Mac OS X client computers over the network. Software installation can occur with an administrator attending the installations or completely unattended. nfsd daemon An NFS server process that runs continuously behind the scenes and processes reading and writing requests from clients. The more daemons that are available, the more concurrent clients can be served. NSL (Network Service Locator) The Apple technology that simplifies the search for TCP/IP-based network resources. O Open Directory The Apple directory services architecture, which can access authoritative information about users and network resources from directory domains that use LDAP, NetInfo, or Active Directory protocols; BSD configuration files; and network services. open relay A server that receives and automatically forwards mail to another server. Junk mail senders exploit open relay servers to avoid having their own mail servers blacklisted as sources of spam. ORBS (Open Relay Behavior-modification System) An Internet service that blacklists mail servers known to be or suspected of being open relays for senders of junk mail. ORBS servers are also known as “black-hole” servers. owner The person who created a file or folder and who therefore has the ability to assign access privileges for other users. The owner of an item automatically has read and write privileges for an item. An owner can also transfer ownership of an item to another user. P, Q parent A computer whose shared directory domain provides configuration information to another computer. percent symbol (%) The command-line prompt in the Terminal application. The prompt indicates that you can enter a command. PHP (PHP: Hypertext Preprocessor) A scripting language embedded in HTML that is used to create dynamic Web pages. POP (Post Office Protocol) A protocol for retrieving incoming mail. After a user retrieves POP mail, it is stored on the user’s computer and usually is deleted automatically from the mail server. predefined accounts User accounts that are created automatically when you install Mac OS X. Some group accounts are also predefined. Glossary 587 preferences cache A storage place for computer preferences and preferences for groups associated with that computer. Cached preferences help you manage local user accounts on portable computers. presets Initial default attributes you specify for new accounts you create using Server Manager. You can use presets only during account creation. primary group A user’s default group. The file system uses the ID of the primary group when a user accesses a file he or she doesn’t own. primary group ID A unique number that identifies a primary group. privileges Settings that define the kind of access users have to shared items. You can assign four types of privileges to a share point, folder, or file: read and write, read only, write only, and none (no access). proxy server A server that sits between a client application, such as a Web browser, and a real server. The proxy server intercepts all requests to the real server to see if it can fulfill the requests itself. If not, it forwards the request to the real server. QTSS (QuickTime Streaming Server) A technology that lets you deliver media over the Internet in real time. R realm See WebDAV realm. relay point See open relay. Rendezvous A protocol developed by Apple for automatic discovery of computers, devices, and services on IP networks. RTP (Real-Time Transport Protocol) An end-to-end network-transport protocol suitable for applications transmitting real-time data (such as audio, video, or simulation data) over multicast or unicast network services. RTSP (Real Time Streaming Protocol) An application-level protocol for controlling the delivery of data with real-time properties. RTSP provides an extensible framework to enable controlled, on-demand delivery of real-time data, such as audio and video. Sources of data can include both live data feeds and stored clips. S scope A group of services. A scope can be a logical grouping of computers, such as all computers used by the production department, or a physical grouping, such as all computers located on the first floor. You can define a scope as part or all of your network. SDP (Session Description Protocol) A file used with QuickTime Streaming Server that provides information about the format, timing, and authorship of a live streaming broadcast. search path See search policy.588 Glossary search policy A list of directory domains searched by a Mac OS X computer when it needs configuration information; also the order in which domains are searched. Sometimes called a search path. shadow image A file, hidden from regular system and application software, used by NetBoot to write system-related information while a client computer is running off a serverbased system disk image. share point A folder, hard disk (or hard disk partition), or CD that is accessible over the network. A share point is the point of access at the top level of a group of shared items. Share points can be shared using AFP, Windows SMB, NFS (an “export”), or FTP protocols. short name An abbreviated name for a user. The short name is used by Mac OS X for home directories, authentication, and email addresses. Simplified Finder A user environment featuring panels and large icons that provide novice users with an easy-to-navigate interface. Mounted volumes or media to which users are allowed access appear on panels instead of on the standard desktop. SLP (Service Location Protocol) DA (Directory Agent) A protocol that registers services available on a network and gives users easy access to them. When a service is added to the network, the service uses SLP to register itself on the network. SLP/DA uses a centralized repository for registered network services. SMB (Server Message Block) A protocol that allows client computers to access files and network services. It can be used over TCP/IP, the Internet, and other network protocols. Windows services use SMB to provide access to servers, printers, and other network resources. SMTP (Simple Mail Transfer Protocol) A protocol used to send and transfer mail. Its ability to queue incoming messages is limited, so SMTP usually is used only to send mail, and POP or IMAP is used to receive mail. SNMP (Simple Network Management Protocol) A set of standard protocols used to manage and monitor multiplatform computer network devices. spam Unsolicited email; junk mail. SSL (Secure Sockets Layer) An Internet protocol that allows you to send encrypted, authenticated information across the Internet. static IP address An IP address that is assigned to a computer or device once and is never changed. subnet A grouping on the same network of client computers that are organized by location (different floors of a building, for example) or by usage (all eighth-grade students, for example). The use of subnets simplifies administration. System-less clients Computers that do not nave operating systems installed on their local hard disks. System-less computers can start up from a disk image on a NetBoot server.Glossary 589 T TCP (Transmission Control Protocol) A method used along with the Internet Protocol (IP) to send data in the form of message units between computers over the Internet. IP takes care of handling the actual delivery of the data, and TCP takes care of keeping track of the individual units of data (called packets) into which a message is divided for efficient routing through the Internet. Tomcat The official reference implementation for Java Servlet 2.2 and JavaServer Pages 1.1, two complementary technologies developed under the Java Community Process. TTL (time-to-live) The specified length of time that DNS information is stored in a cache. When a domain name–IP address pair has been cached longer than the TTL value, the entry is deleted from the name server’s cache (but not from the primary DNS server). U UDP (User Datagram Protocol) A communications method that uses the Internet Protocol (IP) to send a data unit (called a datagram) from one computer to another in a network. Network applications that have very small data units to exchange may use UDP rather than TCP. UID (user ID) A number that uniquely identifies a user. Mac OS X computers use the UID to keep track of a user’s directory and file ownership. Unicode A standard that assigns a unique number to every character, regardless of language or the operating system used to display the language. URL (Uniform Resource Locator) The address of a computer, file, or resource that can be accessed on a local network or the Internet. The URL is made up of the name of the protocol needed to access the resource, a domain name that identifies a specific computer on the Internet, and a hierarchical description of a file location on the computer. USB (Universal Serial Bus) A standard for communicating between a computer and external peripherals using an inexpensive direct-connect cable. user name The long name for a user, sometimes referred to as the user’s “real” name. See also short name. V virtual user An alternate email address (short name) for a user. VPN (Virtual Private Network) A network that uses encryption and other technologies to provide secure communications over a public network, typically the Internet. VPNs are generally cheaper than real private networks using private lines but rely on having the same encryption system at both ends. The encryption may be performed by firewall software or by routers.590 Glossary W WebDAV (Web-based Distributed Authoring and Versioning) A live authoring environment that allows client users to check out Web pages, make changes, and then check them back in while a site is running. WebDAV realm A region of a Website, usually a folder or directory, that is defined to provide access for WebDAV users and groups. wildcard A range of possible values for any segment of an IP address. WINS (Windows Internet Naming Service) A name resolution service used by Windows computers to match client names with IP addresses. A WINS server can be located on the local network or externally on the Internet. workgroup A set of users for whom you define preferences and privileges as a group. Any preferences you define for a group are stored in the group account. X, Y, Z591 Index A access logs 227 access privileges about 124, 205 administrator 206 copying 217 directory services and 71 everyone 207 explicit vs. inherited 206, 207 group 206 guests 210 guest users 129 hierarchy 207 managing share points 217 of administrators 125 owner 206 restricting 222 role of group ID 125 role of UID in 124, 125 security guidelines 222 setting for WebDAV 339 setting in AppleShare client software 219 setting in Windows 219 setting share points 211 user categories 206 Web sites 340, 342 accounts Guest Computers 277 managing preferences, Mac OS X 282 Active Directory ADSI (Active Directory Services Interface) 104 configuring 104–105 creating server configuration 104 directory service protocol 74 Open Directory support 104 populating domains with data 105 search policies and 105 adding users to groups 148 admin group 125, 129, 131 administration planning 92 remote 58 administrative data how used by server 573 mapping 573–580 administrative data. See directory domains administrator access privileges 206 access to mail database 394 choosing for directory services 92 defined 581 modifying account 137 passwords 137 administrator accounts backing up 202 administrator computer defined 58, 581 administrator privileges directory domain 126, 145 local computer 126 server 145 server administration 125 AFP defined 581 home directories in 165592 Index AFP (Apple Filing Protocol) 224 AirPort base stations DHCP service and 477 All Other Computers account 429, 452 All Other Users account 429, 430 anonymous FTP 249 Anonymous FTP User predefined account 130 Apache 365 Apache modules 365–367 Apache Web server configuration 338 resources 64 APOP (Authenticated POP) 384 Apple Fileing Protocol (AFP) setting up sharing 212 Apple file server 530 Apple file service access log 232 Access settings 226 allowing guest access 234 archiving logs 233 automatically disconnecting idle users 234 automounting share point in Mac OS X 260 automounting share point on Mac OS 8 or 9 client 261 changing language 418 changing server name 231 configuring 225 connecting to server in Mac OS 8 and 9 261 connecting to server in Mac OS X 259 described 221 enabling AppleTalk browsing 232 features 224 General settings 225 Idle Users settings 228 limiting connections 232 Logging settings 227 login greeting 234 Mac OS 8 and 9 client software requirements 260 Mac OS X client software requirements 259 monitoring 229 planning 225 problems with 263 registering with NSL 231 sending users messages 235 solving problems 263 specifications 224 starting 229 starting automatically 231 stopping 230 viewing logs 230 Apple file services See also Apple Filing Protocol (AFP) Apple Filing Protocol (AFP) defined 581 home directories in 160 key features of 49 Macintosh Manager 446 resharing NFS mounts in 215 AppleShare 263 AppleShare IP 6.3 AFP compared to 224 AppleTalk 224, 226, 263 enabling and disabling for Open Directory 93 file service protocol 72 attributes, directory domain about 71 adding 102 mapping LDAPv3 101 attributes list 550 authentication Apple file service 224 directory data and 70 FTP service 254 Kerberos 224, 248, 254 mail service 381, 384, 385, 389 NFS service 222 Password Server 88 planning 91 protocols supported 88 search policy 94 solving problems 203 Windows services 236 authentication authority attribute 192 defined 581 Authentication Manager 237, 264 backing up 119 automatic search policy See also search policiesIndex 593 about 83 adding Active Directory server to 105 adding LDAPv2 server to 107 adding LDAPv3 server to 99, 100 LDAPv3 mappings supplied by 103 using 95 automounting directory services and 71 share points 207 available directory domains listing accounts in 174 B backing up directory services 119 Password Server 201 root and administrator user accounts 202 BCC 382 Berkeley Internet Name Domain (BIND) defined 581 Berkeley System Distribution (BSD) defined 581 .bin (MacBinary) format 247 bin (predefined group account) 131 BIND 515, 516, 518, 520–523 about 520 configuration File 520 configuring 520–523 defined 520, 581 example 521–523 load distribution 523 zone data files 521 binding configuring NetInfo 111 kinds of NetInfo 111 machine records for 113 black-hole servers 375 blind carbon copies 382 BootP protocol 476 boot ROM defined 581 Boot Server Discovery Protocol (BSDP) 491 broadcast binding, configuring Netinfo 112 BSD defined 581 BSD configuration files DSFFPlugin.plist file for 115 enabling and disabling 93 history of 67 mapping data 115 Open Directory and 74, 115 populating with data 118 bsdpd_client 493 C CA certificate 361 cache. See proxy cache canonical name defined 581 capacity planning NetBoot 488 certificate file 361–363 CGI defined 582 CGI programs problems with 364 CGI scripts enabling 354–355 installing 354 solving problems 364 child computer defined 582 child NetInfo domain 110 Chooser setting up printing via AppleTalk 324 Classic installing on Mac OS X disk image 497 client computers customizing 45, 52 encoding for older clients 226 installing software over the network 509 SLP DA service 546 startup up using N key 507 system requirements 488 client computers (Mac OS 8 and 9) using Apple file service 260 client computers (Mac OS X) using Apple file service 259 client computers ( Windows) using file services 261594 Index using Windows services 262 client computers, Mac OS 8 and 9 setting up printing 324 client computers, Mac OS 9 selecting NetBoot startup image 506 client computers, Mac OS X selecting NetBoot startup image 506 setting up printing 323 client computers, UNIX print service 325 client computers, Windows print service 325 client management, Mac OS 9 and 8 411 See also Macintosh Manager about 411 access privileges 440 administrator computer requirements 415 application settings 457 benefits of 414 client computer requirements 414 copying Mac OS 8 preferences 464 guest access 429 making items available to users 438, 440 Managed Preferences folder 466 managing portable computers 461 media access 465 more information 473 mounting volumes 446 planning 414 printing 448 setting access privileges 442 setting login options 460 setting up administration computer 416 setting up computer lists 451 setting up Mac OS 9 client computers 416, 417 setting up printing 447 setting up workgroups 436, 438 setup overview 424 sharing information 443, 444 solving problems 470, 471, 472 transition strategies 412 upgrading 412 user experience 412 using NetBoot 423 using update package 417 client management, Mac OS X See also Workgroup Manager 267 about 267 administrator computer requirements 269 administrators 270 benefits of 269 client computer requirements 269 computer accounts 271, 272 group accounts 271 guest computers 277 managing preferences 282 planning 269 presets 273 transition strategies 268 user accounts 270 user experience 268 code page 238 command-line tools. See Terminal Common Gateway Interface (CGI) defined 582 compressed files 247 computer accounts about 128 adding to 274 changing information 274 creating 272 defined 582 deleting 276 deleting computers from 275 Guest Computer 277 moving computers between 275 presets 273 searching for 276 computer accounts, Mac OS 9 and 8. See Macintosh Manager computer list, Mac OS 9 and 8 425 computer list, Mac OS X. See computer accounts computer lists, Mac OS 9 and 8 See also Macintosh Manager computer preferences managing, Mac OS X 286 computers, Mac OS X controlling access to 278 configuration files. See BSD configuration filesIndex 595 Configure Web Service window 342 CRAM-MD5 385, 389 cross-platform issues for file service 236 CSR (certificate signing request) 361–362 custom FTP root 253 custom root in FTP 248 D daemon (predefined group account) 131 database directory domain 66 mail service 373 Password Server 88 data types group records 580 MailAttribute 577–579 user records 574–577 Desktop Printer Utility setting up LPR printing 324 DHCP about 54 defined 582 DHCP servers 476 interactions 477 network location 476 DHCP service 475–484 AirPort base stations 477 automatic search policy and 84 deleting subnets 480 described 475 DNS options for subnets 482 DNS Server for DHCP Clients 479 LDAP auto-configuration 477 LDAP server for DHCP clients 479 logs 480, 483 logs for 478 managing 478–484 managing subnets 481–483 monitoring clients 481 more information 484 NetInfo binding 112 NetInfo options for subnets 482 planning 475–477 preparing for setup 475–477 setting up 477–478 solving Problems 484 starting 478 stopping 478 subnet IP addresses lease times, changing 480 subnets 476 subnets, creating 481 uses for 475 viewing client lists 483 dialer (predefined group account) 131 Directory Access application 59 Active Directory server, adding 104 automatic search policy, using 95 BSD configuration files, mapping 116 custom search policies, defining 96 enabling and disabling protocols 94 LDAPv2 106–110 LDAPv2 access, changing 107 LDAPv2 configuration, adding 106 LDAPv2 search bases and data mapping, editing 108 LDAPv3 97–103 LDAPv3 access via DHCP 97 LDAPv3 configuration, adding 98 LDAPv3 configuration, changing 99 LDAPv3 configuration, deleting 100 LDAPv3 configuration, duplicating 99 LDAPv3 configurations, showing and hiding 97 LDAPv3 connections, changing 100 LDAPv3 search bases and mappings, editing 101 local domain search policy 96 NetInfo binding, configuring 112 remote administration 118 search policies 94–96 Directory Agent (DA) 547 directory domain defined 582 user accounts in 122 directory domain hierarchies about 78–84 data visibility in 81, 86 examples 79–80, 81 NetInfo 110, 111596 Index planning 82, 85–87, 91 search policies for 82–84 directory domain hierarchy defined 582 directory domains See also BSD configuration files, LDAPv2, LDAPv3, local directory domains, NetInfo, shared directory domains about 73 administrative data in 86 defined 45 information storage in 66, 71 limiting users in 91 mail service configuration in 376 security 87 simplifying changes to 86 tools for managing 89 user accounts in 66–67 directory node defined 582 directory services See also Open Directory about 47 administrators for 92 authentication 67 backing up 119 benefits of 65 defined 45, 582 information storage in 65 logs 119 network role of 66 planning 90, 91 setup overview 90 status 119 tools summary 89 disconnect messages 229 disk images 485, 492 disk images, Network Install creating 511 enabling 514 diskKeyFinder 566 disk space monitoring 555 reclaiming logs’ use of 555 diskspacemonitor 556 diskutil 557 DNS (Domain Name System) defined 582 Rendezvous 72 DNS server default for DHCP 479 DNS servers 516 DNS service 515–524 A records 396 configuring BIND 520–523 described 515 junk mail prevention with 375, 399 load distribution 523 mail service and 372, 377 managing 518–520 more information 524 MX records 372, 377, 381, 396 planning 516–517 preparing for setup 516 problems with 264 reverse lookups 396 setting up 517 setup overview 517–518 starting 518, 519 stopping 518 strategies 516–517 usage statistics 519 uses for 515 with mail service 516 Documents folder 341 domain browsing services 240 domain names registering 517 Domain Name System (DNS) about 54 defined 582 DoS (Denial of Service) attacks preventing 537 DOS prompt 264 drop box 205 defined 582 DSFFPlugin.plist file 115 dsimportexport 555 exporting users and groups 184 export parameters 184Index 597 importing users and groups 181 import parameters 181 status information and logs 179 Dynamic Host Configuration Protocol. See DHCP dynamic IP address defined 583 dynamic IP addresses 476 E eMac 487 email client software 406 email service. See mail service enabling 346 error logs 228, 233 Ethernet networks 488 Ethernet ports 489, 502 everyone access privileges 207 defined 583 explicit privileges 206 export defined 583 extensions, filename 248 F file compression 247–248 file name extensions 248 files compressed 247 conversion in FTP 247–248 file services See also Apple Filing Protocol (AFP), Windows service, Network File System (NFS) service, File Transfer Protocol (FTP) applications for 221 more information 265 options 48 planning 221–223 security guidelines 222 setup overview 223 types of 221 file sharing about 48 key features of 44 organizing 210 planning 209–211 security 210 setup overview 208–209 File Transfer Protocol (FTP) 247–248 about 50, 244 anonymous FTP 249 connections 264 custom root 248 defined 583 guest access 249 planning 248–249 security of 244 setting up sharing 213 setup overview 249–250 specifications 248 user environments 245–247 filters defined 583 editing 532 examples 529–530 junk mail 373–375 filters, IP adding 531 described 527–528 problems locating 543 Finder workgroup 436 firewall defined 583 filtering SMTP connections 401 sending mail through 390 firewall, NFS 256 Firewall service 525–543 about 525 adding filters 531 Any Port filter 537 benefits 526 blocking multicast services 536 configuring 530, 533–534 creating filters 532 default filter 537 described 525 editing filters 532 example filters 529–530598 Index filtering UDP ports 535–536 filters 527–529 IP address precedence 529 IP filter rules 538–540 logs, setting up 534–535 managing 531–538 more information 543 multiple IP addresses 529 NetInfo Access, controlling 536 port reference 540–542 preparing for setup 527–529 preventing denial-of-service attacks 537 problems with 543 setting up 530–531 solving problems 543 starting 531 starting automatically 531 stopping 531 uses for 526 viewing logs 533 folder access privileges 444 folders Documents folder 341 fonts adding to client systems via network 208 FTP defined 583 FTP passive mode 265 FTP root and share points user environment 245 FTP servers security of 244, 249 FTP service 244–248 Access settings 251 Advanced settings 252 anonymous 253 anonymous uploads folder 253 authentication method 254 custom root 253 described 221, 244–248 displaying messages 255 displaying user messages 255 General settings 250 Logging settings 251 preparing for setup 248 README messages 255 security limitations 50 setup overview 256–257 solving problems 264 specifications 248 starting 252 stopping 252 user environment 254 viewing logs 254 G Getting Started With Mac OS X Server 41 group defined 583 group accounts about 127 access privileges 125, 127, 206 adding users 148, 168 administering 165 automatic group directory 171 changing 167 creating in Mac OS X Server directory domain 165 creating in read-write LDAPv3 domains 166 defined 121 deleting 173 directories for 128, 170 in directory domains 71 finding 173 group ID 170 names for 169 planning 136 predefined, list of 131 read-only 167 removing users 149, 168 reviewing memberships 149 using presets 177 where they’re stored 165 group directories 171 group directory defined 583 group names 169 group preferences managing, Mac OS X 286 groups characteristics of 127Index 599 data types 580 preparing for setup 135 guest (predefined group account) 131 guest access allowing 238 FTP service 249 restricting 210 Windows 263 Windows services 243 guest accounts access guidelines 210 security guidelines 222 guest computer defined 583 guests restricting access 210 guests users limiting connections 227 guest user account, Mac OS 9 and 8 429 guest users about 129 accessing Apple file service 234 access privileges 129 defined 583 described 210 limiting connections 234 maximum connections 227, 234 services available to 154 H hard disk capacity of 488 help 41 hierarchies. See directory domain hierarchies home directories about 126 advanced 163 AFP share points 160 and disk quotas 164 choosing a protocol 160 creating folders 161 default 165 defined 583 deleting 165 distributing 156 for local users 162 for network users 163 for users in existing directory servers 157 Macintosh Manager and 422 moving 165 NFS share points 160 Open Directory and 71 planning 136 solving problems 204 storage of 155 Home Directory and FTP Root user environment 246 Home Directory Only user environment 247 HTML defined 583 HTTP defined 583 httpd.conf file 358 httpd_macosxserver.conf file 355, 360 Hypertext Markup Language (HTML) defined 583 Hypertext Transfer Protocol (HTTP) defined 583 I IANA defined 584 IANA registration 517 iBook 487 ICMP defined 584 idle user defined 584 IGMP defined 584 IGMP packets blocking 536 iMac 487 IMAP about 371 administrator access 394 case-sensitive folders 386 connections per user 386 ports 387, 394 response name 386600 Index secure authentication 385 settings 385–387 terminating idle connections 387 IMAP (Internet Message Access Protocol) defined 584 importing and exporting creating character-delimited files 187 creating XML files using AppleShare IP 186 creating XML files using Server Admin 186 file formats supported 179 from Workgroup Manager 181 Password Server users 197 with Workgroup Manager 179 importing and exporting users and groups 178 information, finding more 41 installer 558 Internet and Web services key features of 46 Internet Assigned Numbers Authority (IANA) defined 584 Internet Control Message Protocol (ICMP) defined 584 Internet Gateway Multicast Protocol See IGMP Internet Group Management Protocol (IGMP) defined 584 Internet Message Access Protocol (IMAP) defined 584 Internet Message Access Protocol (IMAP). See IMAP Internet Protocol (IP) defined 584 Internet servers. See Web servers Internet Service Provider (ISP) defined 584 IP defined 584 IP address, static defined 588 IP addresses assigning 477 DHCP and 475 DHCP lease times, changing 480 dynamic 476 dynamic allocation 476 leasing with DHCP 475 multiple 348, 529 precedence in filters 529 ranges 528 reserved 477 setting up for ports 348 setting up multiple on port 348 static 476 IP failover 567–571 configuring 569 defined 46 enabling 569 requirements 567 scripts 570 IP Filter module 538–540 IP filter rules 538 IP filter service 263, 265 IP firewall service about 54 ipfw command 538–540 ISP defined 584 J Java JavaServer Pages ( JSP) with Tomcat 347 servlet (with Tomcat) 347 Tomcat and 347 junk mail 373–375, 398–402 approved servers list 374, 398 blacklisted servers 375, 401 disapproved servers list 375, 399 ORBS server 375, 401 rejected SMTP servers 375, 399 restricted SMTP relay 374, 375, 398, 401 reverse DNS lookup 375, 399 SMTP authentication 374, 375, 389 K Kerberos enabling for AFP 200 enabling for FTP 200 enabling for login window 200 enabling for mail 200 enabling for Telnet 201Index 601 integrating Mac OS X with Kerberos server 199 Macintosh Manager 464 mail service authentication 381 services supporting 197 solving problems 204 understanding 198 using 197 Kerberos authentication Apple file service 224 FTP service 248, 254 kmem (predefined group account) 131 L LDAP defined 584 DHCP and 479 LDAP Bind authentication 201 LDAP server address via DHCP 479 LDAPv2 access settings 107 adding servers 106 configuring 106–110 data mappings 108 enabling and disabling 93 search bases 108 search policies and 107 setting up 106 LDAPv3 adding server configurations 98 automatic search policy and 84 changing server configurations 99 configuring 97–103 connection settings 100 creating group accounts 166 creating user accounts 138 deleting server configurations 100 duplicating server configurations 99 enabling and disabling 94 populating with data 103 port configuration 101 search policies and 99, 100 shared domains 83 showing and hiding configurations 97 SSL encryption 101 lease period defined 584 Lightweight Directory Access Protocol (LDAP) defined 584 Lightweight Directory Access Protocol (LDAP). See LDAPv2, LDAPv3 Line Printer Remote (LPR) defined 584 load balancing defined 584 NetBoot and 504–505 load distribution 523 local directory domain in automatic search policy 83 information storage 74 listing users and groups 174 NetInfo 111 search policy 96 local domain defined 584 local home directory defined 584 log files access logs 227 error logs 228, 233 logging in solving problems 203, 204 logging items DHCP activity 478 settings for 546 settings for Windows 239 login settings 146 log rolling scripts 555 logs access 352 Apple file service 227 Apple file service access 233 Apple file service error 233 DHCP 480, 483 DNS service 519 dsimportexport 179 error 352 Firewall 534 Firewall service 533602 Index FTP 254 mail service 404 print service 325, 332–334 reclaiming disk space 555 reclaiming space used by 405 Server Monitor 63 SLP DA 549 SSL 357 Web service 348 Windows services 243 LPR defined 584 M MacBinary (.bin) format 247 machine record for NetInfo binding 113 Macintosh Manager 411 about 411 access privileges 442 administrator access to user accounts 464 administrator login 425 All Other Computers account 452 allowing media access 442 allowing multiple logins 434 allowing screen shots 442 allowing system access 434 approved items 442 changing administrator password 433 changing language script 418 changing menu access 443 checking email automatically 451 choosing language 417 computer access 454 computer checkout 423, 461 computer lists 451 computer Security settings 456 copying Mac OS 8 preferences 464 creating administrator accounts 432 creating email addresses 455 creating shortcuts 438 customizing reports 463 customizing workgroup panels 460 desktop environments 436 directory services database 420 disabling extensions 459 disabling login on a computer 453 disconnecting computers automatically 454 duplicating workgroups 437 finding users 429 folder access privileges 444 force-quitting applications 459 Global CD-ROM settings 465 Global settings 462 group documents 444 hand-in folder 445 helper applications 457 home directories 413, 422 importing user accounts 426 importing user information from text 428 installing administrator software 415 Items settings 438 Kerberos verification 464 listing available discs 465 local users and 461 login message 451, 460 Login settings 460 Mac OS X user access 429 managing preferences 422 media access 457, 465 MMLocalPrefs extension 423 modifying workgroups 438 more information 473 mounting volumes automatically 446 Multi-User Items folder 419, 420 naming hard disks 455 Netboot and 423 opening items at startup 450 Options settings 449 preference storage 422, 423 preventing user password changes 464 printing 420 print quotas 448 Privileges settings 440 protecting folders 440 protecting the desktop 440 quitting administrator program automatically 463 restricting printer access 448 security 418, 462, 463Index 603 setting file-level security 441 setting idle logout 456 setting media access 441 setting preferences 426 setting storage quotas 435 setting up 424 setting up administrator accounts 432 setting up All Other Users 430 setting up workgroups 436 shared folders 443 share point for 419 solving problems 470–472 switching servers 459 synchronizing clocks 455 synchronizing user database 435 system access printer 449 update package 417 user account template 426 user information storage 421 user settings, advanced 434 user settings, basic 433 users working offline 458 using server administrator accounts 432 viewing reports 463 wireless service 462 workgroup printers 447 Workgroup settings 454 workgroup template 437 Macintosh Manager administrator 431, 432 changing password 433 Macintosh Manager application opening 62 Macintosh Manager User predefined account 130 Macintosh-specific Web modules 365 Mac OS systems cross-platform guidelines 236 Mac OS X data requirements 573 Mac OS X Server applications summary 56 individual services of 46 key features of 43 more information 64 ports used by 540–542 resources 64 setting up 41 shared directory domains 75–78 Mac OS X systems 540–542 mail disabling for user 150 enabling user options 150 forwarding for user 151 redirecting 517 mail (predefined group account) 131 MailAttribute data type, format of 577–579 mail database about 373 administrator access 394 backing up 408 cleaning up 395, 408 converting 393 location of 394 mail exchange (MX) records. See MX records Mail Exchange. See MX mail exchange record (MX) defined 585 mail exchangers 516 mail host 372 defined 585 mail servers 517 mail service administrator access 394 alternate transfer agent 391 APOP authentication 384 approved servers list 374, 398 authentication 381, 384, 385, 389 backing up 408 blacklisted servers 375, 401 blind carbon copies (BCC) 382 case-sensitive IMAP folders 386 client settings for 406 configuration storage 376 connected users 404 database 373, 393–396 database cleanup 408 deleted users, removing mail of 395 deleting mail automatically 383, 394 disapproved servers list 375, 399 DNS cache 397604 Index DNS lookup for 396 domain name list 381 features not supported 376 features of 369 filtering SMTP connections 401 forwarding undeliverable mail 402 general settings 380–382 HELO command 400 idle IMAP connections, terminating 387 IMAP (Internet Message Access Protocol) 371, 385–387, 394 IMAP authentication 385 IMAP connections per user 386 IMAP port 387 IMAP response name 386 incoming mail 378, 382–387 junk mail prevention 373–375, 398–402 Kerberos authentication 381 key features of 51 limiting delivery attempts 402 limiting incoming message size 383 logs 404, 405 maintenance 379 message storage 373, 393–396 monitoring 404 more information 408 MX records 372, 377, 381, 396 network settings 396–397 new mail notification 383 NotifyMail protocol 383 ORBS server 375, 401 outgoing mail 378, 387–393, 402–403 performance tuning 407 planning 379 POP (Post Office Protocol) 370, 384–385 POP port number 385 POP response name 384 postmaster account 379, 402, 403 protocols 370, 382 rejected SMTP servers 375, 399 relay via another server 389 reporting undeliverable mail 402, 403 resources 408–409 restricted SMTP relay 398 reverse DNS lookup 375, 399 sending nonlocal mail 388 sending only local mail 388 Sendmail 371, 373, 392 setup overview 377–379 SMTP (Simple Mail Transfer Protocol) 371, 389–393, 401 SMTP alternate 391 SMTP authentication 389 SMTP ports 391 SMTP relay for backup server 401 SMTP response name 390 SSL (Secure Sockets Layer) 372 starting and stopping 378, 380 status 403–405 suspending outgoing mail 388 timeouts 397 tools overview 376 undeliverable mail 402–403 user accounts 404, 407 user account settings for 373, 379, 405 using DNS service with 516 virtual host list 381 mail settings creating for users 127 mail transfer agent (MTA) 371, 391 mail transfer agent (MTSA) defined 585 managed client defined 585 managed preferences defined 585 managed preferences. See preference management Managed Preferences folder 466 Forced Preferences folder 467 Initial Preferences folder 466 Initial Preferences folder, exceptions 467 Preserved Preferences folder 468 managed users about 128 management information bases (MIBS) defined 585 mapping group records 580 Mac OS X data types 573Index 605 user records 574–577 mappings BSD configuration files 116 LDAPv2 108 LDAPv3 101 MBONE defined 585 messages, mail. See mail service MIBS defined 585 MIME defined 585 mappings 343 server response, setting 356 suffixes 340 type mapping 340 types 343 Types pane 343 understanding 340 Web server responses 340 MIME (Multipurpose Internet Mail Extension) 340–341 MMLocalPrefs extension 423 mod_auth_apple module 365 mod_hfs_apple module 366 mod_macbinary_apple module 365 mod_perl module 366 mod_redirectacgi_apple module 366 mod_sherlock_apple module 365 MTA defined 585 MTA (mail transfer agent) 371 multicast backbone (MBONE) defined 585 multicast DNS 72 multicast services blocking 536 multihoming changing priority of network connections in Mac OS X 260 defined 585 Multipurpose Internet Mail Extension (MIME) defined 585 Multipurpose Internet Mail Extension. See MIME MX (Mail Exchange) Records defined 585 MX (Mail Exchange) records 517, 518 MX hosts 516 MX records 372, 377, 381, 396 mysql (predefined group account) 131 MySQL Manager 367, 565 MySQL module 367 My SQL Server predefined account 130 N named.conf file 520 name servers 516 NAT (Network Address Translation) 390 Neighborhood settings 239 NetBIOS defined 585 NetBoot 491 “system-less” clients 506 about 52 administration tools for 62 administrator requirements 486 AirPort 493 applications and files for 485 Boot Server Discovery Protocol (BSDP) 491 capacity planning 488 client computer requirements 487 client computers 505, 506 configuring 501 creating Mac OS X disk image 496 default disk image 500 disabling disk images 502 disabling on Ethernet ports 502 disk images 492 enabling 501, 502 filtering clients 503 hard disk name in 455 image folders image folders, NetBoot 489–490 installing Classic 497 key features of 485 load balancing 504–505 monitoring Mac OS 9 clients 503 monitoring Mac OS X clients 503 network requirements 488 property lists 490606 Index security 493 server requirements 486 setting up Mac OS 9 disk image 497, 498 setting up on Mac OS X Server 496 setup overview 493–496 shadow images 492 solving problems 507–508 starting up on client computers 495 Trivial File Transfer Protocol (TFTP) 492 updating Mac OS X disk images 503 updating Startup Disk control panel 505 viewing client lists 483 NetBoot client computers 506 NetBoot Desktop Admin 490 NetBoot server defined 585 NetInfo 264 See also directory domains access through firewall 536 automatic search policy and 84 binding 111, 482 child 110 client access 482 configuring 110–114 data, changing 114 data, viewing 114 defined 585 directory service protocol 74 enabling and disabling 94 information storage 114 machine record 113 parent 110 port configuration 113 shared domains 83, 110 UNIX tools for 114 NetInfo Manager application data, viewing 114 machine records, adding 113 ports, configuring 113 network adding fonts to client systems 208 network (predefined group account) 131 network authentication protocols 88 Network Basic Input/Output System (NetBIOS) defined 585 Network File Service (NFS) security limitations 222 Network File System (NFS) defined 586 exporting share points 215 home directories in 160 resharing in AFP 215 setting up share points 213 Network File System (NFS) service about 49 security limitations 49 Network Globe contents 207–208 folders in 208 share points 208 Network Image Utility 489 creating disk image 511 creating Mac OS X disk image 496 Network Install about 53 about packages 509 applications and files for 509 creating custom packages 512 creating disk image 511 enabling disk images 513 key features of 509 Network Install application 62 network installation defined 586 network library folder system resources 208 Network Neighborhood 263 connecting to server without 262 connecting to service with 262 networks management resources 64 private 523–524 scopes 546, 546–547 sharing printer queues over 317 TCP/IP networks 523–524 Network Service Locator (NSL) defined 586 registering Apple file servers 231 network services assigning to scopes 547Index 607 discovery protocols 72 networksetup 562 NFS defined 586 nfsd daemons 257 defined 586 NFS service about 256 configuring settings 257 described 221 monitoring 258 planning 256 stopping 258 uses for 256 nobody (predefined group account) 131 nogroup (predefined group account) 131 None privilege 205 NotifyMail protocol 383 NSL defined 586 O online help 41 Open Directory See also directory services access privileges and 71 authentication 67, 70 automount share points and 71 backing up 119 BSD configuration files and 115 compared to UNIX systems 69 configuring protocols 93 data requirements 573 defined 586 group accounts and 71 home directories and 71 information management 70, 73 information storage in 65, 72 key features of 47 mail settings and 71 overview 45 protocols supported 74 quotas and 71 searching non-Apple domains 78 search policies 82–84 service discovery and 72 UNIX heritage 67 uses of 70–71 Open Directory Assistant about 92 configuring directory domain 92 connecting to server 92 creating shared NetInfo domain 111 deleting shared directory domain 93 Open Directory Assistant application 58 Open Directory domains See also directory domains, LDAPv3, NetInfo deleting 93 setting up 92 Open Directory Password Server. See Password Server OpenLDAP directory service protocol 74 open relay defined 586 Open Relay Behavior-modification System (ORBS) defined 586 open source modules 366–367 operator (predefined group account) 131 ORBS defined 586 ORBS servers 375, 401 owner defined 586 owner privileges 206 P Package Maker application 62 packages 509 Panels workgroup 436 parent computer defined 586 parent NetInfo domain 110 passwords administrator 137 file servers 263 migrating 193 problems with readable 194 root 137608 Index root user 137 validating 189 validation strategies 189 Password Server 264 administration 196 authentication protocols 195 authentication with 87 backing up 201 database contents 88 enabling for a user 196 monitoring 197 protocols supported 88 recommended for Windows 236 securing 197 security benefits 66 security features 195 security guidelines 89 setting up 92 setup 196 solving problems 203 tools for managing 89 Windows validation 202 password validation authentication authority attribute 192 basic strategy 193 choosing a password 192 for Windows 236 Kerberos 197 options 47, 189 Password Server strategy 195 pros and cons 191 strategies 123 Windows 202 percent symbol defined 586 performance mail service 407 Perl mod_perl 366 PHP 366 defined 586 enabling 357 Hypertext Preprocessor See PHP PHP Hypertext Preprocessor (PHP) defined 586 PHP module 366 POP about 370 authentication 384 port number 385 response name 384 settings 384–385 POP (Post Office Protocol) defined 586 port 548 263 portable computers, Mac OS 9 and 8 461 wireless service 462 portable computers, Mac OS X as guest computers 280 individual 280 managing preferences 279 shared 280 ports Ethernet ports 489 IMAP mail administrator 394 IMAP mail service 387 IP addresses 348 Mac OS X computers 540–542 POP mail service 385 SMTP 391 SMTP mail service 391 TCP ports 540–541 UDP ports 542 Postfix program, configuring 371 postmaster mail account 379, 402 Post Office Protocol (POP) defined 586 Post Office Protocol (POP). See POP PowerBook (FireWire) 487 PowerBook G4 487 Power Mac G4 487 Power Mac G4 Cube 487 Power Macintosh G3 (blue and white) 487 predefined accounts defined 586 preference cache about 283 how to empty 283 updating 283 preference management, Mac OS 9 and 8 466Index 609 preference management, Mac OS X about 284 Applications Items settings 288 Applications preference 288 Applications System Preferences settings 290 Classic Advanced preferences 292 Classic preferences 291 Classic settings 291 computer preferences 286 disabling 287 Dock Display settings 294 Dock Items settings 295 Dock preference 294 editing multiple records 287 Finder Commands settings 299 Finder preference 296 Finder Views settings 302 group preferences 286 Internet Email settings 304 Internet preference 304 Internet Web settings 304 local user accounts 279 Login Items settings 307 Login preference 305 Login Window settings 305 Media Access Disk Media settings 308 Media Access Other Media settings 309 Media Access preferences 308 options 284 preference cache 283 Printing preferences 311 Printing Printer List settings 311 Startup settings 291 user preferences 285 preferences, Mac OS 8 464 preferences cache, defined 587 presets changing 178 creating for groups 177 creating for users 176 defined 176, 587 deleting 178 renaming 178 using to create new accounts 177 primary group 129 defined 148, 587 group ID of 148 primary group ID defined 587 Print Center adding print queue from Open Directory domain 323 adding print queue using AppleTalk 323 adding print queue using LPR 323 printer sharing key features of 44 print jobs deleting 332 holding 330 holding new 331 monitoring 329 prioritizing 331–332 restarting 330 stopping 330 print logs deleting 334 managing 332–334 print queues about 315 adding from Open Directory domain 323 adding in Mac OS X using AppleTalk 323 adding in Mac OS X using LPR 323 adding to Open Directory domains 321 configuring 320 default 329 deleting 329 holding 327 monitoring 326 reconfiguring 327 renaming 328 restarting 327 print quotas enforcing 322 managing 332 setting for Mac OS 9 and 8 clients 448 setting up 322 print service about 315 adding printers 320 applications for 315610 Index key features of 50 monitoring 325 printers supported 316 protocols supported 317 setting up 319 setting up Mac OS 8 and 9 clients 324 setting up Mac OS X clients 323 setting up on clients 323 setup overview 317–318 solving problems 334–335 starting automatically 326 stopping 326 UNIX clients 325 Windows clients 325 print settings for users 151 privileges. See access privileges problems. See troubleshooting Property List Editor editing BSD configuration files with 116 editing DSFFPlugin.plist 116 installing 116 protocols See also specific protocols directory services 93 mail service 370–371 Open Directory 93 service discovery 72 SSL and mail service 372 proxy 345 blocking Web sites with 345 proxy cache enabling 345 proxy server 345 defined 587 Q QTSS (QuickTime Streaming Server) defined 587 QuickTime Broadcaster about 55 QuickTime Streaming Server privileges 206 QuickTime Streaming Server (QTSS) about 55 defined 587 quotas about 127 disk 164 mail 151 print 152 user settings 71 R Read & Write privileges 205 README messages, for FTP 255 Read Only privileges 205 realm, WebDAV defined 590 realms, WebDAV 339 Real-Time Streaming Protocol (RTSP) defined 587 Real-Time Transport Protocol (RTTP) defined 587 record types about 71 adding 102 group 580 LDAPv2 108 LDAPv3 101 user 574–577 remote administration 58 Directory Access application 118 Rendezvous 72 defined 587 enabling and disabling for Open Directory 94 reports Macintosh Manager 463 Request for Comments (RFC) documents 409 resources Apache Web server 64 file services 265 Mac OS X Server 64 mail service 408–409 network management 64 Web service 367 Restricted Finder workgroup 436 RFC (Request for Comments) documents 409 root password 137Index 611 root domain 77, 111 See also shared directory domains root password 137 root user account backing up 202 round robin 523 routers 546 RTSP defined 587 RTTP defined 587 rules, IP filter 538–540 S Samba 235 SASL (Simple Authentication and Security Layer) 88 schema, directory domain. See mappings scopes, network 546, 546–547 screen shots 442 scripts See CGI scripts search bases BSD configuration files 116 LDAPv2 108 LDAPv3 101 search path directory domains listing accounts in 174 search policies 202 about 48, 82–83 adding Active Directory server to 105 adding LDAPv2 server to 107 adding LDAPv3 server to 99, 100 authentication 94 automatic 83, 95 custom 84, 95 local domain only 96 setting up 94–95 user accounts in 122 secure shell (SSH) command 553 Secure Sockets Layer (SSL) defined 588 Secure Sockets Layer. See SSL Secure Sockets Layer See SSL security access privilege guidelines 210 file service guidelines 222 FTP servers 244, 249 key features of 44 limitations of NFS 222 Macintosh Manager 418 NetBoot 493 NFS 256 NFS exports and 256 NFS limitations 210 passwords 194 Password Server 89 root password 137 of server hardware 87, 89 WebDAV 339 Web sites 340 Sendmail program 371, 391, 392 mail folder 373 Sendmail User predefined account 130 server administrators using Macintosh Manager accounts 432 Server Assistant application 58 server management more information 64 Server Message Block (SMB) defined 588 setting up sharing 212 Server Message Block (SMB). See SMB Server Monitor application connecting to server 62 task summary 62 servers Apache Web server 64, 338 enabling SSL on 363 equipment for 92 file servers 263 location for 92 name servers 516 ORBS servers 375 proxy servers 345–346 security of 87, 89 Windows file servers 237 WINS servers 240 Server Settings adding printers to queue 320612 Index adding print queues to Open Directory domains 321 administrator access to mail database 395 allowing guest access to Apple file service 234 allowing guest access to Windows services 243 alternate mail transfer agent 391 APOP authentication 384 Apple file service Access settings 226 Apple file service automatic startup 231 Apple file service General settings 225 Apple file service Idle Users settings 228 Apple file service Logging settings 227 approved mail servers list 398 archiving Apple file service logs 233 archiving print logs 333 assigning Windows server to workgroup 244 automatically disconnecting users from Apple file service 234 blacklisted mail servers 401 blind carbon copies (BCC), configuring 382 blocking Web sites with proxy server 345 CGI script, enabling 355 changing Apple file server name 231 changing print job priority 331 changing print queue quotas 332 changing Windows server name 241 configuring NetBoot 501 configuring print queues 320 creating Apple file service login greeting 234 creating SLP DA scopes 546 custom FTP root 253 default NetBoot disk image 500 deleting DHCP subnets 480 deleting mail automatically 383, 394 deleting print jobs 332 deleting print queues 329 denial-of-service attacks, preventing 537 deregistering a service with SLP DA 549 DHCP client list 481 DHCP logs 480, 484 DHCP subnet IP address lease times, changing 480 DHCP subnets, creating 481 DHCP subnets, settings 482 disabling DHCP subnets 483 disabling NetBoot disk images 502 disapproved servers list 399 disconnecting users from Apple file service 233 DNS lookup for mail service 396 DNS options for DHCP subnets 482 DNS server for DHCP clients 479 DNS Service, starting and stopping 519 enabling AppleTalk browsing on Apple file service 232 enabling disk images 514 enabling NetBoot 502 enabling NetBoot disk images 502 enabling SSL for Web service 346 enabling WebDAV 346 enabling Web site 350 enabling web site logs 352 enabling Windows service domain browsing 242 enforcing quotas for print queues 322 filtering NetBoot clients 504 filtering SMTP connections 401 filtering UDP ports 536 finding Windows server workgroup name 241 Firewall, configuring 534 Firewall, starting and stopping 531 Firewall default filter 537 Firewall filters, creating 532 Firewall filters, editing 532 Firewall filters, finding 533 Firewall logs 534 Firewall service, configuring 530 FTP Access settings 251 FTP Advanced settings 252 FTP authentication 254 FTP General settings 250 FTP Logging settings 251 FTP logs 254 FTP user environment 254 FTP user messages 255 holding new print jobs 331 holding print jobs 330Index 613 holding print queues 327 IMAP authentication 385 IMAP case-sensitive folders 386 IMAP connections per user 386 IMAP ports 387 IMAP response name 386 Kerberos for mail service 381 LDAP server address via DHCP 479 limiting Apple file service connections 232 limiting connections to Windows services 242 limiting incoming message size 383 limiting mail delivery attempts 402 logging SLP DA debugging messages 549 mail database location 394 mail service, starting and stopping 380 mail service DNS cache 397 mail service timeouts 397 mail service virtual host names 381 modifying MIME type mappings 343 monitoring print jobs 329 NetInfo access through Firewall 536 NetInfo options for DHCP subnets 482 new mail notification 383 NFS settings 257 performance cache for Web site 352 POP port number 385 POP response name 384 reconfiguring print queues 327 registering Apple file server with NSL 231 registering a service with SLP DA 548 registering with WINS server 242 renaming print queues 328 reporting undeliverable mail 402 restarting print jobs 330 restarting print queues 327 sending nonlocal mail 388 sending only local mail 388 server response for MIME types 356 setting access port for Web site 351 setting default print job priority 331 setting default Web page 351 setting up anonymous FTP 253 setting up persistent connections 344 SLP DA log options 549 SLP DA scopes, creating 548 SLP DA scopes, viewing 547 SLP DA service, starting and stopping 547 SMTP authentication 389 SMTP name matches IP address 400 SMTP ports 391 SMTP relay, restricting 398 SMTP relay for backup server 401 SMTP relay via another server 390 SMTP response name 390 SMTP servers, rejecting 399 specifying default print queue 329 SSL, enabling 363 SSL, setting up 357 starting Apple file service 229 starting DHCP 478 starting FTP service 252 starting or stopping Web service 343 starting print service automatically 326 starting Tomcat 347 starting Web service automatically 343 starting Windows services 240 stopping Apple file service 230 stopping DHCP 478 stopping FTP service 253 stopping print service 326 suspending outgoing mail 388 terminating idle IMAP connections 387 turning on Apple file service access logs 232 undeliverable mail, forwarding 402 undeliverable mail, reporting 403 viewing client lists 483 viewing Web service status 348 WebDAV, enabling 353 WebDAV realms, setting up 353 Web site indexing, enabling 353 Web sites, monitoring 356 Windows services automatic startup 241 Windows services General settings 237 Windows services Logging settings 239 Windows services logs 243 Windows services Network Neighborhood settings 239 Server Settings application connecting to server 60614 Index opening within Workgroup Manager 60 populating Active Directory domains with 105 populating LDAPv3 domains with 103 Server Side Includes See SSI Server Status Apple file service logs 230 Apple file service status 230 disconnecting users from Windows services 243 DNS log, viewing 519 DNS service status 519 DNS usage statistics 520 mail service 404, 405 monitoring Mac OS 9 NetBoot clients 503 monitoring Mac OS X NetBoot clients 503 monitoring NFS 258 monitoring print queues 326 monitoring print service 325 monitoring Windows services 241 sending messages to Apple file service users 235 SLP DA logs, viewing 549 viewing print logs 333 viewing Web service logs 348 Server Status application directory services information 119 task summary 61 service discovery 72 Service Location Protocol (SLP) about 54 Service Location Protocol (SLP). See SLP Service Location Protocol (SLP) Directory Agent (DA) defined 588 Service Location Protocol Directory Agent See SLP DA services data items used by 573–574 settings logging 546 logging for Windows services 239 MIME types 343 Web service 342–349 Web sites 349–358 Shadow Images 492 shared directory domains deleting 93 information storage 75 NetInfo 110, 111 network printing and 76 resources in 77 share point defined 48 share points automounting 207, 214 changing owner and privileges 217 changing protocols 218 creating 211 defined 205 deleting NFS client 218 drop box 218 for Windows users 236 making unavailable 215 removing 216 resharing NFS mounts 215 solving problems 219 viewing 216 sharing stopping 216 Sherlock AFP and 224 showmount command 259 Simple Mail Transfer Protocol (SMTP) defined 588 Simple Mail Transfer Protocol. See SMTP Simple Network Management Protocol (SNMP) 566 SLP discovery protocol 72 enabling and disabling for Open Directory 94 SLP (Service Location Protocol) 226, 231 SLP DA attributes list 550 defined 588 more information 550 SLP DA service 545–550 creating scopes 548 debugging messages, logging 549 deregistering a service 549Index 615 described 545 managing 547–550 monitoring 549 planning 545 preparing for setup 545 registering a service 548 setting up 545–547 starting 547 stopping 547 uses for 545 viewing scopes 547 SLP Service managing 547–550 starting 547 stopping 547 SMB defined 588 enabling and disabling for Open Directory 94 Windows protocol 72 SMB protocol 235 smmsp (predefined group account) 131 SMTP about 371 alternatives to 371 authentication 374, 375, 389 filtering connections 401 ports 391 rejected servers 375, 399 relay, restricted 374, 375, 398 relay for backup server 401 relay via another server 389 response name 390 settings 389–393 SMTP (Simple Mail Transfer Protocol) defined 588 SNMP (Simple Network Management Protocol defined 588 softwareupdate 561 spam defined 588 spam. See junk mail specifications Apple file service 224 FTP service 248 Windows services 236 spoof 256 SQL 367 SquirrelMail See WebMail SSH key fingerprints 554 SSH access enabling and disabling 553 SSH session closing 554 executing commands 554 opening 553 SSI enabling 355 SSL certificate signing request (CSR) 361 enabling 363 mail service and 372 setting up 357, 361 Web site certificate 362 SSL (Secure Sockets Layer) defined 588 described 338 enabling 363 SSL (Secure Sockets Layer) service 361–363 staff (predefined group account) 131 starting up using N key 507 Startup Disk control panel, updating 505 static addressing 487 static binding, NetInfo 112 static IP addresses 476 defined 588 Streaming Server Admin application starting 63 task summary 63 subnet 264 subnet masks 527 subnets 239, 476 creating 476, 477–478, 481 defined 588 sys (predefined group account) 131 system access printer 449 System Administrator predefined account 130 system identifier lights and Server Monitor 63 System-less clients616 Index defined 588 System Preferences setting up multiple IP addresses for a port 348 System Services predefined account 130 systemsetup 561 T TCP defined 589 TCP/IP 264 private networks 523–524 unable to access server over 543 TCP/IP, for Windows services 262 TCP ports 540–541 templates, directory domain. See mappings Terminal application 258, 539, 552 mail database cleanup 395 NetInfo command-line tools in 114 Sendmail, starting 392 SSH command 553 time-to-live (TTL) defined 589 Tomcat 366 defined 589 Java and 347 Java servlet 347 JSP ( JavaServer Pages) 347 starting 347 Tomcat module 366 TP service anonymous 249 Transmission Control Protocol (TCP) defined 589 Trivial File Transfer Protocol (TFTP) 492 troubleshooting Apple file servers 263 Apple file service 263 Firewall service 543 FTP 264 IP filters 543 NetBoot 507–508 print service 334–335 share points 219 users and groups 202 Web service 364 Windows services 263 TTL defined 589 tty (predefined group account) 131 tunneling 546 U UDP defined 589 UDP (User Datagram Protocol) 258 UDP Ports filtering 535 UDP ports 542 undeliverable mail forwarding 402 limiting delivery attempts 402 reporting to postmaster 402, 403 Unicode defined 589 Uniform Resource Locator (URL) defined 589 Universal Serial Bus (USB) 316 defined 589 UNIX commands, understanding 553 finding help 553 UNIX systems BSD configuration files 74 compared to Open Directory 67, 68, 69 information storage 68, 69 tools for NetInfo 114 unknown (predefined group account) 131 Unknown User predefined account 130 Unprivileged User predefined account 130 unsolicited mail. See junk mail uploads folder in FTP 253 URL defined 589 USB defined 589 USB (Universal Serial Bus) 316 user, virtual defined 589 user accountsIndex 617 access privileges 125 authenticating 123 authentication 122 changing 138 comments 147 connecting without logging in 123 creating in Mac OS X Server directory domains 137 creating read-write LDAPv3 user accounts 138 defined 121 defining a user’s home directory 161 deleted, removing mail of 395 deleting 154 in directory domains 66–67, 91 disabling 155 disabling mail 150 disk quotas 164 enabling mail options 150 finding 173 forwarding mail 151 group settings 147 home directories 126 how they’re used 122 importing into Macintosh Manager 426 kinds of 128 locations of 137 login settings 146 Mac OS 9 and 8 420 mail addresses 407 mail quotas 127 mail settings 127, 150, 373, 379, 405 managed users 128 managing preferences 270 naming guidelines 141 not using a home directory 162 password validation 189 postmaster 379 predefined, list of 130 presets 176 print settings 151 read-only 139 storing preferences 127 user and group accounts planning 135 role in network 121 setup overview 132 user data how used by server 573 User Datagram Protocol (UDP) defined 589 User Datagram Protocol See UDP user environment in FTP 254 user environments in FTP 245–247 user experience Mac OS 9 and 8 desktop 436 user ID (UID) defined 589 guidelines 144 network role of 124 role in access privileges 125 user messages FTP 255 user messages, for FTP 255 user names defined 589 long names 139 as mail addresses 407 short names 140 user preferences managing, Mac OS X 285 Users 364 users anonymous FTP users 265 categories 206 characteristics of 122 data types 574–577 limiting connections 227, 234 MailAttribute data type 577–579 mail client configuration 406 mapping data 573–579 preparing for setup 135 registered 222 unregistered 210 users and groups importing and exporting 178 solving problems 202 utilities advanced, list of 551 utmp (predefined group account) 131618 Index uucp (predefined group account) 131 V virtual hosts mail service 381 Virtual Private Network ( VPN) defined 589 virtual user defined 589 VPN defined 589 W Web 365 Web-based Distributed Authoring and Versioning See ( WebDAV ) Web browsers 339 WebDAV defined 590 privileges 206 WebDAV ( Web-based Distributed Authoring and Versioning) 346 defining realms 339 described 337 enabling 353 security 339 setting access 354 setting access privileges 339 setting up 346 understanding 339 WebDAV realm defined 590 WebMail about 358–361 configuring 360–361 enabling 359 logging in 359 mail server and 359 protocols 359 security limitations 359 SquirrelMail 358 Web modules 365–367 Mac-specific 365 open-source 366 Web pages default 341 Web servers Apache Web server 64, 338 certificate for 362–363 Web Service monitoring 348 Web service 337–367 about 337–367 configuring 338, 342 default page 341 described 337 Documents folder 341 key features of 51 limiting simultaneous 344 monitoring 348 more information 367 MySQL 367 persistent connections 344 preparing for setup 338–340 problems with 364 resources 367 secure transactions 338, 361–363 settings for 342–349 setting up 341–342 setting up Web sites 338 setup overview 341–342 solving problems 364 SSL, enabling 346 starting 343 stopping 343 strategies for 338–341 Tomcat 347 WebDAV 346 WebMail, managing 359–361 Web site privileges 342 Web services logs, viewing 348 Web site setting up SSL 357 Web Sites 349–358 monitoring 356 Web sites access privileges 340 Apache Web server 64Index 619 assigning privileges 342 connecting to 342 connection problems 364 default Page 351 default page 341 default Web Folder 349 directory listing 352 documents Folder 349 enabling 350 hosting 339, 342 improving performance 351 information about 349 logs 352 MIME, configuring 356 security of 340 setting access port 351 settings for 349–358 setting up 338 solving problems 364 wheel (predefined group account) 132 wildcard defined 590 Windows clients share points for 210 Windows file servers 237 Windows Internet Naming Service ( WINS) 235 defined 590 registering with 242 servers 240, 264 Windows services 235–236 Access settings 238 assigning server to workgroup 244 authentication 236 automatic startup 240 changing server name 241 connecting to server with Network Neighborhood 262 connecting to server without Network Neighborhood 262 cross-platform guidelines 236 described 221 disconnecting users 243 enabling domain browsing 242 finding server workgroup name 241 General settings 237 guest access 243 key features of 49 limiting connections 242 logging settings 239 monitoring 241 Network Neighborhood settings 239 password validation 236 planning 236–237 problems with 263 registering with WINS server 242 Samba 235 services supported 235 setting up logs 243 solving problems 263 specifications 236 starting 240 stopping 240 supported in Mac OS X Server 261 using TCP/IP 262 Windows systems cross-platform guidelines 236 WINS defined 590 wireless service 281 workgroup administrator 432 workgroup management, Macintosh key features of 45, 52 Workgroup Manager about 267 access for users with local accounts 279 adding Dock items 295 adding to computer accounts 274 adding users to groups 168 allowing access to local applications 289 allowing access to System Preferences 290 allowing burning CDs and DVDs 309 allowing CD and DVD access 308 allowing helper applications 289 allowing special actions during restart 292 allowing users to control Dock 296 approving applications 288 authenticating in 59 automounting share points 214 browsing share point folders 216 changing computer accounts 274620 Index changing group accounts 167 changing owner and access privileges for share point 217 changing share points’ protocols 218 changing user accounts 138 computer access settings 278 computer account presets 273 computer accounts, creating 272 configuring an AFP share point 212 configuring an FTP share point 213 configuring an SMB share point 212 controlling computer access 278 copying access privileges 217 creating drop box 218 creating group accounts 166 creating LDAPv3 group accounts 166 creating LDAPv3 user accounts 138 creating printer list 311 creating user accounts 137 deleting computer accounts 276 deleting computers from accounts 275 deleting NFS client from share point 218 disabling preference management 287 editing multiple users 176 ejecting media on logout 310 exporting users and groups in 181 filtering account lists 175 hiding “Connect to Server” command 299 hiding “Go to Folder” command 300 hiding “Go to iDisk” command 299 hiding Burn Disc command 301 hiding Chooser and Network Browser 293 hiding disk and server icons 297 hiding Eject command 300 hiding Restart and Shut Down buttons on login 306 hiding Restart and Shut Down commands 301 hiding Trash warning 298 importing users and groups in 179 managing Classic sleep 294 managing computer preferences 286 managing email preferences 304 managing group preferences 286 managing user preferences 285 managing Web preferences 304 moving computers between accounts 275 opening applications on login 307 opening without authenticating 59 populating Active Directory domains with 105 populating LDAPv3 domains with 103 presets 273 preventing access to control panels 292 refreshing account lists 175 removing share points 216 removing users from groups 168 resharing NFS mounts in AFP 215 restricting access to printers 314 restricting changes to printer list 312 restricting direct-connect printing 312 restricting hard disk access 310 searching for computer accounts 276 setting default and computer views 303 setting default printer 313 setting desktop view 302 setting Dock appearance 294 setting Finder window display 297 setting preferences 60 setting up Guest Computers account 277 setting up login window 305 setting up share points 211, 213 shortcuts 176 showing Apple menu items 293 showing file extensions 298 showing password hint 306 solving problems 202 sorting account lists 175 specifying a Classic System Folder 291 starting Classic at login 291 stopping sharing an item 216 system preferences and 281 task summary 60 updating managed preference cache 283 viewing access privileges for share points 217 viewing read-only group accounts 167 viewing read-only user accounts 139 viewing share points 217 workgroups See also Macintosh ManagerIndex 621 about 128 defined 590 Mac OS 9 and 8 436 planning 136 World privileges for NFS 210 World Wide Web Server predefined account 130 Write Only privileges 205 www (predefined group account) 132 X Xserve 487 AppleCare Protection Plan Getting Started Guide for Apple TVContents 5 Fact Sheet 7 Quick Reference Guide 9 Terms and Conditions 39 Fiche d’informations 42 Guide de référence rapide 44 ModalitésEnglish 5 AppleCare Protection Plan for Apple TV Fact Sheet Service and support from the people who know your Apple TV best The AppleCare Protection Plan for Apple TV extends the complimentary coverage on your Apple TV to up to two years * of world-class support. The plan provides access to Apple TV experts and gives you anytime access to web-based resources at www.apple.com/support/appletv/. If your Apple TV or the included accessories need service, Apple will repair or replace them. ** Coverage information This comprehensive plan is available for all Apple TV models within their one-year limited warranty. If you sell the covered Apple TV before the AppleCare Protection Plan for Apple TV expires, you may transfer the plan to the new owner. ** For each Apple TV you want to cover, you must purchase a separate AppleCare Protection Plan for Apple TV. Keep your Proof of Coverage document, the original Apple TV sales receipt, and the AppleCare Protection Plan for Apple TV receipt. Apple may require proof of purchase if any questions arise about the eligibility of your Apple TV for AppleCare Protection Plan.6 English Technical support options If you experience difficulties with your Apple TV, refer to the Quick Reference Guide for troubleshooting tips. If you are not able to resolve the issue, AppleCare representatives can help troubleshoot your Apple TV, its connection with iTunes, and its connection to your television. Apple technical support contact information and hours of operation are listed in the Quick Reference Guide. Under the AppleCare Protection Plan for Apple TV, Apple offers the same complete service for both Mac and Windows users. Hardware service This plan extends repair and replacement service from the Apple oneyear warranty to up to two years from your Apple TV purchase date. Either the carry-in or direct mail-in service option may apply when you obtain service. Refer to the Quick Reference Guide for additional details about obtaining service. The replacement equipment that Apple provides as part of the repair or replacement service may be new or equivalent to new in both performance and reliability. * From the original purchase date of your Apple TV. ** See the enclosed AppleCare Protection Plan Terms and Conditions for complete details.English 7 Try these simple steps before contacting Apple for help. If you experience problems with your Apple TV, try the troubleshooting steps below. As a precaution, back up all content on your computer before you perform these steps. Verify that you have the latest iTunes. You can download the latest iTunes at www.apple.com/itunes/download/ in the U.S. or www.apple.com/ca/itunes/download/ in Canada. Visit the Apple TV Support website. The Apple TV Support website has links to service option availability, an Apple TV tutorial, discussions, and other resources to answer various how-to questions, which are available 24 hours a day at www.apple.com/support/appletv/ in the U.S. and www.apple.com/ca/support/appletv/ in Canada. Quick Reference Guide AppleCare Protection Plan for Apple TV8 English Contact Apple for more assistance. If the steps in this guide do not resolve your issue, contact Apple. An Apple representative will ask you for your AppleCare Protection Plan for Apple TV agreement number or your Apple TV serial number, which is located on the bottom of your Apple TV. In the U.S. In Canada 800-APL-CARE (800-275-2273) 800-263-3394 Seven days a week Seven days a week 8:00 A.M. to 8:00 P.M. Central time * 9:00 A.M. to 9:00 P.M. Eastern time * * Telephone numbers and hours of operation may vary and are subject to change. You can find the most up-to-date local and international contact information at www.apple.com/contact/phone_contacts.html/.English 9 AppleCare Protection Plan AppleCare Protection Plan for iPod AppleCare Protection Plan for Apple Display AppleCare Protection Plan for Apple TV Terms and Conditions Your AppleCare Protection Plan (“APP”), AppleCare Protection Plan for iPod (“APP for iPod”), AppleCare Protection Plan for Apple Display (“APP for Apple Display”) or AppleCare Protection Plan for Apple TV (“APP for Apple TV”), (each referred to herein as the “Plan”) is governed by these Terms and Conditions and constitutes your contract with the Apple entity described in section 7.l below (“Apple”). Subject to these Terms and Conditions, your Plan (i) covers defects for the Applebranded product(s) listed in your Plan’s Certificate or Proof of Coverage document (“Plan Confirmation”) and the accessories that are contained in the product(s) original packaging (“Covered Equipment”), and (ii) provides you with access to telephone technical support and webbased support resources for the Covered Equipment. To obtain the Plan Confirmation you must register your Plan’s unique agreement or registration number (“Plan Agreement Number”) as described in the instructions included in the Plan’s packaging. Customers choosing the Auto-Registration option, where available, will automatically receive 10 English their Plan Confirmation. The duration of the Plan (“Coverage Period”) is for the period ending on the date specified in your Plan Confirmation. The price of the Plan is listed on the Plan’s original sales receipt. 1. Repair Coverage a. Scope of Coverage. Your coverage for defects begins on the date your Covered Equipment’s Apple hardware warranty expires and terminates at the end of the Coverage Period (“Repair Coverage Period”). Apple will provide both parts and labor, but may require you to replace certain readily installable parts yourself, as described below. Apple may provide replacement product or parts that are manufactured from parts that are new or equivalent to new in both performance and reliability. The replacement product or parts will be functionally equivalent to the replaced products or parts and will assume the remaining coverage under the Plan. The products or parts that are replaced become Apple’s property. Apple strongly advises you to record as a back up, data and software residing or recorded in the Covered Equipment, before having the Covered Equipment available for repair or replacement services. The scope of support provided to you will vary according to the Plan you purchased, as follows. (i) Under APP, Apple covers the Covered Equipment and one compatible Apple branded display if purchased at the same time and registered with a covered Mac computer. An Apple-English 11 branded mouse and keyboard are also covered under APP if included with the Covered Equipment (or purchased with a Mac mini). An AirPort Extreme Card, an AirPort Express or AirPort Extreme Base Station, Time Capsule, an Apple-branded DVI to ADC display adapter, Apple RAM modules and MacBook Air SuperDrive are also covered under APP if used with the compatible Covered Equipment and originally purchased by you up to two years before your Mac purchase or during the term of your APP. If during the Repair Coverage Period there is a defect in the materials or workmanship of the Covered Equipment or the other covered items described above, Apple will at its option, repair or replace the affected item. (ii) Under APP for iPod, Apple will, at its option, repair or replace the affected Covered Equipment, if (a) during the Repair Coverage Period there is a defect in the Covered Equipment’s materials or workmanship or, (b) during the Coverage Period, the capacity of the covered iPod battery to hold an electrical charge has depleted fifty (50%) percent or more from its original specification after being fully charged and the covered iPod is playing music with all settings reset. (iii) Under APP for Apple Display or APP for Apple TV, Apple will, at its option, repair or replace the affected Covered Equipment, if during the Repair Coverage Period there is a defect in the 12 English Covered Equipment’s materials or workmanship. An AirPort Extreme Card, an AirPort Express or AirPort Extreme Base Station and Time Capsule are also covered under APP for Apple TV if used with the Covered Equipment and originally purchased by you up to two years before your Apple TV or during the term of your APP for Apple TV coverage. b. Limitations. The Plan does not cover: (i) Installation, removal or disposal of the Covered Equipment, or installation, removal, repair, or maintenance of nonCovered Equipment (including accessories, attachments, or other devices such as external modems) or electrical service external to the Covered Equipment; (ii) Damage to the Covered Equipment caused by accident, abuse, neglect, misuse (including faulty installation, repair, or maintenance by anyone other than Apple or an Apple Authorized Service Provider), unauthorized modification, extreme environment (including extreme temperature or humidity), extreme physical or electrical stress or interference, fluctuation or surges of electrical power, lightning, static electricity, fire, acts of God or other external causes; (iii) Covered Equipment with a serial number that has been altered, defaced or removed; English 13 (iv) Problems caused by a device that is not the Covered Equipment, including equipment that is not Apple-branded, whether or not purchased at the same time as the Covered Equipment; (v) Service necessary to comply with the regulations of any government body or agency arising after the date of this Plan; (vi) The provision of replacement equipment during the period when the Covered Equipment is being repaired; (vii) Covered Equipment that has been lost or stolen. This Plan only covers Covered Equipment that is returned to Apple in its entirety; (viii) Cosmetic damage to the Covered Equipment including but not limited to scratches, dents and broken plastic on ports; (ix) Consumable parts, such as batteries, except in respect of battery coverage under APP for iPod or unless failure has occurred due to a defect in materials and workmanship; (x) Preventative maintenance on the Covered Equipment; (xi) Defects caused by normal wear and tear or otherwise due to normal aging of the product; or (xii) Damage to, or loss of any software or data residing or recorded in the Covered Equipment. When providing repair or replacement service, Apple will use reasonable efforts 14 English to reinstall the Covered Equipment’s original software configuration and subsequent update releases, but will not provide any recovery or transfer of software or data contained on the serviced unit not originally included in the Covered Equipment. DURING iPOD SERVICE THE CONTENTS OF YOUR iPOD WILL BE DELETED AND THE STORAGE MEDIA REFORMATTED. Your iPod or a replacement iPod will be returned to you as your iPod was configured when originally purchased, subject to applicable updates. Apple may install system software (“iPod OS”) updates as part of your service that will prevent the iPod from reverting to an earlier version of the iPod OS. Third party applications installed on the iPod may not be compatible or work with the iPod as a result of the iPod OS update. You will be responsible for reinstalling all other software programs, data and passwords. Recovery and reinstallation of software programs and user data are not covered under this Plan. c. Service Options. Apple may provide service through one or more of the following options: (i) Carry-in service is available for most Covered Equipment. Return the Covered Equipment requiring service to an Appleowned retail store or an Apple Authorized Service Provider location offering carry-in service. Service will be performed English 15 at the location, or the store or service provider may send the Covered Equipment to an Apple repair service location to be repaired. Once you are notified that service is complete, you will promptly retrieve the product. (ii) Onsite service is available for many desktop computers if the location of the Covered Equipment is within 50 miles/80 kilometers radius of an Apple authorized onsite service provider located in the United States or Canada. Onsite service is not available for some parts. The service for parts that cannot be repaired by onsite service may be repaired under Do-It-Yourself Parts service as described below. Apple will dispatch a service technician to the location of the Covered Equipment. Service will be performed at the location, or the service technician will transport the Covered Equipment to an Apple Authorized Service Provider or Apple repair service location for repair. If the Covered Equipment is repaired at an Apple Authorized Service Provider or Apple repair service location, Apple will arrange for transportation of the Covered Equipment to your location following service. If the service technician is not granted access to the Covered Equipment at the appointed time, any further onsite visits may be subject to an additional charge. 16 English (iii) Direct mail-in service is available for most Covered Equipment. If Apple determines that your Covered Equipment is eligible for mail-in service, Apple will send you prepaid way bills (and if you no longer have the original packaging, Apple may send you packaging material) and you will ship the Covered Equipment to Apple’s repair service location in accordance with its instructions. Once service is complete, the Apple repair service location will return the Covered Equipment to you. Apple will pay for shipping to and from your location if all instructions are followed. (iv) Do-It-Yourself Parts service is available for many Covered Equipment parts, allowing you to service your own product. If Do-It-Yourself Parts service is available in the circumstances, the following process will apply. (A) Do-It-Yourself Parts service where Apple requires return of the replaced part. Apple may require a credit card authorization as security for the retail price of the replacement part and applicable shipping costs. If you are unable to provide credit card authorization, Do-It-Yourself Parts service may not be available to you and Apple will offer alternative arrangements for service. Apple will ship a replacement part to you with installation instructions and any requirements for the return of the replaced part. English 17 If you follow the instructions, Apple will cancel the credit card authorization, so you will not be charged for the part and shipping to and from your location. If you fail to return the replaced part as instructed or return a replaced part that is ineligible for service, Apple will charge the credit card for the authorized amount. (B) Do-It-Yourself Parts service where Apple does not require return of the replaced part. Apple will ship you free of charge a replacement part accompanied by instructions on installation and any requirements for the disposal of the replaced part. (C) Apple is not responsible for any labor costs you incur relating to Do-It-Yourself Parts service. Should you require further assistance, contact Apple at the toll-free telephone number listed below. Apple reserves the right to change the method by which Apple may provide repair or replacement service to you, and your Covered Equipment’s eligibility to receive a particular method of service, including but not limited to onsite service at any time. Service will be limited to the options available in the country where service is requested. Service options, parts availability and response times may vary according to country. You may be responsible for shipping and handling charges if the Covered 18 English Equipment cannot be serviced in the country it is in. If you seek service in a country that is not the country of purchase, you will comply with all applicable export laws and regulations and be responsible for all custom duties, V.A.T. and other associated taxes and charges. For international service, Apple may repair or exchange defective products and parts with comparable products and parts that comply with local standards. d. Obtaining Repair or Replacement Service. To obtain service under this Plan, access the Apple website (www.apple.com/support) or call the toll-free telephone number listed below. Telephone numbers may vary according to your location. When accessing the website, follow the instructions for requesting repair service provided by Apple. If calling, an Apple technical support representative will answer, request your Plan Agreement Number or Covered Equipment serial number, advise you and determine what service is necessary for the Covered Equipment. All service is subject to Apple’s prior approval. Location of service may vary due to your location. Keep your Plan Confirmation document and the original sales receipt for your Covered Equipment and your Plan. Proof of purchase may be required if there is any question as to your product’s eligibility for Plan coverage.English 19 2. Technical Support a. Telephone and Web Support. Your eligibility for technical support begins on the date your Covered Equipment’s complimentary technical support expires or the date your Coverage Period begins, whichever is later, and terminates at the end of the Coverage Period (“Technical Coverage Period”). During the Technical Coverage Period Apple will provide you with access to telephone technical support and web-based technical support resources. Technical support may include assistance with installation, launch, configuration, troubleshooting, and recovery (except for data recovery), including storing, retrieving, and managing files; interpreting system error messages; and determining when hardware repairs are required. The scope of technical support provided to you will vary according to the Plan you purchased, as follows. (i) Under APP, Apple will provide technical support for the Covered Equipment, Apple’s operating system software (“Mac OS”) and Apple-branded consumer applications preinstalled with the Covered Equipment (“Consumer Software”). Apple will also provide technical support using the graphical user interface for server administration and network management issues on Apple’s operating system server software (“Mac OS Server”) pre-installed on a Mac. Apple will provide support for the then-current version of the Mac OS, Mac OS Server and Consumer Software, and the prior Major 20 English Release. For purposes of this section, “Major Release” means a significant version of software that is commercially released by Apple in a release number format such as “1.0” or “2.0” and which is not in beta or pre-release form. (ii) Under APP for iPod, Apple will provide technical support for the Covered Equipment, iPod OS and software applications that are pre-installed with the Covered Equipment (both referred to as “iPod Software”) and connectivity issues between the Covered Equipment and a supported computer, meaning a computer that meets the Covered Equipment’s connectivity specifications and runs an operating system that is supported by the Covered Equipment. Apple will provide support for the then-current version of the iPod Software, and the prior supported Major Release. (iii) Under APP for Apple Display, Apple will provide technical support for the Covered Equipment and connectivity issues between the Covered Equipment and a supported computer, meaning a computer that meets the Covered Equipment’s connectivity specifications and runs an operating system that is supported by the Covered Equipment. Apple will provide support for the then-current version of the operating system that it provides connectivity assistance for under APP for Apple Display, and the prior supported Major Release. English 21 (iv) Under APP for Apple TV, Apple will provide technical support for the Covered Equipment, software applications that are pre-installed with the Covered Equipment (“Apple TV Software”) and connectivity issues between the Covered Equipment, a supported computer and a supported television. Apple will provide support for the then-current version of the Apple TV Software and the prior supported Major Release. For purposes of this section, a “supported computer” means a computer that meets the Covered Equipment’s connectivity specifications and runs an operating system that is supported by the Covered Equipment, and a “supported television” means a television that meets the Covered Equipment’s connectivity specifications. b. Limitations. The Plan does not cover: (i) Your use of the Mac OS and Consumer Software as serverbased applications; (ii) Issues that could be resolved by upgrading software to the then current version; (iii) Your use of or modification to the Covered Equipment, the Mac OS, iPod Software, Apple TV Software or Consumer Software in a manner for which the Covered Equipment or software is not intended to be used or modified; 22 English (iv) Third-party products or their effects on or interactions with the Covered Equipment, the Mac OS, Mac OS Server, iPod Software, Apple TV Software or Consumer Software; (v) Your use of a computer or operating system under APP for iPod that is unrelated to iPod Software or connectivity issues with the Covered Equipment; (vi) Your use of a computer or operating system under APP for Apple Display that is unrelated to connectivity issues with the Covered Equipment; (vii) Your use of a computer or operating system under APP for Apple TV that is unrelated to Apple TV Software or connectivity issues with the Covered Equipment; (viii) Apple software other than the Mac OS, Mac OS Server, iPod Software, Apple TV Software or Consumer Software as covered under the applicable Plan; (ix) Mac OS software for servers, except when using the graphical user interface for server administration and network management issues on Mac OS Server pre-installed on a Mac; (x) Mac OS software or any Apple-branded software designated as “beta”, “prerelease,” or “preview” or similarly labeled software; (xi) Third-party web browsers, email applications, and Internet service provider software, or the Mac OS configurations necessary for their use, or English 23 (xii) Damage to, or loss of any software or data residing or recorded in the Covered Equipment. c. Obtaining Technical Support. You may obtain technical support by calling the toll-free telephone number listed below. The Apple technical support representative will provide you technical support. Apple’s hours of service are described below. Apple reserves the right to change its hours of technical service and telephone numbers at any time. Web-based support resources are offered to you at the Apple website (www.apple.com/support). 3. Your Responsibilities To receive service or support under the Plan, you agree to comply with the following a. Provide your Plan Agreement Number and serial number of the Covered Equipment; b. Provide information about the symptoms and causes of the problems with the Covered Equipment; c. Respond to requests for information, including but not limited to the Covered Equipment serial number, model, version of the operating system and software installed, any peripherals devices connected or installed on the Covered Equipment, any error messages displayed, actions taken before the Covered Equipment experienced the issue and steps taken to resolve the issue;24 English d. Follow instructions Apple gives you, including but not limited to refraining from sending Apple products and accessories that are not subject to repair or replacement service and packing the Covered Equipment in accordance with shipping instructions; and e. Update software to currently published releases prior to seeking service. 4. Limitation of Liability TO THE MAXIMUM EXTENT PERMITTED BY APPLICABLE LAW, APPLE AND ITS EMPLOYEES AND AGENTS WILL UNDER NO CIRCUMSTANCES BE LIABLE TO YOU OR ANY SUBSEQUENT OWNER FOR ANY INDIRECT OR CONSEQUENTIAL DAMAGES, INCLUDING BUT NOT LIMITED TO COSTS OF RECOVERING, REPROGRAMMING, OR REPRODUCING ANY PROGRAM OR DATA OR THE FAILURE TO MAINTAIN THE CONFIDENTIALITY OF DATA, ANY LOSS OF BUSINESS, PROFITS, REVENUE OR ANTICIPATED SAVINGS, RESULTING FROM APPLE’S OBLIGATIONS UNDER THIS PLAN. TO THE MAXIMUM EXTENT PERMITTED BY APPLICABLE LAW, THE LIMIT OF APPLE AND ITS EMPLOYEES AND AGENT’S LIABILITY TO YOU AND ANY SUBSEQUENT OWNER ARISING UNDER THE PLAN SHALL NOT EXCEED THE ORIGINAL PRICE PAID FOR THE PLAN. APPLE SPECIFICALLY DOES NOT WARRANT THAT IT WILL BE ABLE TO (i) REPAIR OR REPLACE COVERED EQUIPMENT WITHOUT RISK TO OR LOSS OF PROGRAMS OR DATA, AND (ii) MAINTAIN THE CONFIDENTIALITY OF DATA. English 25 FOR CONSUMERS IN JURISDICTIONS WHO HAVE THE BENEFIT OF CONSUMER PROTECTION LAWS OR REGULATIONS, THE BENEFITS CONFERRED BY THIS PLAN ARE IN ADDITION TO ALL RIGHTS AND REMEDIES PROVIDED UNDER SUCH LAWS AND REGULATIONS. TO THE EXTENT THAT LIABILITY UNDER SUCH LAWS AND REGULATIONS MAY BE LIMITED, APPLE’S LIABILITY IS LIMITED, AT ITS SOLE OPTION, TO REPLACE OR REPAIR OF THE COVERED EQUIPMENT OR SUPPLY OF THE SERVICE. SOME STATES OR PROVINCES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF INCIDENTAL OR CONSEQUENTIAL DAMAGES, SO SOME OR ALL OF THE ABOVE LIMITATIONS MAY NOT APPLY TO YOU. 5. Cancellation You may cancel this Plan at any time for any reason. If you decide to cancel either call Apple at the telephone number below, or send or fax written notice with your Plan Agreement Number to AppleCare Administration, P.O. Box 149125, Austin, TX 78714-9125, U.S. (fax number 512-6748125). A copy of the Plan’s original proof of purchase must accompany your notice. Unless local law provides otherwise, if you cancel within thirty (30) days of your Plan’s purchase, or receipt of these Terms and Conditions, whichever occurs later, you will receive a full refund less the value of any service provided under the Plan. If you cancel more than thirty (30) days after your receipt of this Plan, you will receive a pro rata refund of the original purchase price, based on the percentage of unexpired Coverage Period, less (a) a 26 English cancellation fee of twenty-five ($25 USD) dollars or ten percent (10%) of the pro-rata amount, whichever is less, and (b) the value of any service provided to you under the Plan. Unless applicable local law provides otherwise, Apple may cancel this Plan if service parts for the Covered Equipment become unavailable, upon thirty (30) days’ prior written notice. If Apple cancels this Plan, you will receive a pro-rata refund for the Plan’s unexpired term. 6. Transfer of Plan Subject to the restrictions set forth below, you may make a one-time permanent transfer of all of your rights under the Plan to another party, provided that: (a) the transfer must include the original Proof of Purchase, the Plan’s Certificate and all of the Plan’s packaging material, including printed materials and these Terms and Conditions; (b) you notify Apple of the transfer by sending, faxing or emailing notice of transfer to Apple Inc., ATTN: Agreement Administration, MS: 217AC, 2511 Laguna Blvd, Elk Grove, CA 95758, U.S., fax number 916-399-7337 or agmts_transfer@apple.com, respectively; and (c) the party receiving the Plan reads and agrees to accept the Terms and Conditions of the Plan. When notifying Apple of the transfer of the Plan, you must provide the Plan Agreement Number, the serial numbers of the Covered Equipment being transferred and the name, address, telephone number and email address of the new owner. English 27 7. General Terms a. Apple may subcontract or assign performance of its obligations to third parties but shall not be relieved of its obligations to you in doing so. b. Apple is not responsible for any failures or delays in performing under the Plan that are due to events outside Apple’s reasonable control. c. You are not required to perform preventative maintenance on the Covered Equipment to receive service under the Plan. d. This Plan is offered and valid only in the fifty states of the United States of America, the District of Columbia and Canada. This Plan is not offered to persons who have not reached the age of majority. This Plan is not available where prohibited by law. e. In carrying out its obligations Apple may, at its discretion and solely for the purposes of monitoring the quality of Apple’s response, record part or all of the calls between you and Apple. f. You agree that any information or data disclosed to Apple under this Plan is not confidential or proprietary to you. Furthermore, you agree that Apple may collect and process data on your behalf when it provides service. This may include transferring your data to affiliated companies or service providers located in countries where data protection laws may be less comprehensive than your country of residence, including but not limited to Australia, 28 English Canada, countries of the European Union, India, Japan, the People’s Republic of China and the U.S. g. Apple has security measures, which should protect your data against unauthorized access or disclosure as well as unlawful destruction. You will be responsible for the instructions you give to Apple regarding the processing of data, and Apple will seek to comply with those instructions as reasonably necessary for the performance of the service and support obligations under the Plan. If you do not agree with the above or if you have questions regarding how your data may be impacted by being processed in this way, contact Apple at the telephone numbers provided. h. Apple will protect your information in accordance with Apple Customer Privacy Policy available at URL www.apple.com/legal/privacy. If you wish to have access to the information that Apple holds concerning you or if you want to make changes, access URL www.apple.com/contact/myinfo to update your personal contact preferences or you may contact Apple at privacy@apple.com. i. The Terms and Conditions of this Plan prevail over any conflicting, additional, or other terms of any purchase order or other document, and constitute your and Apple’s entire understanding with respect to the Plan.English 29 j. Your rights under the Plan are in addition to any warranty rights you may be entitled to. You must purchase and register the Plan while your Covered Equipment is within Apple’s One Year Limited warranty. Apple is not obligated to renew this Plan. If Apple does offer a renewal, it will determine the price and terms. k. There is no informal dispute settlement process available under this Plan. l. For Plans sold in the United States, “Apple” is AppleCare Service Company, Inc. an Arizona corporation with its registered office at c/o CT Corporation System, 2394 East Camelback Road, Phoenix, Arizona 85016, doing business in the state of Texas as Apple CSC, Inc., and the obligations of such Plans are backed by the full faith and credit of the provider, AppleCare Service Company, Inc. For Plans sold in Canada, “Apple” is Apple Canada Inc., 7495 Birchmount Road, Markham, Ontario, L3R 5G2, Canada. Apple Canada Inc. is the legal and financial obligor for Plans sold in Canada. m. The Administrator for Plans sold in the United States is Apple Inc. (the “Administrator”), a California corporation with its registered office at 1 Infinite Loop, Cupertino, California 95014. The Administrator is responsible for the collection and transfer to AppleCare Service Company, Inc. of the purchase price for the Plan and for the administration of claims under the Plan. 30 English n. Except where prohibited by law, the laws of the state of California govern Plans purchased in the United States. Except where prohibited by law, the laws of the province of Ontario govern Plans purchased in Canada. If the law of any jurisdiction where this Plan is purchased is inconsistent with these terms, including the jurisdictions of Arizona, Florida, Georgia, Nevada, Oregon, Vermont, Washington, and Wyoming, the law of that jurisdiction will control. o. Support services under this Plan may be available in English and French only. p. There is no deductible payment due in respect of a claim made under this Plan. q. The Plan will not be cancelled due to pre-existing conditions in the Covered Equipment that are eligible for service under this Plan. 8. State Variations The following state variations will control if inconsistent with any other provisions of this Plan: Alabama, California, Hawaii, Maryland, Minnesota, Missouri, New Mexico, New York, Nevada, South Carolina, Texas, Washington and Wyoming Residents If you cancel this Plan pursuant to Section 5 of these Terms and Conditions, and we fail to refund the purchase price to you within thirty (30) days for California, New York, Missouri and Washington English 31 residents, within forty-five (45) days for Alabama, Hawaii, Maryland, Minnesota, Nevada, South Carolina, Texas and Wyoming residents, and within sixty (60) days for New Mexico residents, we are required to pay you a penalty of 10% per month for the unpaid amount due and owing to you. The right to cancel and receive this penalty payment only applies to the original owner of the Agreement and may not be transferred or assigned. The obligations of the provider under this service contract are backed by the full faith and credit of the provider, AppleCare Service Company, Inc. California Residents If you cancel within thirty (30) days of your Plan receipt, you will receive a full refund less the value of any service provided under the Plan. Colorado Residents Notice: This Plan is subject to the Colorado Consumer Protection Act or the Unfair Practices Act, Articles 1 and 2 of Title 6, CRS. Connecticut Residents The expiration date of the Plan will automatically be extended by the period that the Covered Equipment is in Apple’s custody while being serviced. Resolution of Disputes: Disputes may be resolved by arbitration. Unresolved disputes or complaints may be mailed, with a copy of this Plan, to State of Connecticut, Insurance Dept., P.O. Box 816, Hartford, CT 06142-0846, Attn: Consumer Affairs.32 English Florida Residents The laws of the State of Florida will govern this Plan and any disputes arising under it. The rate charged for the contract is not subject to regulation by the Florida Office of Insurance Regulation. Michigan Residents If performance of the service contract is interrupted because of a strike or work stoppage at the company’s place of business, the effective period of the service contract shall be extended for the period of the strike or work stoppage. Nevada Residents Cancellations: No Plan that has been in effect for at least 70 days may be canceled by the provider before the expiration of the agreed term or one year after the effective date of the Plan, whichever occurs first, except on the following grounds: a. Failure by the holder to pay an amount due; b. Conviction of the holder of a crime which results in an increase in the service required; c. Discovery of fraud or material misrepresentation by the holder in obtaining the Plan, or in presenting a claim for service thereunder; d. Discovery of an act or omission by the holder, or a violation by the holder of any condition of the Plan, which occurred after the English 33 effective date of the Plan and which substantially and materially increases the service required under the Plan; e. A material change in the nature or extent of the required service or repair which occurs after the effective date of the Plan and which causes the required service or repair to be substantially and materially increased beyond that contemplated at the time that the Plan was issued or sold. Grounds for cancellation; date cancellation effective. No cancellation of a service contract may become effective until at least 15 days after the notice of cancellation is mailed to the holder. Cancellation of contract; Refund of purchase price; cancellation fee. (i) If Apple cancels this Plan, Apple shall refund to Nevada consumers the portion of the purchase price that is unearned. Apple may deduct any outstanding balance on your account from the amount of the purchase price that is unearned when calculating the amount of the refund. If Apple cancels a contract pursuant to NRS 690C.270, it may not impose a cancellation fee. (ii) Except as otherwise provided in this section, a Nevada resident who is the original purchaser of this Plan, who submits to Apple a request in writing to cancel the Plan in accordance with the terms of the Plan, shall receive a refund of the portion of the Plan’s purchase price that is unearned. 34 English (iii) If you request the cancellation of this Plan, Apple may impose the cancellation fee described in the Plan, but will not deduct the value of any service provided. (iv) When Apple calculates the amount of a refund pursuant to subsection (ii), it may deduct from the portion of the purchase price that is unearned: (a) any outstanding balance on the account; and (b) any cancellation fee imposed pursuant to this Plan. AppleCare Service Company, Inc. backs this Plan for Nevada residents by its full faith and credit. New Hampshire Residents In the event you do not receive satisfaction under this contract, you may contact the New Hampshire insurance department, by mail at State Of New Hampshire Insurance Department, 21 South Fruit Street, Suite 14, Concord NH 03301, or by telephone, via Consumer Assistance, at 800-852-3416. New Mexico Residents Cancellations: No Plan that has been in effect for at least 70 days may be canceled by the provider before the expiration of the agreed term or one year after the effective date of the Plan, whichever occurs first, except on the following grounds: English 35 a. Failure by the holder to pay an amount due; b. Conviction of the holder of a crime which results in an increase in the service required; c. Discovery of fraud or material misrepresentation by the holder in obtaining the Plan, or in presenting a claim for service thereunder; d. Discovery of an act or omission by the holder, or a violation by the holder of any condition of the Plan, which occurred after the effective date of the Plan and which substantially and materially increases the service required under the Plan; e. A material change in the nature or extent of the required service or repair which occurs after the effective date of the Plan and which causes the required service or repair to be substantially and materially increased beyond that contemplated at the time that the Plan was issued or sold. North Carolina Residents The purchase of this Plan is not required either to purchase or to obtain financing for computer equipment. Apple will not cancel this plan EXCEPT for failure to pay the purchase price for the Plan. Oregon Residents In the event you do not receive satisfaction under this contract, you may contact the Oregon Department of Consumer and Business Services by mail at the Department of Consumer and Business 36 English Services, Oregon Insurance Division, 350 Winter Street NE, Salem, OR 97301; or by telephone via Consumer Advocacy, at 888-877-4894. South Carolina Residents Unresolved complaints or Plan regulation questions may be addressed to the South Carolina Department of Insurance, P.O. Box 100105, Columbia, South Carolina 29202-3105, Tel: 1-800-768-3467. Tennessee Residents This Plan shall be extended as follows: (1) the number of days the consumer is deprived of the use of the product because the product is in repair; plus two (2) additional workdays. Texas Residents The provider may cancel this Plan with no prior notice for nonpayment, misrepresentation or a substantial breach of a duty by the holder relating to the Covered Equipment or its use. Unresolved complaints or Contract regulation questions may be addressed to the TX Dept. of Licensing and Regulation, P.O. Box 12157, Austin, TX 78711, U.S. Wisconsin Residents THIS WARRANTY IS SUBJECT TO LIMITED REGULATION BY THE OFFICE OF THE COMMISSIONER OF INSURANCE. If you cancel within thirty (30) days of your Plan’s purchase, or receipt of these Terms and Conditions, whichever occurs later, you will receive English 37 a full refund. If you cancel more than thirty (30) days after your receipt of the Plan, you will receive a pro-rata refund of the original purchase price, based on the percentage of unexpired Coverage Period, less a cancellation fee of twenty-five ($25 USD) dollars or ten percent (10%) of the pro-rata amount, whichever is less. No deduction shall be made from the refund for the cost of any service received. Apple will not cancel this plan EXCEPT for failure to pay the purchase price for the plan. If Apple cancels the Plan, you will receive a prorata refund for the Plan’s unexpired term. Wyoming Residents If Apple cancels this Plan, Apple will mail to you written notice of the cancellation at your last known address contained in Apple’s records no less than ten (10) days prior to the effective cancellation date. The prior written notice will contain the effective date of cancellation and the reasons for cancellation. Apple is not obligated to provide prior notice if cancellation is due to nonpayment of the Plan, a material misrepresentation by you to Apple, a substantial breach of your duties under the Plan or a substantial breach of your duties relating to the Covered Equipment or its use. Disputes arising under this Plan may be settled in accordance with the Wyoming Arbitration Act.38 English Toll-Free Numbers In the U.S. In Canada 800-APL-CARE (800-275-2273) 800-263-3394 Seven days a week Seven days a week 8:00 A.M. to 8:00 P.M. Central time * 9:00 A.M. to 9:00 P.M. Eastern time * * Telephone numbers and hours of operation may vary and are subject to change. You can find the most up-to-date local and international contact information at www.apple.com/contact/phone_contacts.html. Toll-free numbers are not available in all countries. APP NA v.5.3Français 39 AppleCare Protection Plan pour Apple TV Fiche d’informations Des services et une assistance fournis par les personnes qui connaissent le mieux votre Apple TV Le programme AppleCare Protection Plan pour Apple TV prolonge la durée de la couverture gratuite de votre Apple TV à deux ans* maximum d’assistance à l’échelle internationale. Il inclut une assistance assurée par des spécialistes et vous propose des ressources sur le web à l’adresse www.apple.com/ca/fr/support/appletv. Si votre Apple TV ou ses accessoires inclus nécessitent quelque réparation, Apple s’engage à les réparer ou les remplacer ** . Informations concernant la garantie Ce programme complet est disponible pour tous les modèles d’Apple TV encore couverts par la garantie d’un an. Si vous vendez l’Apple TV couvert avant expiration du programme AppleCare Protection Plan pour Apple TV, vous pouvez transférer le programme au nouveau propriétaire ** . Vous devez souscrire à un programme AppleCare Protection Plan pour chaque Apple TV que vous souhaitez couvrir. 40 Français Conservez le document Preuve de garantie, les factures d’origine correspondant à l’Apple TV et le reçu du programme AppleCare Protection Plan pour Apple TV. Apple pourrait réclamer une preuve d’achat en cas de doute concernant le droit à couverture de votre Apple TV par le programme AppleCare Protection Plan. Options d’assistance technique Si des problèmes se présentent lors de l’utilisation de votre Apple TV, suivez les instructions du Guide de référence rapide pour suivre les astuces de dépannage. Si vous ne parvenez pas à résoudre le problème seul, le personnel AppleCare peut vous aider à diagnostiquer le problème avec votre Apple TV, sa connexion avec iTunes et son branchement à votre téléviseur. Vous trouverez la liste des contacts et des horaires du service d’assistance technique d’Apple dans le Guide de référence rapide. À travers le programme AppleCare Protection Plan pour Apple TV, Apple assure le même service pour les utilisateurs Mac et Windows. Service matériel Ce programme étend les services de réparation et de remplacement de la garantie d’un an assurée par Apple à une assistance pouvant durer jusqu’à deux ans à compter de la date d’achat de votre Apple TV. Si vous faites appel aux services d’Apple, les options d’enlèvement à domicile par transporteur ou de service après-vente en magasin sont applicables. Reportez-vous au Guide de référence rapide pour en savoir Français 41 plus sur l’obtention de ces services. Le matériel de remplacement fourni par Apple comme partie intégrante du service de réparation ou de remplacement peut être neuf ou, en termes de performances et de fiabilité, équivalent au neuf. * À partir de la date d’achat d’origine de votre Apple TV. ** Pour de plus amples informations, consultez les Conditions Générales du programme AppleCare Protection Plan, ci-jointes.42 Français AppleCare Protection Plan pour Apple TV Guide de référence rapide Essayez les opérations suivantes, faciles à réaliser, avant d’appeler Apple pour obtenir de l’aide. Pour tout problème concernant l’Apple TV, suivez les procédures de dépannage mentionnées ci-après. Par mesure de précaution, sauvegardez toutes les données de votre ordinateur avant de procéder au dépannage. Vérifiez que vous disposez de la dernière version d’iTunes. Vous pouvez télécharger la dernière version d’iTunes à partir de l’adresse www.apple.com/ca/fr/itunes/download pour le Canada. Visitez le site web d’assistance technique de l’Apple TV. Ce site contient des liens donnant accès aux différentes options de service mises à votre disposition, à des guides d’initiation sur l’Apple TV, à des forums de discussion et à de nombreuses autres ressources de type questions et réponses, tous disponibles 24 heures sur 24 à l’adresse www.apple.com/ca/fr/support/appletv pour le Canada.Français 43 Contactez Apple pour obtenir une assistance supplémentaire. Si les procédures de ce guide ne vous permettent pas de résoudre le problème rencontré, contactez Apple. Un technicien Apple vous demandera le numéro de votre contrat AppleCare Protection Plan pour Apple TV ou bien le numéro de série de votre Apple TV, situé en bas de votre appareil. Aux États Unis Au Canada (800)-APL-CARE (800-275-2273) 800-263-3394 7 jours sur 7 7 jours sur 7 De 8H00 à 20H00 De 9H00 à 21H00 (Heure du centre)* (Heure de l’Est)* * Les numéros de téléphone et les heures d’ouverture au public peuvent varier et sont susceptibles d’être modifiés. Vous trouverez la toute dernière liste des contacts nationaux et internationaux à l’adresse www.apple.com/contact/phone_contacts.html.44 Français Programme AppleCare Protection Plan Programme AppleCare Protection Plan pour iPod Programme AppleCare Protection Plan pour Apple Display Programme AppleCare Protection Plan pour Apple TV Modalités Votre programme AppleCare Protection Plan (ci-après « APP »), programme AppleCare Protection Plan pour iPod (ci-après « APP pour iPod »), programme AppleCare Protection Plan pour Apple Display (ci-après « APP pour Apple Display ») ou programme AppleCare Protection Plan pour Apple TV (ci-après « APP pour Apple TV ») (chacun étant désigné ci-après comme le « Programme ») est régi par les présentes modalités et ces modalités constituent votre contrat auprès de l’entité Apple décrite dans l’article 7.l ci-dessous (ci-après « Apple »). Sujet aux présentes modalités, votre Programme (i) couvre les vices du ou des produits de marque Apple énumérés dans le Certificat ou la Preuve de garantie de votre Programme (ci-après « Confirmation d’adhésion au Programme ») et les accessoires inclus dans l’emballage original du ou des produits (ci-après le « Produit couvert »), et (ii) vous fournit une assistance téléphonique et l’accès à des ressources d’aide Internet pour le Produit couvert. Pour obtenir la Confirmation d’adhésion au Programme, vous devez enregistrer Français 45 votre numéro unique de contrat ou d’adhésion (ci-après « Numéro de contrat du Programme ») tel que indiqué aux instructions incluses dans l’emballage du Programme. Les Clients qui ont choisi l’option d’adhésion automatique (Auto-Registration), dans les cas où elle est offerte, recevront automatiquement une Confirmation d’adhésion au Programme. Le terme de ce Programme (ci-après « Période de garantie ») est pour la période terminant à la date indiquée à la Confirmation d’adhésion au Programme. Le prix du Programme figure sur l’original de la facture du Programme. 1. Garantie de réparation a. Portée de la Garantie. Votre garantie couvrant les vices prend effet à la date d’expiration et de terminaison de votre garantie matérielle Apple pour le Produit couvert (« Période de la garantie de réparation »). Apple fournira les pièces et la main-d’œuvre, mais pourra vous demander de remplacer vous-même certaines pièces faciles à installer. Ce processus est décrit ci-dessous. Le produit de remplacement et les pièces de rechange fournis par Apple peuvent être fabriqués à partir de pièces neuves ou équivalentes à neuf du point de vue de rendement et fiabilité. Toute pièce de rechange ou produit de remplacement sera équivalent du point de vue fonctionnel à la pièce ou au produit remplacé, et demeurera couvert pour la Période de garantie restant à courir en vertu du Programme. Toute pièce ou produit remplacé devient la propriété 46 Français d’Apple. Apple vous recommande fortement d’enregistrer comme copie de sauvegarde des données et logiciels qui résident ou sont stockés dans le Produit couvert avant d’assurer la disponibilité du Produit couvert pour le service de réparation ou de remplacement. La portée de soutien qui vous sera fournie variera selon le Programme que vous achetez comme suit. (i) Pour l’APP, Apple couvre le Produit couvert et un écran de marque Apple, à condition qu’il ait été acheté et enregistré en même temps qu’un ordinateur Mac couvert. Une souris et un clavier de marque Apple sont également couverts, si ceux-ci font partie du Produit couvert (ou sont achetés avec un Mac mini). Une carte AirPort Extreme, des bornes d’accès AirPort Express ou AirPort Extreme et Time Capsule, une carte vidéo DVI/CAN de marque Apple ainsi que des modules de mémoire vive MacBook Air SuperDrive de marque Apple sont également couverts sous l’APP s’ils sont utilisés avec le Produit couvert et sont achetés à l’origine par vous jusqu’à deux (2) ans avant l’achat de votre Mac ou pendant le terme de l’APP. Si, au cours de la Période de la garantie de réparation, le Produit couvert ou un autre item couvert tel qu’indiqué ci-dessus, présente des vices de matériau ou de main-d’œuvre, Apple s’engage, à sa discrétion, à réparer ou à remplacer l’item couvert défectueux. Français 47 (ii) Pour l’APP pour iPod, Apple s’engage, à sa discrétion, à réparer ou à remplacer le Produit couvert affecté (a) si au cours de la Période de la garantie de réparation, le Produit couvert présente des vices de matériau ou de main-d’œuvre, ou (b) si au cours de la Période de la garantie,la capacité de la pile iPod couverte de maintenir une charge électrique a diminué de cinquante pour cent (50%) ou plus de ses caractéristiques originales après avoir été entièrement rechargé et le matériel iPod couvert joue de la musique quand toutes les options sont à leur état initial. (iii) Pour l’APP pour Apple Display ou l’APP pour Apple TV, Apple s’engage, à sa discrétion, à réparer ou à remplacer le Produit couvert affecté si au cours de la Période de la garantie de réparation, le Produit couvert présente des vices de matériau ou de main-d’œuvre. Une carte AirPort Extreme, des bornes d’accès AirPort Express ou AirPort Extreme Base Station et Time Capsule sont également couverts par l’APP pour Apple TV s’ils sont utilisés avec le Produit couvert et sont achetés à l’origine par vous jusqu’à deux (2) ans avant l’achat de votre Apple TV ou pendant le terme de votre APP pour Apple TV. 48 Français b. Exclusions. Ce Programme ne couvre pas: (i) l’installation, l’enlèvement ou le déplacement du Produit couvert; l’installation, l’enlèvement, le déplacement, la réparation ou l’entretien d’un produit non couvert (y compris les accessoires, périphériques ou autres dispositifs tels que les modems externes); ou les services électriques qui ne sont pas inhérents au Produit couvert; (ii) les dommages au Produit couvert attribuables à un accident, à un abus, à une négligence, à une mauvaise utilisation (notamment l’installation, la réparation ou l’entretien inappropriés réalisés par quelqu’un d’autre qu’Apple ou qu’un prestataire de services agréé Apple), la modification non autorisée, un environnement inadapté (notamment une température ou une humidité inadéquates), des contraintes ou des interférences physiques ou électriques inhabituelles, une variation ou surtension de l’alimentation électrique, la foudre, l’électricité statique, un incendie, un cas fortuit ou une autre cause étrangère; (iii) le Produit couvert dont le numéro de série a été modifié, dégradé ou supprimé; Français 49 (iv) des problèmes causés par un dispositif étranger au Produit couvert, y compris le matériel qui n’est pas de marque Apple, qu’il ait été ou non acquis au même moment que le Produit couvert; (v) le service nécessaire pour assurer la conformité avec la réglementation d’une agence ou d’un organisme gouvernemental, qui aurait été adoptée après la date de ce Programme; (vi) la mise à disposition d’un produit de remplacement au cours de la période de réparation du Produit couvert; (vii) le Produit couvert qui aurait été perdu ou volé. Ce Programme ne couvre que le Produit couvert qui est retourné à Apple dans son intégralité; (viii) les dommages esthétiques causés au Produit couvert (notamment, les égratignures, le bossellement et le bris des pièces en plastique des ports); (ix) les consommables comme les piles, sauf la pile iPod couverte sous l’APP pour iPod ou sauf si le défaut est survenu en raison d’un vice de matériau ou de main-d’œuvre; (x) l’entretien préventif du Produit couvert; (xi) les défauts résultant d’usure normale ou autrement du vieillissement normal du produit; ou 50 Français (xii) les dommages affectant ou perte des logiciels ou données qui résident ou sont stockés dans le Produit couvert. Dans le cadre de la prestation de services de réparation ou de remplacement, Apple emploiera tous ses efforts raisonnables pour réinstaller la configuration originale du logiciel du matériel couvert ainsi que les mises à jour ultérieures, mais ne fournira aucun service de reprise ou de transfert pour des logiciels ou données contenus dans le produit remplacé qui n’auraient pas été installés à l’origine sur le Produit couvert. LES CONTENUS DE VOTRE iPOD SERONT PERDUS ET LE SUPPORT DE STOCKAGE SERA REFORMATÉ DURANT LA PRESTATION DU SERVICE D’iPOD. Votre iPod ou un iPod de rechange vous sera retourné selon la configuration qui existait au moment de son achat, sous réserve des mises à jour applicables. Apple pourrait au titre du service, installer des mises à jour du logiciel de base (« iPod OS ») qui empêcheront l’iPod de revenir à une version précédente de l’iPod OS. Les applications de tiers installées sur l’iPod peuvent ne pas être compatibles ni fonctionner à la suite de la mise à jour de l’iPod OS. Vous êtes responsable de la réinstallation des autres programmes logiciels, données et mots de passe. La récupération et la réinstallation des programmes logiciels et données de l’utilisateur ne sont pas couvertes par le présent Programme.Français 51 c. Options offertes pour le service de réparation ou de remplacement. Apple pourra fournir la prestation des services en question moyennant l’une ou plusieurs des méthodes suivantes: (i) Service après-vente en magasin est offert pour la plupart des composants du Produit couvert. Vous devez remettre le Produit couvert défectueux à un magasin de détail appartenant à Apple ou à un prestataire de services agréé Apple qui offre un service après-vente en magasin. Les services de réparation ou de remplacement seront réalisés sur place ou dans un centre de réparation Apple auquel le magasin ou le prestataire de services aura fait parvenir le Produit couvert qui devrait être réparé. Vous devez récupérer le Produit promptement après avoir été avisé de sa réparation ou de son remplacement. (ii) Le service sur place est offert pour de nombreux ordinateurs personnels à condition que le Produit couvert soit situé dans un rayon de 50 milles ou de 80 kilomètres d’un prestataire de service sur place agréé situé aux États-Unis d’Amérique ou au Canada. Le service sur place n’est pas offert pour certaines pièces. Les pièces ne pouvant pas être réparées par le service sur place, peuvent être réparées dans le cadre du service de réparation par envoi de pièces à installer vous-même décrit ci-dessous. Apple enverra un technicien à l’endroit où se 52 Français trouve le Produit couvert aux fins de la prestation du service de réparation ou de remplacement. Soit le service sera réalisé sur place soit le technicien transportera le Produit couvert à un prestataire de services agrée Apple ou à un centre de réparation Apple pour fins de réparation. Si le Produit couvert est réparé chez un prestataire de services agrée Apple ou à un centre de réparation Apple, Apple fera le nécessaire pour que le Produit couvert soit transporté à vos locaux à la suite du service. Si le technicien n’est pas donné accès au Produit Couvert à l’heure convenue, tout service sur place additionnel pourrait être assujetti aux frais de service supplémentaires. (iii) Le service de réparation par envoi du matériel en panne par courrier est offert pour la plupart des Produits couverts. Lorsque Apple décide que votre Produit couvert peut être réparé moyennant ce service, Apple vous enverra des lettres de transport prépayées (et au cas où vous ne posséderiez plus l’emballage original, Apple peut vous faire parvenir un emballage) afin que vous expédiez le Produit couvert à l’un des centres de réparation Apple conformément à ses instructions. Lorsque la réparation est terminée, le centre de réparation Apple vous renvoie le Produit couvert. Apple paiera les frais d’expédition aller-retour à partir de l’endroit où est situé le Produit couvert à la condition que vous respectiez toutes les instructions fournies par Apple.Français 53 (iv) Le service de réparation par envoi de pièces à installer vous-même est offert pour un grand nombre de pièces du Produit couvert, afin que vous répariez votre propre produit. Lorsque les circonstances permettent ce service, la procédure suivante s’applique. (A) Le service de réparation par envoi de pièces à installer vous-même pour lequel Apple exige le retour des pièces remplacées. Apple peut exiger une autorisation de débit du compte de votre carte de crédit comme garantie du prix de détail de la pièce de rechange et des frais d’expédition applicables. Si vous n’êtes pas en mesure de fournir une telle autorisation, le service de réparation par envoi de pièces à installer vous-même peut vous être refusé, et Apple vous proposera d’autres solutions pour la réparation. Apple vous expédiera une pièce de rechange avec des instructions sur son installation et toute exigence relative au retour de la pièce remplacée. Si vous vous conformez aux instructions, Apple annulera l’autorisation de débit du compte de votre carte de crédit, de sorte que votre compte ne sera pas débité pour le prix de la pièce et les frais de transport aller-retour à partir de l’endroit où le Produit couvert est situé. Si vous omettez de retourner la pièce remplacée de la manière prescrite ou si vous retournez une pièce qui n’est pas 54 Français admissible au service, Apple facturera le compte de votre carte de crédit pour le montant autorisé. (B) Le service de réparation par envoi de pièces à installer vous-même pour lequel Apple n’exige pas le retour des pièces remplacées. Apple vous enverra gratuitement une pièce de rechange accompagnée des instructions pour l’installation et toute condition relative à la disposition de la pièce remplacée. (C) Apple n’est pas responsable du coût de la main-d’œuvre relié au service de réparation par envoi de pièces à installer vous-même. Si vous exigez une assistance supplémentaire, veuillez communiquer avec Apple au numéro de téléphone sans frais indiqué ci-dessous. Apple se réserve le droit de modifier à tout moment la méthode par laquelle Apple peut vous fournir le service de réparation ou de remplacement, et le droit de votre Produit couvert à bénéficier d’une méthode particulière de service, notamment le service sur place. Les méthodes de service seront limitées aux méthodes disponibles dans le pays où le service est demandé. Votre droit à bénéficier d’une méthode particulière de service, la disponibilité des pièces de rechange et le temps de réponse sont susceptibles de varier d’un pays à l’autre. Vous pourrez être responsable des frais de transport et de manutention si le service Français 55 ne peut pas être fourni dans le pays où le Produit couvert se trouve. Si vous réclamez un service dans un pays qui n’est pas le pays d’achat, vous devrez vous conformer à toutes les lois et à tous les règlements applicables en matière d’exportation, et vous assumerez tous les droits de douane, TVA, et autre taxes et frais connexes. Pour le service international, Apple peut réparer ou échanger des produits et des pièces défectueux par des produits et pièces comparables qui sont conformes aux normes locales. d. Obtention d’un service de réparation. Pour obtenir un service de réparation en vertu du présent Programme, veuillez visiter le site web d’Apple (www.apple.com/support ou www.apple.com/ca/fr/support) ou composer le numéro de téléphone sans frais indiqué ci-dessous. Les numéros de téléphone peuvent varier selon votre localisation. Lorsque vous accéderez au site web, suivez les instructions fournies par Apple. Si vous appelez le numéro de téléphone, un représentant du service d’assistance technique répondra, demandera votre Numéro de contrat du Programme ou le numéro de série du Produit couvert, vous conseillera et déterminera quel service est requis pour le Produit couvert. Tout service est sujet à l’approbation préalable d’Apple. L’endroit de service peut varier à cause de votre localisation. Conservez votre Confirmation d’adhésion au Programme ainsi que l’original de la facture 56 Français afférente au Produit couvert et à votre adhésion au Programme. Une preuve d’achat peut vous être demandée en cas de doute concernant la couverture de votre produit par le Programme. 2. Assistance technique a. Assistance technique par téléphone ou Internet. Votre admissibilité à l’assistance technique prend effet à la date d’expiration de l’assistance technique gratuite ou la date de commencement de votre Période de la garantie, selon la date la plus tardive, et termine à la fin de la Période de la garantie (« Période de la garantie technique »). Au cours de la Période de la garantie technique, Apple vous fournit une assistance technique par téléphone ainsi que des ressources Internet. Cette assistance peut comprendre l’assistance avec l’installation, le lancement, la configuration, le dépannage et la reprise (à l’exclusion de la reprise de données), y compris le stockage, la récupération et la gestion de fichiers; l’interprétation de messages d’erreur système; et la détermination de l’opportunité de réparer du matériel informatique. La portée de l’assistance technique qui vous sera fournie variera selon le Programme acheté comme suit. (i) Pour l’APP, Apple fournira une assistance technique pour le Produit couvert, le système d’exploitation Apple (ci-après « Mac OS ») et les applications grand public de marque Apple préinstallées avec le Produit couvert (ci-après les Français 57 « Logiciels grand public »). De plus, Apple fournira une assistance technique pour les questions d’administration de serveur ou de réseau par l’entremise de l’interface d’utilisateur graphique se trouvant sur le logiciel du système d’exploitation de serveur Apple (« Mac OS Server ») pré-installé sur un Mac. Apple fournira une assistance technique pour la dernière version disponible du Mac OS, du Mac OS Server et des Logiciels grand public et pour la principale version précédente. Pour les fins de cet article, « principale version » signifie une version importante du logiciel commercialisée par Apple portant un numéro de version de format comme « 1.0 » ou « 2.0 » mais qui n’est pas de version bêta ou préversion. (ii) Pour l’APP pour iPod, Apple fournira une assistance technique pour le Produit couvert, pour l’iPod OS et les logiciels pré-installés avec le Produit couvert (tous deux étant désignés comme les « Logiciels iPod »), et pour des questions de connectivité entre le Produit couvert et un ordinateur soutenu c.-à-d. un ordinateur qui satisfait aux spécifications de connectivité du Produit couvert et qui utilise un système d’exploitation soutenu par le Produit couvert. Apple fournira une assistance technique pour la dernière version des Logiciels iPod et pour la version principale précédente soutenue.58 Français (iii) Pour l’APP pour Apple Display, Apple fournira une assistance technique pour le Produit couvert et pour des questions de connectivité entre le Produit couvert et l’ordinateur soutenu, c.àd. un ordinateur qui satisfait aux spécifications de connectivité du Produit couvert et qui utilise un système d’exploitation soutenu par le Produit couvert. Apple fournira une assistance technique pour la dernière version du système d’exploitation pour lequel elle fournit d’assistance de connectivité d’après l’APP pour Apple Display et pour la version principale précédente soutenue (iv) Pour l’APP pour Apple TV, Apple fournira une assistance technique pour le Produit couvert, les logiciels pré-installés avec le Produit couvert (ci-après « Logiciels Apple TV ») et pour des questions de connectivité entre le Produit couvert, un ordinateur soutenu et un téléviseur soutenu. Apple fournira une assistance technique pour la dernière version des Logiciels Apple TV et pour la version principale précédente soutenue. Pour les fins de cet article, un « ordinateur soutenu » désigne un ordinateur qui satisfait aux spécifications de connectivité du Produit couvert et qui utilise un système d’exploitation soutenu par le Produit couvert, et un « téléviseur soutenu » désigne un téléviseur qui satisfait aux spécifications de connectivité du Produit couvert.Français 59 b. Exclusions. Le Programme ne couvre pas : (i) votre utilisation du système d’exploitation Mac OS et de Logiciels grand public comme des applications serveur; (ii) les problèmes pouvant être résolus par une mise à jour de logiciels avec la dernière version disponible; (iii) votre utilisation ou modification du Produit couvert, du système d’exploitation Mac OS, des Logiciels iPod, des Logiciels Apple TV ou des Logiciels grand public d’une manière pour laquelle le Produit couvert ou ces logiciels n’ont pas été conçus ou pour laquelle la modification n’était pas prévue; (iv) les produits de tierces parties ou leurs effets sur ou interactions avec le Produit couvert, le système d’exploitation Mac OS, le Mac OS Server, les Logiciels iPod, les Logiciels Apple TV ou les Logiciels grand public; (v) votre utilisation d’un ordinateur ou système d’exploitation sous l’APP pour iPod qui n’a aucun rapport avec les Logiciels iPod ou des questions de connectivité du Produit couvert; (vi) votre utilisation d’un ordinateur ou système d’exploitation sous l’APP pour Apple Display qui n’a aucun rapport avec des questions de connectivité du Produit couvert; 60 Français (vii) votre utilisation d’un ordinateur ou système d’exploitation sous l’APP pour Apple TV qui n’a aucun rapport avec les Logiciels Apple TV ou des questions de connectivité du Produit couvert; (viii) les logiciels Apple autres que le système d’exploitation Mac OS, le Mac OS Server, les Logiciels iPod et les Logiciels grand public d’après la couverture prévue au Programme applicable; (ix) le logiciel Mac OS pour serveur sauf l’utilisation de l’interface d’utilisateur graphique pré-installé sur un Mac OS Server en cas de questions sur l’administration de serveur ou de réseau; (x) le logiciel Mac OS ou tout autre logiciel de marque Apple de version « bêta », « préversion », « version préliminaire » ou de dénomination semblable; (xi) les navigateurs et applications de courrier électronique de tierces parties ainsi que les logiciels de fournisseurs de services Internet, ou les configurations de Mac OS nécessaires à leur utilisation; ou (xii) des dommages à ou perte des logiciels ou données qui résident ou sont stockés dans le Produit couvert. c. Obtention d’une assistance technique. Vous pouvez obtenir une assistance technique en composant le numéro de téléphone sans frais indiqué ci-dessous. Le représentant du service d’assistance Français 61 technique d’Apple vous offrira d’assistance technique. Les horaires de service Apple sont indiqués ci-dessous. Ces horaires peuvent être modifiés de temps en temps. Apple se réserve le droit de changer ces horaires de service et les numéros de téléphone à tout moment. Des ressources d’assistance en ligne sont offertes sur le site web d’Apple (www.apple.com/support ou www.apple.com/ca/fr/support). 3. Vos obligations Afin de recevoir la prestation de service prévue ou le soutien prévu au Programme, vous convenez de vous conformer aux exigences suivantes : a. fournir votre Numéro de contrat du Programme et le numéro de série du Produit couvert; b. fournir d’information sur les symptômes et les causes des problèmes inhérents au Produit couvert; c. répondre aux demandes d’information notamment, le numéro de série du Produit couvert, le modèle, la version du système d’exploitation et des logiciels installés, tout périphérique connecté au ou installé sur le Produit couvert, tout message d’erreur affiché, les démarches prises avant que le problème se produit sur Produit couvert et les mesures prises pour résoudre le problème; d. suivre les instructions que vous donne Apple, notamment ne pas renvoyer à Apple les produits et les accessoires pour lesquels 62 Français le service de réparation ou de remplacement n’est pas offert et l’emballage du Produit couvert conformément aux instructions sur son expédition; et e. mettre à jour des logiciels avec des versions actuelles commercialisées avant de demander la prestation du service de réparation ou de remplacement. 4. Limite de responsabilité DANS TOUTE LA MESURE PERMISE PAR LA LOI APPLICABLE, APPLE, SES EMPLOYÉS ET MANDATAIRES NE SAURAIENT EN AUCUN CAS ÊTRE TENUS RESPONSABLES ENVERS VOUS OU TOUT PROPRIÉTAIRE ULTÉRIEUR, DES DOMMAGES INDIRECTS OU ACCESSOIRES RÉSULTANT DES OBLIGATIONS QUI INCOMBENT À APPLE EN VERTU DU PRÉSENT PROGRAMME, Y COMPRIS, ENTRE AUTRES, LES COÛTS AFFÉRENTS À LA REPRISE, À LA REPROGRAMMATION OU À LA REPRODUCTION DE TOUT PROGRAMME OU DE TOUTE DONNÉE, OU À SON INCAPACITÉ À PRÉSERVER LA CONFIDENTIALITÉ DES DONNÉES, OU À LA PERTE D’AFFAIRES, DE PROFITS, DE PRODUITS OU D’ÉCONOMIES ANTICIPÉES. DANS TOUTE LA MESURE PERMISE PAR LA LOI APPLICABLE, LA LIMITE DE RESPONSABILITÉ D’APPLE ET DE SES EMPLOYÉS ET DE SON MANDATAIRE ENVERS VOUS ET TOUT PROPRIÉTAIRE ULTÉRIEUR, DÉCOULANT DU PROGRAMME, NE SAURAIT EXCÉDER LA SOMME ACQUITTÉE POUR BÉNÉFICIER DU PRÉSENT PROGRAMME. EN PARTICULIER, APPLE NE GARANTIT PAS QU’ELLE POURRA (i) RÉPARER Français 63 OU REMPLACER LE PRODUIT COUVERT SANS RISQUER DE PERDRE OU D’ENDOMMAGER LES LOGICIELS OU LES DONNÉES, NI (ii) PRÉSERVER LA CONFIDENTIALITÉ DES DONNÉES. POUR LES CONSOMMATEURS QUI BÉNÉFICIENT D’UNE LOI OU RÉGLEMENTATION SUR LA PROTECTION DES CONSOMMATEURS, LES AVANTAGES CONFÉRÉS PAR LE PRÉSENT PROGRAMME S’AJOUTENT À TOUS LES DROITS ET RECOURS PRÉVUS PAR CETTE LOI ET CES RÈGLEMENTS. DANS LA MESURE OÙ LA RESPONSABILITÉ DÉCOULANT DE CETTE LOI OU RÉGLEMENTATION SERAIT LIMITÉE, LA RESPONSABILITÉ D’APPLE EST LIMITÉE, À SON ENTIÈRE DISCRÉTION, AU REMPLACEMENT OU À LA RÉPARATION DU PRODUIT COUVERT OU À LA PRESTATION DE SERVICE. CERTAINS ÉTATS ET CERTAINES PROVINCES NE PERMETTENT PAS L’EXCLUSION OU LA LIMITATION DES DOMMAGES ACCESSOIRES AUQUEL CAS UNE PARTIE DES OU TOUTES LES LIMITATIONS CI-DESSUS PEUVENT NE PAS S’APPLIQUER. 5. Résiliation Vous pouvez résilier le présent Programme à tout moment, pour tout motif. Le cas échéant, veuillez contacter Apple en composant le numéro de téléphone indiqué ci-dessous, ou en faisant parvenir ou envoyant par télécopieur, un avis écrit indiquant votre Numéro de contrat du Programme à l’adresse suivante : AppleCare Administration, P.O. Box 149125, Austin, TX 787149125, U.S. (numéro de télécopieur 512-674-8125). Une photocopie de 64 Français votre preuve d’achat du Programme devrait accompagner votre avis. Sous réserve des dispositions de la loi locale, au cas où la résiliation serait effectuée dans les trente (30) jours de la date de votre adhésion au Programme, ou de celle de la réception des présentes modalités, selon la date la plus tardive, vous recevrez un remboursement complet, déduction faite de la valeur de tout service fourni dans le cadre du présent Programme. Au cas où la résiliation serait effectuée plus de trente (30) jours à partir de la réception du présent Programme, vous recevrez un remboursement au prorata du prix d’achat original du présent Programme, calculé en fonction du pourcentage de la durée de la Période de la garantie restant, déduction faite (a) de frais de résiliation de vingt-cinq dollars (25 $ US) ou de dix pourcent (10 %) du montant au prorata, selon le montant le moins élevé des deux, et (b) de la valeur de tout service qui vous a été fourni dans le cadre de ce Programme. Sous réserves des dispositions de la loi locale, Apple peut résilier le présent Programme si les pièces de rechange pour le Produit couvert ne sont plus disponibles moyennant un avis écrit de trente (30) jours. Si Apple résilie ce Programme, vous recevrez un remboursement au prorata de la durée du Programme restant à courir. 6. Cession du Programme Sujet aux limitations ci-dessous, vous ne pouvez faire qu’une seule cession permanente de tous vous droits en vertu du Programme Français 65 à une autre partie et ceci à condition que : (a) la preuve d’achat originale, le Certificat du Programme y compris les documents imprimés et ces modalités, fassent partie de la cession; (b) vous avisiez Apple en faisant parvenir ou envoyant par télécopieur ou courriel, un avis de transfert à Apple Inc., ATT: Agreement Administration, MS: 217AC, 2511 Laguna Blvd, Elk Grove, CA 95758, U.S., numéro de télécopieur 916-399-7337, ou agmts_transfer@apple.com, respectivement; (c) la partie qui reçoit le Programme lise et convienne d’accepter les modalités du Programme. Quand vous avisez Apple de la cession du Programme, vous devez fournir votre Numéro de contrat du Programme, les numéros de série du Produit couvert faisant l’objet de la cession, une preuve d’achat du Programme, ainsi que le nom, l’adresse, le numéro de téléphone et l’adresse électronique du nouveau propriétaire. 7. Dispositions générales a. Apple peut sous-traiter ou confier l’exécution de ses obligations à des tierces parties sans être pour autant déchargée de ses obligations à votre égard. b. Apple n’est pas responsable des manquements ou retards dans l’exécution de ses obligations conformément au présent Programme qui seraient attribuables à des événements qu’elle ne peut raisonnablement maîtriser. 66 Français c. Vous n’êtes pas tenu de réaliser un entretien préventif du Produit couvert afin de recevoir la prestation des services prévus par le présent Programme. d. Le présent Programme est offert et valable uniquement dans les cinquante états des États-Unis d’Amérique, le District of Columbia et au Canada. Le présent Programme n’est offert à aucune personne qui n’a pas atteint sa majorité. Le présent Programme n’est pas offert dans les juridictions dans lesquelles il serait interdit par la loi. e. En exécutant ses obligations, Apple peut, à son entière discrétion et uniquement à des fins d’analyse de la qualité de son service à la clientèle, enregistrer tout ou partie des communications téléphoniques entre vous et Apple. f. Vous convenez que toute information donnée ou divulguée à Apple dans le cadre de ce Programme n’est ni confidentielle ni propriétaire. En outre, vous acceptez qu’Apple collecte et traite des données en votre nom au moment de la prestation de service. Ainsi, Apple peut être amenée à transmettre des données vous appartenant à des sociétés affiliées ou à des fournisseurs de service situés dans des pays où les lois sur la protection des données offrent une protection moins étendue que dans votre pays de résidence, notamment en Australie, au Canada, dans Français 67 l’Union européenne, en Inde, au Japon, en République populaire de Chine ou aux Etats-Unis d’Amérique. g. Apple dispose de dispositifs de sécurité protégeant contre l’accès ou la divulgation non autorisé et la destruction illégale. Vous assumez la responsabilité des instructions que vous transmettez à Apple concernant le traitement des données et Apple s’efforcera de les respecter dans la mesure du raisonnable aux fins d’exécution du service de réparation et des obligations de soutien prévus par le présent Programme. Si vous ne consentez pas à ce qui vient d’être énoncé ou si vous avez des questions sur les conséquences d’un tel traitement de vos données, veuillez en aviser Apple en téléphonant aux numéros indiqués. h. Apple protégera vos renseignements personnels conformément à la politique sur la vie privée des clients d’Apple (Apple Customer Privacy Policy) affichée à l’adresse URL suivante : www.apple.com/legal/privacy ou www.apple.com/ca/fr/legal/privacy. Si vous souhaitez accéder à l’information vous concernant détenue par Apple, ou si vous voulez la modifier, veuillez accéder à l’adresse URL suivante : www.apple.com/contact/myinfo afin de mettre à jour vos coordonnées personnelles, ou communiquer avec Apple à l’adresse électronique suivante : privacy@apple.com. 68 Français i. Les modalités du présent Programme prévalent sur toute modalité contraire, supplémentaire ou autre de tout bon de commande ou autre document, et constituent l’intégralité de l’accord entre vous et Apple en ce qui concerne le Programme. j. Vos droits en vertu du Programme s’ajoutent à tout droit de garantie dont vous bénéficiez. Vous devez acheter et inscrire le Programme pendant la période de la garantie limitée un an Apple pour le Produit couvert. Apple n’est pas tenue de renouveler le présent Programme. Si Apple décide de renouveler le Programme, elle en déterminera le prix et les modalités. k. Aucun mécanisme informel de résolution des différends n’est prévu par le présent Programme. l. Pour les Programmes vendus aux États-Unis d’Amérique, « Apple » est AppleCare Service Company, Inc., une société incorporée en vertu des lois de l’Arizona ayant son bureau enregistré à a/s CT Corporation System, 2394, East Camelback Road, Phoenix, Arizona 85016, faisant affaires dans l’état du Texas comme Apple CSC, Inc. Les obligations découlant dudits Programmes sont garanties de pleine foi par AppleCare Service Company, Inc. Pour les Programmes vendus au Canada, « Apple » est Apple Canada Inc., 7495, Birchmount Road, Markham (Ontario) L3R 5G2 Canada. Apple Canada Inc. est le débiteur sur les plans juridique et financier pour les Programmes vendus au Canada. Français 69 m. Le gestionnaire des Programmes vendus aux États-Unis d’Amérique est Apple, Inc. (le Gestionnaire »), une société incorporée en vertu des lois de la Californie ayant son bureau enregistré à 1 Infinite Loop, Cupertino, California 95014. Le Gestionnaire est responsable du recouvrement et transfert à AppleCare Service Company, Inc. du prix d’achat du Programme et de la gestion des réclamations dans le cadre du Programme. n. Les lois de l’État de la Californie régissent les Programmes souscrits aux États-Unis d’Amérique, sauf dans les juridictions dans lesquelles il serait interdit par la loi. Les lois de la province de l’Ontario régissent les Programmes souscrits au Canada, sauf dans les juridictions dans lesquelles il serait interdit par la loi. Si les lois d’une juridiction dans laquelle le présent Programme est souscrit sont incompatibles avec les présentes modalités, y compris celui des juridictions de l’Arizona, de la Floride, de la Géorgie, du Nevada, de l’Oregon, du Vermont, de Washington ou du Wyoming, les lois de cette juridiction prévaudront. o. Les services d’assistance prévus par le présent Programme pourraient être disponibles uniquement en anglais et français. p. En cas de réclamation en vertu du présent Programme, aucun paiement de franchise n’est exigible. 70 Français q. Le Programme ne sera pas résilié à cause de conditions préexistantes dans le Produit couvert qui est admissible à la prestation de service du Programme. 8. Variantes en fonction des États. Les variantes en fonction des États prévaudront en cas d’incohérence avec l’une quelconque des dispositions du présent Programme : Résidents d’Alabama, de la Californie, de Hawaï, du Maryland, du Minnesota, du Missouri, du Nouveau-Mexique, de New York, du Nevada, de la Caroline du Sud, du Texas, de Washington et du Wyoming Si vous résiliez ce contrat conformément à l’article 5 des présentes modalités, et que nous faisons défaut de vous rembourser le prix d’achat dans les trente (30) jours pour les résidents de la Californie, de New York, du Missouri et de Washington et quarante-cinq (45) jours pour les résidents d’Alabama, de Hawaï, du Maryland, du Minnesota, du Nevada, de la Caroline du Sud, du Texas et du Wyoming, et soixante (60) jours pour les résidents du Nouveau-Mexique, nous nous engageons à vous verser une pénalité de 10 % par mois pour le montant impayé que nous vous devons. Le droit d’annuler et de recevoir cette pénalité ne s’applique qu’au propriétaire original du contrat et ne peut être aliéné ou cédé. Les obligations du fournisseur découlant du présent contrat de service sont garanties de pleine foi par le fournisseur, AppleCare Service Company, Inc.Français 71 Résidents de la Californie En cas de résiliation de votre part dans les trente (30) jours de la réception de votre Programme, vous recevrez un remboursement complet, déduction faite de la valeur de tout service fourni en vertu du présent Programme. Résidents du Colorado Avis : Ce Programme est régi par le Colorado Consumer Protection Act ou le Unfair Practices Act, Articles 1 et 2 du Titre 6, CRS. Résidents du Connecticut La date d’expiration du Programme sera automatiquement prolongée de la période pendant laquelle le matériel couvert se trouvera en la possession d’Apple pour être réparé. Règlement des différends : les différends peuvent être résolus par arbitrage. Les différends ou plaintes qui n’auraient pas été résolus doivent être consignés par écrit et acheminés par la poste, accompagnés d’une photocopie du présent Programme, au State of Connecticut, Insurance Dept., P.O. Box 816, Hartford, CT 06142-0846, Attn: Consumer Affairs. Résidents de la Floride Ce Programme et tout différend qui survient en vertu du Programme seront régit par les lois de l’état de Floride. Le tarif du contrat n’est pas sujet à une réglementation de Florida Office of Insurance Regulation 72 Français Résidents du Michigan Si l’exécution de ce contrat de service est interrompue suite à une grève ou un arrêt de travail à la place d’affaires de la société, la période effective de ce contrat de service sera prolongée de la période de grève ou d’arrêt de travail. Résidents du Nevada Résiliation : Aucun Programme en vigueur depuis au moins soixantedix (70) jours ne peut être résilié par le fournisseur avant l’expiration du terme convenu ou une année après la date effective d’entrée en vigueur du Programme, selon la première des deux, sauf pour les motifs suivants : a. défaut par le titulaire de payer une somme due; b. condamnation du titulaire à un crime qui aurait pour effet de faire augmenter la prestation de service requise; c. découverte d’une fraude ou d’une fausse déclaration importante par le titulaire afin de souscrire le Programme ou de présenter une réclamation de service en vertu du Programme; d. découverte d’un acte ou d’une omission par le titulaire, ou d’une violation par le titulaire d’une quelconque des modalités du Programme, qui a eu lieu après la date d’entrée en vigueur effective du Programme et qui aurait pour effet d’augmenter de manière substantielle et importante la prestation de service requise en vertu du présent Programme; Français 73 e. un changement important dans la nature ou l’étendue du service ou de la réparation requise qui serait survenu après la date d’entrée en vigueur effective du Programme et qui aurait pour effet d’augmenter le service ou la réparation requise de manière substantielle ou importante par rapport à ce qui avait été envisagé au moment où le Programme a été émis ou vendu. Motifs de résiliation; date effective de résiliation. Aucune résiliation d’un contrat de service ne peut prendre effet avant au moins quinze (15) jours après l’envoi par la poste de l’avis de résiliation au titulaire. Résiliation du contrat; remboursement du prix d’achat; frais de résiliation. (i) En cas de résiliation du présent Programme par Apple, Apple remboursera aux consommateurs du Nevada la portion du prix d’achat qui n’est pas acquise. Apple peut déduire tout solde en souffrance de votre compte, du montant du prix d’achat qui n’est pas acquise à la date de calcul de la somme à rembourser. Si Apple résilie un contrat conformément à NRS 690C.270, elle ne peut pas exiger des frais de résiliation. (ii) Sous réserve de ce qui serait autrement prévu dans cet article, un résident du Nevada qui est l’acheteur original de ce Programme, qui fait parvenir à Apple une demande par écrit de résilier le Programme conformément aux modalités 74 Français de celui-ci, recevra un remboursement de la portion du prix d’achat qui n’est pas acquise. (iii) Si vous demandez la résiliation de ce Programme, Apple peut exiger les frais de résiliation décrits au Programme, mais ne déduira pas la valeur de tout service. (iv) Lorsque Apple calcule le montant d’un remboursement conformément au paragraphe (ii), elle peut déduire de la portion du prix d’achat qui n’est pas acquise : (a) tout solde impayé du compte; et (b) tous frais de résiliation exigés en vertu de ce Programme. AppleCare Service Company, Inc. endosse le présent Programme de pleine foi vis-à-vis des résidents du Nevada. Résidents du Nouveau Hampshire Si vous n’obtenez pas réparation en vertu de ce contrat, vous pouvez communiquer avec le New Hampshire insurance department, par la poste au State Of New Hampshire Insurance Department, 21 South Fruit Street, Suite 14, Concord NH 03301, ou par téléphone via Consumer Assistance au 800-852-3416. Français 75 Résidents du Nouveau-Mexique Résiliation : Aucun Programme en vigueur depuis au moins soixantedix (70) jours ne peut être résilié par le fournisseur avant l’expiration du terme convenu ou une année après la date effective d’entrée en vigueur du Programme, selon la première des deux, sauf pour les motifs suivants : a. défaut par le titulaire de payer une somme due; b. condamnation du titulaire à un crime qui aurait pour effet de faire augmenter la prestation de service requise; c. découverte d’une fraude ou d’une fausse déclaration importante par le titulaire afin de souscrire le Programme ou de présenter une réclamation de service en vertu du Programme; d. découverte d’un acte ou d’une omission par le titulaire, ou d’une violation par le titulaire d’une quelconque des modalités du Programme, qui a eu lieu après la date d’entrée en vigueur effective du Programme et qui aurait pour effet d’augmenter de manière substantielle et importante la prestation de service requise en vertu du présent Programme; e. un changement important dans la nature ou l’étendue du service ou de la réparation requise qui serait survenu après la date d’entrée en vigueur effective du Programme et qui aurait 76 Français pour effet d’augmenter le service ou la réparation requise de manière substantielle ou importante par rapport à ce qui avait été envisagé au moment où le Programme a été émis ou vendu. Résidents de la Caroline du Nord L’achat de ce Programme n’est requis ni pour l’achat ni pour l’obtention de financement pour matériel informatique, sauf en cas de défaut de payer le prix d’achat du Programme, Apple ne résiliera pas le Programme. Résidents de l’Oregon Si vous n’obtenez pas réparation en vertu de ce contrat, vous pouvez communiquer avec le Oregon Department of Consumer and Business Services, par la poste au Department of Consumer and Business Services, 350 Winter Street NE, Salem, OR 97301, ou par téléphone via Consumer Advocacy au 888-877-4894. Résidents de la Caroline du Sud Toute plainte non résolue ou toute question relative à la réglementation du Programme, peuvent être adressée au South Carolina Department of Insurance, P.O. Box 100105, Columbia, South Carolina 29202-3105, Tel: 1-800-768-3467.Français 77 Résidents du Tennessee Ce Programme sera prolongé tel qui suit : (1) du nombre de jours pendant lesquels le consommateur n’est pas en mesure d’utiliser le produit parce qu’il se trouve en réparation; plus deux (2) jours ouvrables supplémentaires. Résidents du Texas Le fournisseur peut résilier le présent Programme sans avis préalable pour cause de non-paiement, d’assertion inexacte ou de violation substantielle d’une obligation par le détenteur concernant le Produit couvert ou son utilisation. Toute plainte non résolue ou toute question relative à la réglementation en matière contractuelle peut être adressée au TX Dept. of Licensing and Regulation, P.O. Box 12157, Austin, TX 78711, U.S. Résidents du Wisconsin CETTE GARANTIE EST SUJETTE À UNE RÉGLEMENTATION LIMITÉE DE L’OFFICE OF THE COMMISSIONER OF INSURANCE. Si vous résiliez le Programme dans les trente (30) jours de la date de l’achat de votre Programme ou de la réception des présentes modalités, selon la date la plus tardive, vous recevrez un remboursement complet. Si vous résiliez le Programme plus de trente (30) jours après votre réception du présent Programme, vous recevrez un remboursement au prorata du prix d’achat original du présent Programme, calculé en fonction du pourcentage de la durée de la 78 Français Période de la garantie restant, déduction faite de frais de résiliation de vingt-cinq dollars (25 $ US) ou de dix pourcent (10 %) du montant au prorata, selon le montant le moins élevé des deux. Aucun coût de service reçu ne sera déduit du remboursement. Apple ne résiliera pas ce Programme SAUF en cas de défaut de payer le prix d’achat du Programme. Si Apple résilie ce Programme, vous recevrez un remboursement au prorata de la durée du Programme restant à courir. Résidents du Wyoming Si Apple résilie le présent Programme, Apple vous expédiera un avis écrit de résiliation à votre dernière adresse connue contenue dans les dossiers de Apple au moins dix (10) jours avant la date effective d’annulation. L’avis écrit préalable contiendra la date effective de résiliation et les motifs de résiliation. Apple n’est pas obligé de fournir d’avis préalable en cas de résiliation pour cause de non-paiement du Programme, d’assertion inexacte matérielle par vous à Apple, de violation matérielle de vos obligations dans le cadre du Programme ou de violation matérielle de vos obligations concernant le Produit couvert ou son utilisation. Des conflits survenant dans le cadre de ce Programme peuvent être réglés selon le Wyoming Arbitration Act.Français 79 Numéros sans frais Aux E.U.: Au Canada: 800-APL-CARE (800-275-2273) 800-263-3394 Sept jours par semaine Sept jours par semaine De 8h00 à 20h00 De 9h00 à 21h00 heure du centre * heure de la côte est américaine* * Les numéros de téléphone et les horaires de service peuvent varier et sont sujets à des modifications. Vous trouverez l’information la plus récente sur nos représentants situés dans votre région ou dans le monde entier à www.apple.com/contact/phone_contacts.html. Les numéros sans frais ne sont pas disponibles dans tous les pays APP NA v5.3www.apple.com © 2010 Apple Inc. All rights reserved. Apple, the Apple logo, AirPort, AirPort Express, AirPort Extreme, Apple TV, IPod, Mac, MacBook, MacBook Air, Mac OS, Macintosh, SuperDrive, and Time Capsule are trademarks of Apple Inc., registered in the U.S. and other countries. AppleCare is a service mark of Apple Inc., registered in the U.S. and other countries. Other product and company names mentioned herein may be trademarks of their respective companies. Z034-5546-A Printed in XXXX Component AV Cable2 English Component AV Cable Use the Component AV Cable to connect your iPod, iPhone, or iPad to the component video and analog audio ports on your TV, home theater receiver, or stereo receiver. The Component AV Cable features a USB connector that you can plug into a power source, such as a computer or a USB Power Adapter. Before you begin connecting components, turn down the volume on iPod, iPhone, or iPad, and turn off the power to all your components. Remember to make all connections firmly to avoid humming and noise. Important:  Never force a connector into a port. If the connector and port don’t join with reasonable ease, they probably don’t match. Make sure the connector matches the port and is positioned correctly in relation to the port. To use the Component AV Cable to connect iPod, iPhone, or iPad to your TV or receiver: 1 Plug the red, green, and blue video connectors into the component video input (Y, Pb, and Pr) ports on your TV or receiver. 2 Plug the white and red audio connectors into the left and right analog audio input ports, respectively, on your TV or receiver. 3 Plug the iPod Dock Connector into your iPod, iPhone, iPad, or Universal Dock. 4 Plug the USB connector into a USB Power Adapter or your computer to keep your iPod, iPhone, or iPad charged. 5 Turn on iPod, iPhone, or iPad and your TV or receiver to start playing.English 3 Make sure you set iPod, iPhone, or iPad to send a video signal out to your TV or receiver. For more information, see the user guide for your device. Left audio (white) Television Video in (Y, Pb, Pr) Right audio (red) USB port Dock Connector USB connector iPod The ports on your TV or receiver may differ from the ports in the illustration. Note:  If your iPod doesn’t support video, you can use the Component AV Cable for audio output, syncing content, and charging.6 Français Câble composante AV Le câble composante AV permet de brancher votre iPod, iPhone ou iPad aux ports vidéo composante YUV et audio analogique de votre téléviseur, de votre récepteur home cinéma ou encore de votre récepteur stéréo. Ce câble est doté d’un connecteur USB à brancher sur une source d’alimentation électrique, par exemple un ordinateur ou un adaptateur secteur USB. Avant de brancher des composants, baissez le volume de l’iPod, iPhone ou iPad et éteignez tous vos composants. Assurez-vous que tous les branchements sont fermement en place pour éviter les effets de souffle et de parasites. Important :  ne forcez jamais en enfonçant un connecteur dans un port. S’ils ne s’accouplent pas facilement, il est probable qu’ils ne soient pas faits pour être branchés ensemble. Assurez-vous que le connecteur corresponde bien au port et qu’il soit mis dans le bon sens. Pour utiliser le câble composante AV pour brancher l’iPod, iPhone ou iPad à votre téléviseur ou votre récepteur : 1 Branchez les prises vidéo rouge, verte et bleue sur les ports d’entrée vidéo composante YUV (Y, Pb, et Pr) de votre téléviseur ou de votre récepteur. 2 Connectez les prises audio blanche et rouge sur les ports d’entrée audio analogique respectifs gauche et droit de votre téléviseur ou de votre récepteur. 3 Branchez le connecteur Dock sur votre iPod, iPhone, iPad ou votre socle Universal Dock. 4 Connectez la prise USB à un adaptateur secteur USB ou à votre ordinateur pour que votre iPod, iPhone ou iPad ne se décharge pas.Français 7 5 Allumez l’iPod, iPhone ou iPad et votre téléviseur ou votre récepteur pour lancer la lecture. Assurez-vous que votre iPod, iPhone ou iPad est configuré de façon à envoyer les signaux vidéo à votre téléviseur ou votre récepteur. Pour en savoir plus, consultez le manuel de l’utilisateur de votre appareil. Audio gauche (blanc) Télévision Entrée vidéo (Y, Pb, Pr) Audio droit (rouge) Port USB Connecteur Dock Connecteur USB iPod Il se peut que les ports de votre téléviseur ou votre récepteur diffèrent de ceux illustrés ici. Remarque :  si votre iPod ne prend pas en charge la vidéo, vous pouvez néanmoins vous servir du câble composante AV pour assurer la sortie audio, la synchronisation des données et la recharge de la batterie.8 Deutsch Component AV-Kabel Verwenden Sie das Component AV-Kabel, um Ihren iPod, Ihr iPhone oder iPad mit den Component-Video- und analogen Audioanschlüssen Ihres Fernsehgeräts bzw. Ihres Heimkino- oder Stereoempfängers zu verbinden. Das Component AV-Kabel besitzt einen USB-Stecker, den Sie mit einer Stromquelle wie Ihrem Computer oder dem mitgelieferten USB Power Adapter (Netzteil) verbinden können. Vor dem Anschließen von Komponenten sollten Sie die Lautstärke von iPod, iPhone oder iPad reduzieren und alle Komponenten ausschalten. Achten Sie darauf, alle Kabel fest anzuschließen, um Störgeräusche zu vermeiden. Wichtig:  Versuchen Sie niemals, einen Stecker gewaltsam mit einem Anschluss zu verbinden. Lässt sich der Stecker nicht problemlos mit dem Anschluss verbinden, passen Stecker und Anschluss vermutlich nicht zueinander. Vergewissern Sie sich, dass der Stecker zum Anschluss passt und dass Sie den Stecker korrekt mit dem Anschluss ausgerichtet haben. Gehen Sie wie folgt vor, um iPod, iPhone oder iPad mithilfe des Component AVKabels an Ihr Fernsehgerät oder Ihren Empfänger anzuschließen: 1 Schließen Sie den roten, grünen und blauen Videostecker an den Component-Videoeingängen (Y, Pb und Pr) Ihres Fernsehgeräts oder Empfängers an. 2 Schließen Sie den weißen und den roten Audiostecker an die linken und rechten analogen Audioeingänge Ihres Fernsehgeräts oder Empfängers an. 3 Schließen Sie den iPod Dock Connector-Stecker an iPod, iPhone, iPad oder das Universal Dock an. 4 Verbinden Sie den USB-Stecker mit Ihrem USB Power Adapter oder Computer, damit die Batterie von iPod, iPhone oder iPad aufgeladen bleibt.Deutsch 9 5 Schalten Sie den iPod, das iPhone oder iPad und das Fernsehgerät oder den Empfänger ein, um die Wiedergabe zu starten. Vergewissern Sie sich, dass Sie Ihren iPod, Ihr iPhone oder iPad zum Senden eines Videosignals an Ihr Fernsehgerät bzw. Ihren Empfänger konfiguriert haben. Weitere Informationen hierzu finden Sie im Benutzerhandbuch zu Ihrem Gerät. Audio links (weiß) Fernsehgerät Videoeingänge (Y, Pb, Pr) Audio rechts (rot) USBAnschluss Dock Connector-Stecker USBStecker iPod Möglicherweise sehen die Anschlüssen an Ihrem Fernsehgerät oder Empfänger anders als hier dargestellt aus. Hinweis:  Wenn Ihr iPod keine Videounterstützung bietet, können Sie das Component AV-Kabel für die Audioausgabe, das Synchronisieren von Inhalten und zum Laden der Batterie verwenden.10 Español Cable de AV por componentes Utilice el cable de AV por componentes para conectar el iPod, iPhone o iPad a los puertos de audio analógico y vídeo de su televisor, receptor de cine en casa o equipo estéreo. El cable de AV por componentes incorpora un conector USB que puede conectarse a una fuente de alimentación, como un ordenador o un adaptador de corriente USB. Antes de empezar a conectar componentes, desactive el sonido del iPod, iPhone o iPad y desconecte de la corriente todos los componentes. Recuerde acoplar bien todas las conexiones para evitar oír zumbidos y ruidos. Importante:  Nunca introduzca un conector en un puerto a la fuerza. Si el conector y el puerto no encajan con una facilidad razonable, probablemente es que no estén hechos el uno para el otro. Asegúrese de que el conector encaja con el puerto y de que lo ha colocado en la posición correcta. Para utilizar el cable de AV por componentes para conectar el iPod, iPhone o iPad al televisor o a un receptor: 1 Enchufe los conectores de vídeo rojo, verde y azul en los puertos de entrada de vídeo de componentes (Y, Pb y Pr) de su televisor o receptor. 2 Enchufe los conectores de audio blanco y rojo en los puertos de entrada de audio analógico izquierdo y derecho, respectivamente, de su televisor o receptor. 3 Enchufe el conector iPod Dock Connector al iPod, iPhone, iPad o a la base Universal Dock. 4 Enchufe el conector USB en un adaptador de corriente USB o en el ordenador para que el iPod, iPhone o iPad no se descargue.Español 11 5 Encienda el iPod, iPhone o iPad y el televisor o receptor para iniciar la reproducción. Asegúrese de configurar el iPod, iPhone o iPad para enviar señal de vídeo al televisor o receptor. Para más información, consulte el manual del usuario de su dispositivo. Audio izquierdo (blanco) Televisor Entrada de vídeo (Y, Pb, Pr) Audio derecho (rojo) Puerto USB Conector Dock Conector USB iPod Los puertos del televisor o receptor pueden diferir de los puertos de la ilustración. Nota:  Si su iPod no permite visualizar vídeos, puede utilizar el cable de AV por componentes para reproducir audio, sincronizar contenidos y cargar el iPod.12 Italiano Cavo AV component Utilizza il cavo AV component per collegare iPod, iPhone o iPad alle porte video a componenti e audio analogico della TV o del ricevitore dell’home theater o dello stereo. Il cavo AV component è dotato di un connettore USB che puoi collegare a una fonte di alimentazione, come un computer o un adattatore di corrente USB. Prima di collegare i componenti, abbassa al minimo il volume di iPod, iPhone o iPad ed elimina l’alimentazione da tutti i componenti. Ricordati di assicurarti che tutti i collegamenti siano saldi, per evitare ronzio e altro rumore. Importante:  non forzare mai un connettore in una porta. Se il connettore non entra con facilità nella porta, probabilmente non sono compatibili. Assicurati che lo spinotto del connettore sia adatto alla porta e che il connettore sia posizionato correttamente in relazione alla porta. Per utilizzare il cavo AV component per collegare iPod, iPhone o iPad alla TV o al ricevitore: 1 Collega i connettori video (rosso, verde e blu) alle porte di ingresso video a componenti (Y, Pb e Pr) della TV o del ricevitore. 2 Collega i connettori audio (bianco e rosso) alle porte di sinistra e di destra di ingresso audio analogico, rispettivamente, della TV o del ricevitore. 3 Collega iPod Dock Connector ad iPod, iPhone, iPad o al Dock universale. 4 Collega il connettore USB ad un alimentatore di corrente USB o al computer per mantenere carichi iPod, iPhone o iPad. 5 Accendi iPod, iPhone o iPad e la TV o il ricevitore per avviare la riproduzione.Italiano 13 Assicurati di aver impostato iPod, iPhone o iPad per inviare un segnale video in uscita alla TV o al ricevitore. Per ulteriori informazioni, consulta il manuale utente del dispositivo. Audio di sinistra (bianco) Televisione Ingresso video (Y, Pb, Pr) Audio di destra (rosso) Porta USB Connettore Dock Connettore USB iPod Le porte della TV o del ricevitore potrebbero essere diverse da quelle dell’illustrazione. Nota:  se iPod non supporta i video, puoi utilizzare il cavo AV component per l’uscita audio, per sincronizzare contenuti e per caricare il dispositivo.14 Regulatory Compliance Information FCC Compliance Statement This device complies with part 15 of the FCC rules. Operation is subject to the following two conditions: (1) This device may not cause harmful interference, and (2) this device must accept any interference received, including interference that may cause undesired operation. See instructions if interference to radio or television reception is suspected. L‘utilisation de ce dispositif est autorisée seulement aux conditions suivantes: (1) il ne doit pas produire de brouillage et (2) l’utilisateur du dispositif doit étre prêt à accepter tout brouillage radioélectrique reçu, même si ce brouillage est susceptible de compromettre le fonctionnement du dispositif. Radio and Television Interference The equipment described in this manual generates, uses, and can radiate radio-frequency energy. If it is not installed and used properly—that is, in strict accordance with Apple’s instructions—it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in Part 15 of FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. You can determine whether your computer system is causing interference by turning it off. If the interference stops, it was probably caused by the computer or one of the peripheral devices. If your computer system does cause interference to radio or television reception, try to correct the interference by using one or more of the following measures: • Turn the television or radio antenna until the interference stops. • Move the computer to one side or the other of the television or radio. • Move the computer farther away from the television or radio. • Plug the computer into an outlet that is on a different circuit from the television or radio. (That is, make certain the computer and the television or radio are on circuits controlled by different circuit breakers or fuses.) If necessary, consult an Apple Authorized Service Provider or Apple. See the service and support information that came with your Apple product. Or, consult an experienced radio or television technician for additional suggestions. Important:  Changes or modifications to this product not authorized by Apple Inc. could void the FCC compliance and negate your authority to operate the product. This product was tested for FCC compliance under conditions that included the use of Apple peripheral devices and Apple shielded cables and connectors between system components. It is important that you use Apple peripheral devices and shielded cables and connectors between system components to reduce the possibility of causing interference to radios, television sets, and other electronic devices. You can obtain Apple peripheral devices and the proper shielded cables and connectors through an Appleauthorized dealer. For non-Apple peripheral devices, contact the manufacturer or dealer for assistance. Responsible party (contact for FCC matters only): Apple Inc. Corporate Compliance 1 Infinite Loop, MS 26-A Cupertino, CA 95014 Industry Canada Statements Complies with the Canadian ICES-003 Class B specifications. Cet appareil numérique de la classe B est conforme à la norme NMB-003 du Canada. This device complies with RSS 210 of Industry Canada. This Class B device meets all requirements of the Canadian interference-causing equipment regulations. Cet appareil numérique de la Class B respecte toutes les exigences du Règlement sur le matériel brouilleur du Canada. 15 European Compliance Statement This product complies with the requirements of European Directives 72/23/EEC, 89/336/EEC, and 1999/5/EC. Korea Class B Statement Taiwan Class B Statement Disposal and Recycling Information When this product reaches its end of life, please dispose of it according to your local environmental laws and guidelines. For information about Apple’s recycling programs, visit: www.apple.com/environment/recycling 2010 Türkiyewww.apple.com © 2010 Apple Inc. All rights reserved. Apple, the Apple logo, iPhone, and iPod are trademarks of Apple Inc., registered in the U.S. and other countries. iPad is a trademark of Apple Inc. ZM034-5766-A Printed in XXXX Brazil—Disposal Information Brasil:  Informações sobre eliminação e reciclagem O símbolo indica que este produto e/ou sua bateria não devem ser descartadas no lixo doméstico. Quando decidir descartar este produto e/ou sua bateria, faça-o de acordo com as leis e diretrizes ambientais locais. Para informações sobre o programa de reciclagem da Apple, pontos de coleta e telefone de informações, visite www.apple.com/br/environment. European Union—Disposal Information The symbol above means that according to local laws and regulations your product should be disposed of separately from household waste. When this product reaches its end of life, take it to a collection point designated by local authorities. Some collection points accept products for free. The separate collection and recycling of your product at the time of disposal will help conserve natural resources and ensure that it is recycled in a manner that protects human health and the environment. Union Européenne—informations sur l’élimination Le symbole ci-dessus signifie que vous devez vous débarasser de votre produit sans le mélanger avec les ordures ménagères, selon les normes et la législation de votre pays. Lorsque ce produit n’est plus utilisable, portez-le dans un centre de traitement des déchets agréé par les autorités locales. Certains centres acceptent les produits gratuitement. Le traitement et le recyclage séparé de votre produit lors de son élimination aideront à préserver les ressources naturelles et à protéger l’environnement et la santé des êtres humains. Europäische Union—Informationen zur Entsorgung Das Symbol oben bedeutet, dass dieses Produkt entsprechend den geltenden gesetzlichen Vorschriften und getrennt vom Hausmüll entsorgt werden muss. Geben Sie dieses Produkt zur Entsorgung bei einer offiziellen Sammelstelle ab. Bei einigen Sammelstellen können Produkte zur Entsorgung unentgeltlich abgegeben werden. Durch das separate Sammeln und Recycling werden die natürlichen Ressourcen geschont und es ist sichergestellt, dass beim Recycling des Produkts alle Bestimmungen zum Schutz von Gesundheit und Umwelt beachtet werden. Unione Europea—informazioni per l’eliminazione Questo simbolo significa che, in base alle leggi e alle norme locali, il prodotto dovrebbe essere eliminato separatamente dai rifiuti casalinghi. Quando il prodotto diventa inutilizzabile, portarlo nel punto di raccolta stabilito dalle autorità locali. Alcuni punti di raccolta accettano i prodotti gratuitamente. La raccolta separata e il riciclaggio del prodotto al momento dell’eliminazione aiutano a conservare le risorse naturali e assicurano che venga riciclato in maniera tale da salvaguardare la salute umana e l’ambiente. Europeiska unionen—uttjänta produkter Symbolen ovan betyder att produkten enligt lokala lagar och bestämmelser inte får kastas tillsammans med hushållsavfallet. När produkten har tjänat ut måste den tas till en återvinningsstation som utsetts av lokala myndigheter. Vissa återvinningsstationer tar kostnadsfritt hand om uttjänta produkter. Genom att låta den uttjänta produkten tas om hand för återvinning hjälper du till att spara naturresurser och skydda hälsa och miljö. Apple and the Environment Apple Inc. recognizes its responsibility to minimize the environmental impacts of its operations and products. More information is available on the web at: www.apple.com/environment iPhone et iPad en entreprise Scénarios de déploiement Mars 2012 Découvrez, grâce à ces scénarios de déploiement, comment l’iPhone et l’iPad s’intègrent en toute transparence dans les environnements d’entreprise. • Microsoft Exchange ActiveSync • Services standard • Réseaux privés virtuels (VPN) • Wi-Fi • Certificats numériques • Introduction à la sécurité • Gestion des appareils mobiles (MDM) • Apple ConfiguratorDéploiement de l’iPhone et de l’iPad Exchange ActiveSync L’iPhone et l’iPad peuvent communiquer directement avec votre serveur Microsoft Exchange via Microsoft Exchange ActiveSync (EAS), autorisant la transmission en mode « push » du courrier électronique, des calendriers, des contacts et des tâches. Exchange ActiveSync fournit également aux utilisateurs l’accès à la Liste d’adresses globale et aux administrateurs des capacités de mise en œuvre de politiques de code d’appareil et d’effacement à distance. iOS prend en charge l’authentification tant de base que par certificat pour Exchange ActiveSync. Si votre entreprise a actuellement Exchange ActiveSync activé, elle a déjà les services nécessaires en place pour prendre en charge l’iPhone et l’iPad — aucune configuration supplémentaire n’est requise. Si vous avez Exchange Server 2003, 2007 ou 2010 mais que votre société découvre Exchange ActiveSync, suivez les étapes ci-dessous. Configuration d’Exchange ActiveSync Présentation de la configuration du réseau • Assurez-vous que le port 443 est ouvert sur le coupe-feu. Si votre entreprise utilise Outlook Web Access, le port 443 est probablement déjà ouvert. • Vérifiez qu’un certificat de serveur est installé sur le serveur frontal et activez le protocole SSL pour le répertoire virtuel Exchange ActiveSync dans IIS. • Si un serveur Microsoft Internet Security and Acceleration (ISA) est utilisé, vérifiez qu’un certificat de serveur est installé et mettez à jour le serveur DNS public de manière à ce qu’il résolve les connexions entrantes. • Assurez-vous que le DNS de votre réseau renvoie une adresse unique routable en externe au serveur Exchange ActiveSync pour les clients intranet et Internet. C’est obligatoire afin que l’appareil puisse utiliser la même adresse IP pour communiquer avec le serveur lorsque les deux types de connexions sont actifs. • Si vous utilisez un serveur Microsoft ISA, créez un écouteur web ainsi qu’une règle de publication d’accès au client web Exchange. Consultez la documentation de Microsoft pour plus de détails. • Pour tous les coupe-feu et équipements réseau, définissez à 30 minutes le délai d’expiration de session. Pour en savoir plus sur les autres intervalles de pulsations et de délai d’attente, consultez la documentation Microsoft Exchange à l’adresse http:// technet.microsoft.com/en-us/library/cc182270.aspx. • Configurez les fonctionnalités, les stratégies et les réglages en matière de sécurité des appareils mobiles à l’aide d’Exchange System Manager. Pour Exchange Server 2007 et 2010, il faut utiliser la console de gestion Exchange. • Téléchargez et installez l’outil Microsoft Exchange ActiveSync Mobile Administration Web Tool, qui est nécessaire afin de lancer un effacement à distance. Pour Exchange Server 2007 et 2010, un effacement à distance peut aussi être lancé à l’aide d’Outlook Web Access ou de la console de gestion Exchange. Règles de sécurité Exchange ActiveSync prises en charge • Effacement à distance • Application d’un code sur l’appareil • Nombre minimum de caractères • Nombre maximum de tentatives (avant effacement local) • Exiger à la fois des chiffres et des lettres • Délai d’inactivité en minutes (de 1 à 60 minutes) Règles Exchange ActiveSync supplémentaires (pour Exchange 2007 et 2010 seulement) • Autoriser ou interdire les mots de passe simples • Expiration du mot de passe • Historique des mots de passe • Intervalle d’actualisation des règles • Nombre minimum de caractères complexes dans le mot de passe • Exiger la synchronisation manuelle pendant l’itinérance • Autoriser l’appareil photo • Autoriser la navigation web3 Authentification de base (nom d’utilisateur et mot de passe) • Activez Exchange ActiveSync pour certains utilisateurs ou groupes à l’aide du service Active Directory. Ces fonctionnalités sont activées par défaut sur tous les appareils mobiles au niveau organisationnel dans Exchange Server 2003, 2007 et 2010. Pour Exchange Server 2007 et 2010, voir l’option Configuration du destinataire dans la console de gestion Exchange. • Par défaut, Exchange ActiveSync est configuré pour l’authentification de base des utilisateurs. Il est recommandé d’activer le protocole SSL pour l’authentification de base afin que les références soient chiffrées lors de l’authentification. Authentification par certificat • Installez les services de certificats d’entreprise sur un contrôleur de domaine ou un serveur membre de votre domaine (celui-ci sera votre serveur d’autorité de certification). • Configurez IIS sur votre serveur frontal Exchange ou votre Serveur d’Accès Client afin d’accepter l’authentification par certificats pour le répertoire virtuel Exchange ActiveSync. • Pour autoriser ou exiger des certificats pour tous les utilisateurs, désactivez « Authentification de base » et sélectionnez « Accepter les certificats clients » ou « Exiger les certificats clients ». • Générez les certificats clients au moyen de votre serveur d’autorité de certification. Exportez la clé publique et configurez IIS de manière à utiliser cette clé. Exportez la clé privée et utilisez un Profil de configuration pour fournir cette clé à l’iPhone et à l’iPad. L’authentification par certificats peut uniquement être configurée à l’aide d’un Profil de configuration. Pour en savoir plus sur les services de certificats, reportez-vous aux ressources disponibles auprès de Microsoft. Autres services Exchange ActiveSync • Consultation de la liste d’adresses globale (GAL) • Acceptation et création d’invitations dans le calendrier • Synchronisation des tâches • Signalisation d’e-mails par des drapeaux • Synchronisation des repères Répondre et Transférer à l’aide d’Exchange Server 2010 • Recherche de courrier électronique sur Exchange Server 2007 et 2010 • Prise en charge de plusieurs comptes Exchange ActiveSync • Authentification par certificat • Envoi de courrier électronique en mode « push » vers des dossiers sélectionnés • AutodiscoverL’iPhone et l’iPad demandent l’accès aux services Exchange ActiveSync via le port 443 (HTTPS). (Il s’agit du même port utilisé pour Outlook Web Access et d’autres services web sécurisés. Dans de nombreux déploiements, ce port est donc déjà ouvert et configuré pour autoriser un trafic HTTPS avec chiffrement SSL.) ISA offre un accès au serveur frontal Exchange ou au serveur d’accès au client. ISA est configuré comme un proxy ou, dans de nombreux cas, comme un proxy inverse, pour acheminer le trafic vers le serveur Exchange. Le serveur Exchange identifie l’utilisateur entrant à l’aide du service Active Directory et du serveur de certificats (si vous utilisez une authentification par certificats). Si l’utilisateur saisit les informations d’identification correctes et a accès aux services Exchange ActiveSync, le serveur frontal établit une connexion à la boîte de réception correspondante sur le serveur principal (via le catalogue global Active Directory). La connexion Exchange ActiveSync est établie. Les mises à jour/modifications sont envoyées en mode push (« Over The Air » ou OTA) et les modifications effectuées sur iPhone et iPad sont répercutées sur le serveur Exchange. Les courriers électroniques envoyés sont également synchronisés avec le serveur Exchange via Exchange ActiveSync (étape 5). Pour acheminer le courrier électronique sortant vers des destinataires externes, celui-ci est généralement envoyé par le biais d’un serveur Bridgehead (ou Hub Transport) vers une passerelle Mail (ou Edge Transport) externe via SMTP. Selon la configuration de votre réseau, la passerelle Mail ou le serveur Edge Transport externe peut résider dans la zone démilitarisée ou à l’extérieur du coupe-feu. © 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document peuvent être des marques de leurs sociétés respectives. Les caractéristiques des produits sont sujettes à modification sans préavis. Les informations contenues dans ce document sont fournies à titre indicatif uniquement ; Apple n’assume aucune responsabilité quant à leur utilisation. Mars 2012 Scénario de déploiement d’Exchange ActiveSync Cet exemple montre comment l’iPhone et l’iPad se connectent à un déploiement Microsoft Exchange Server 2003, 2007 ou 2010 standard. 4 Coupe-feu Coupe-feu Serveur proxy Internet Serveur frontal Exchange ou serveur d’accès au client Serveur de certificats Active Directory Clé privée (Certificat) Clé publique (Certificat) *Selon la configuration de votre réseau, le serveur Mail Gateway ou Edge Transport peut résider dans la zone démilitarisée (DMZ). Boîte à lettres ou serveur(s) principaux Exchange Serveur Mail Gateway ou Edge Transport* Profil de configuration Serveur Bridgehead ou Hub Transport 443 1 4 6 5 2 3 4 5 6 1 3 2Déploiement de l’iPhone et de l’iPad Services standard Grâce à sa prise en charge du protocole de messagerie IMAP, des services d’annuaire LDAP et des protocoles de calendriers CalDAV et de contacts CardDAV, iOS peut s’intégrer à la quasi-totalité des environnements standard de courrier électronique, calendriers et contacts. Si l’environnement réseau est configuré de manière à exiger l’authentification de l’utilisateur et SSL, l’iPhone et l’iPad offrent une approche hautement sécurisée de l’accès aux e-mails, calendriers, tâches et contacts de l’entreprise. Dans un déploiement type, l’iPhone et l’iPad établissent un accès direct aux serveurs de messagerie IMAP et SMTP afin de recevoir et d’envoyer les e-mails à distance (« OverThe-Air ») et ils peuvent également synchroniser sans fil les notes avec les serveurs IMAP. Les appareils iOS peuvent se connecter aux annuaires LDAPv3 de votre société, ce qui permet aux utilisateurs d’accéder aux contacts de l’entreprise dans les applications Mail, Contacts et Messages. La synchronisation avec votre serveur CalDAV permet aux utilisateurs de créer et d’accepter des invitations de calendrier, de recevoir des mises à jour de calendriers et de synchroniser des tâches avec l’app Rappels, le tout sans fil. Et la prise en charge de CardDAV permet à vos utilisateurs de synchroniser en permanence un ensemble de contacts avec votre serveur CardDAV à l’aide du format vCard. Tous les serveurs réseau peuvent se trouver au sein d’un sous-réseau de zone démilitarisée, derrière un coupe-feu d’entreprise, ou les deux. Avec SSL, iOS prend en charge le chiffrement 128 bits et les certificats racine X.509 publiés par les principales autorités de certification. Configuration réseau Votre administrateur informatique ou réseau devra suivre ces étapes essentielles pour permettre un accès direct aux services IMAP, LDAP, CalDAV et CardDAV à partir de l’iPhone et de l’iPad : • Ouvrez les ports appropriés sur le coupe-feu. Les ports sont souvent les suivants : 993 pour le courrier électronique IMAP, 587 pour le courrier électronique SMTP, 636 pour les services d’annuaire LDAP, 8443 pour les calendriers CalDAV et 8843 pour les contacts CardDAV. Il est également recommandé que la communication entre votre serveur proxy et vos serveurs principaux IMAP, LDAP, CalDAV et CardDAV soit configurée pour utiliser SSL et que les certificats numériques de vos serveurs réseau soient émis par une autorité de certification (AC) de confiance telle que VeriSign. Cette étape essentielle garantit que l’iPhone et l’iPad reconnaissent votre serveur proxy en tant qu’entité de confiance au sein de l’infrastructure de votre entreprise. • Pour le courrier SMTP sortant, les ports 587, 465 ou 25 doivent être ouverts pour permettre l’envoi du courrier électronique. iOS vérifie automatiquement le port 587, puis le port 465, et enfin le port 25. Le port 587 est le port le plus fiable et le plus sûr car il nécessite l’identification de l’utilisateur. Le port 25 ne nécessite pas d’identification et certains FAI le bloquent par défaut pour éviter le courrier indésirable. Ports communs • IMAP/SSL : 993 • SMTP/SSL : 587 • LDAP/SSL : 636 • CalDAV/SSL : 8443, 443 • CardDAV/SSL : 8843, 443 Solutions de messagerie IMAP ou POP iOS prend en charge les serveurs de messagerie compatibles avec les protocoles IMAP4 et POP3 sur une large gamme de systèmes d’exploitation, y compris Windows, UNIX, Linux et Mac OS X. Standards CalDAV et CardDAV iOS prend en charge les protocoles de calendrier CalDAV et de contacts CardDAV. Ces deux protocoles ont été standardisés par l’IETF. Pour en savoir plus, consultez le site du consortium CalConnect à l’adresse http://caldav.calconnect.org/ et http://carddav.calconnect.org/.Scénario de déploiement Cet exemple montre comment l’iPhone et l’iPad se connectent à un déploiement IMAP, LDAP, CalDAV et CardDAV classique. © 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. UNIX est une marque déposée de The Open Group. Les autres noms de produits et de sociétés mentionnés dans ce document appartiennent à leurs propriétaires respectifs. Les caractéristiques des produits sont sujettes à modification sans préavis. Les informations contenues dans ce document sont fournies à titre indicatif uniquement ; Apple n’assume aucune responsabilité quant à leur utilisation. Mars 2012 L’iPhone et l’iPad demandent l’accès aux services réseau sur les ports désignés. En fonction du service, les utilisateurs doivent s’authentifier soit sur le proxy inverse, soit directement auprès du serveur pour obtenir l’accès aux données de l’entreprise. Dans tous les cas, les connexions sont relayées par le proxy inverse, qui se comporte comme une passerelle sécurisée, en général derrière le coupe-feu Internet de l’entreprise. Une fois authentifiés, les utilisateurs peuvent accéder aux données de l’entreprise sur les serveurs principaux. L’iPhone et l’iPad offrent des services de consultation des annuaires LDAP, ce qui permet aux utilisateurs de rechercher des contacts et autres données de carnet d’adresses sur le serveur LDAP. Pour les calendriers CalDAV, les utilisateurs peuvent accéder aux calendriers et les mettre à jour. Les contacts CardDAV sont stockés sur le serveur et sont également accessibles en local sur iPhone et iPad. Les changements apportés aux champs dans les contacts CardDAV sont ensuite synchronisés avec le serveur CardDAV. Concernant les services de messagerie IMAP, les messages nouveaux et anciens peuvent être lus sur iPhone et iPad au travers de la connexion proxy avec le serveur de messagerie. Les e-mails sortants sont envoyés au serveur SMTP, des copies étant placées dans le dossier des messages envoyés de l’utilisateur. 1 2 3 4 5 6 Coupe-feu Coupe-feu Serveur proxy inverse Internet Mail Server Serveur d’annuaires LDAP 3 6 Serveur CalDAV Serveur CardDAV 2 4 5 1 636 (LDAP) 8843 (CardDAV) 993 (IMAP) 587 (SMTP) 8443 (CalDAV) 6Déploiement de l’iPhone et de l’iPad Réseaux privés virtuels (VPN) L’accès sécurisé aux réseaux d’entreprise privés est disponible sur iPhone et iPad via des protocoles de réseau privé virtuel (VPN) standard bien établis. Les utilisateurs peuvent facilement se connecter aux systèmes des entreprises via le client VPN intégré ou via des applications tierces de Juniper Networks, Cisco, SonicWALL, Check Point, Aruba Networks et F5 Networks. iOS prend immédiatement en charge les protocoles Cisco IPSec, L2TP sur IPSec et PPTP. Si votre organisation prend en charge l’un de ces protocoles, aucune configuration réseau ni application tierce n’est nécessaire pour connecter l’iPhone et l’iPad à votre VPN. En outre, iOS prend en charge les VPN SSL pour l’accès aux serveurs VPN SSL de Juniper Networks, Cisco, SonicWALL, Check Point, Aruba Networks et F5 Networks. Pour commencer, il suffit aux utilisateurs de se rendre sur l’App Store et de télécharger une application client VPN développée par l’une de ces sociétés. Comme pour d’autres protocoles VPN pris en charge par iOS, les VPN SSL peuvent être configurés manuellement sur l’appareil ou via un Profil de configuration. iOS prend en charge les technologies standard comme IPv6, les serveurs proxy et la tunnelisation partagée, offrant une riche expérience VPN pour la connexion aux réseaux d’entreprise. iOS est également compatible avec différents modes d’authentification comme le mot de passe, l’authentification à deux facteurs et les certificats numériques. Pour simplifier la connexion dans des environnements où l’authentification par certificats est utilisée, iOS intègre le VPN à la demande, qui lance de façon dynamique une session VPN lors de la connexion aux domaines spécifiés. Protocoles et modes d’authentification pris en charge VPN SSL Prend en charge l’authentification des utilisateurs par mot de passe, jeton à deux facteurs et certificat. IPSec Cisco Prend en charge l’authentification des utilisateurs par mot de passe, jeton à deux facteurs, et l’authentification des appareils par secret partagé et certificat. L2TP via IPSec Prend en charge l’authentification des utilisateurs par mot de passe MS-CHAP v2, jeton à deux facteurs et l’authentification des appareils par secret partagé. PPTP Prend en charge l’authentification des utilisateurs par mot de passe MS-CHAP v2 et jeton à deux facteurs.8 VPN à la demande Pour les configurations utilisant l’authentification par certificat, iOS est compatible avec le VPN à la demande. Le VPN à la demande peut établir automatiquement une connexion lors de l’accès à des domaines prédéfinis, ce qui procure aux utilisateurs une connectivité VPN totalement transparente. Cette fonctionnalité d’iOS ne nécessite pas de configuration supplémentaire du serveur. La configuration du VPN à la demande se déroule via un Profil de configuration ou peut être effectuée manuellement sur l’appareil. Les options de VPN à la demande sont les suivantes : Toujours Lance une connexion VPN pour toute adresse qui correspond au domaine spécifié. Jamais Ne lance pas de connexion VPN pour les adresses qui correspondent au domaine spécifié, mais si le VPN est déjà actif, il peut être utilisé. Établir si nécessaire Lance une connexion VPN pour les adresses qui correspondent au domaine spécifié seulement si une recherche DNS a échoué. Configuration VPN • iOS s’intègre avec de nombreux réseaux VPN existants et ne demande qu’une configuration minimale. La meilleure façon de préparer le déploiement consiste à vérifier si les protocoles VPN et les modes d’authentification utilisés par votre entreprise sont pris en charge par iOS. • Il est aussi recommandé de vérifier le chemin d’authentification jusqu’à votre serveur d’authentification pour vous assurer que les normes prises en charge par iOS sont activées au sein de votre implémentation. • Si vous comptez utiliser l’authentification par certificats, assurez-vous que votre infrastructure à clé publique est configurée de manière à prendre en charge les certificats d’appareil et d’utilisateur avec le processus de distribution de clés correspondant. • Si vous souhaitez configurer des réglages proxy propres à une URL, placez un fichier PAC sur un serveur web qui soit accessible avec les réglages VPN de base et assurezvous qu’il soit hébergé avec le type MIME application/x-ns-proxy-autoconfig. Configuration du proxy Pour toutes les configurations, vous pouvez aussi spécifier un proxy VPN. Pour configurer un seul proxy pour toutes les connexions, utilisez le paramètre Manuel et fournissez l’adresse, le port et l’authentification si nécessaire. Pour attribuer à l’appareil un fichier de configuration automatique du proxy à l’aide de PAC ou WPAD, utilisez le paramètre Auto. Pour PACS, spécifiez l’URL du fichier PACS. Pour WPAD, l’iPhone et l’iPad interrogeront les serveurs DHCP et DNS pour obtenir les bons réglages.9 1 2 3 4 5 Coupe-feu Coupe-feu Serveur/concentrateur VPN Internet public Réseau privé Authentification Certificat ou jeton Serveur proxy Serveur d’authentification VPN Génération du jeton ou authentification par certificat 1 4 3a 3b 2 5 Service d’annuaire © 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. App Store est une marque de service d’Apple Inc. Les autres noms de produits et de sociétés mentionnés dans ce document appartiennent à leurs propriétaires respectifs. Les caractéristiques des produits sont sujettes à modification sans préavis. Les informations contenues dans ce document sont fournies à titre indicatif uniquement ; Apple n’assume aucune responsabilité quant à leur utilisation. Mars 2012 Scénario de déploiement Cet exemple présente un déploiement standard avec un serveur/concentrateur VPN et avec un serveur d’authentification contrôlant l’accès aux services réseau de l’entreprise. L’iPhone et l’iPad demandent l’accès aux services réseau. Le serveur/concentrateur VPN reçoit la requête, puis la transmet au serveur d’authentification. Dans un environnement d’authentification à deux facteurs, le serveur d’authentification génère alors le jeton synchronisé en temps avec le serveur de clés. Si une méthode d’authentification par certificat est déployée, un certificat d’identité doit être distribué avant l’authentification. Si une méthode par mots de passe est déployée, la procédure d’authentification se poursuit avec la validation de l’utilisateur. Une fois l’utilisateur authentifié, le serveur d’authentification valide les stratégies d’utilisateur et de groupe. Une fois les stratégies d’utilisateur et de groupe validées, le serveur VPN autorise un accès chiffré par tunnel aux services réseau. Si un serveur proxy est utilisé, l’iPhone et l’iPad se connectent via le serveur proxy pour accéder aux informations en dehors du coupe-feu.Déploiement de l’iPhone et de l’iPad Wi-Fi Protocoles de sécurité sans fil • WEP • WPA Personal • WPA Enterprise • WPA2 Personal • WPA2 Enterprise Méthodes d’authentification 802.1x • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAPv0 (EAP-MS-CHAP v2) • PEAPv1 (EAP-GTC) • LEAP Dès la sortie de l’emballage, l’iPhone et l’iPad peuvent se connecter en toute sécurité aux réseaux Wi-Fi d’entreprise ou d’invités, ce qui permet de détecter rapidement et facilement les réseaux sans fil disponibles, où que vous soyez. iOS prend en charge les protocoles réseau sans fil standard comme le WPA2 Enterprise, garantissant une configuration rapide et un accès sécurisé aux réseaux sans fil d’entreprise. Le protocole WPA2 Enterprise utilise le chiffrement AES sur 128 bits, une méthode de chiffrement par blocs qui a fait ses preuves et qui garantit aux utilisateurs un haut degré de protection de leurs données. Avec la prise en charge du protocole 802.1x, iOS peut s’intégrer dans une grande variété d’environnements d’authentification RADIUS. Parmi les méthodes d’authentification sans fil 802.1x prises en charge par l’iPhone et l’iPad, figurent EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 et LEAP. Les utilisateurs peuvent régler l’iPhone et l’iPad pour se connecter automatiquement aux réseaux Wi-Fi disponibles. Les réseaux Wi-Fi qui nécessitent une identification ou d’autres informations peuvent être rapidement accessibles sans ouvrir une session de navigation distincte, à partir des réglages Wi-Fi ou au sein d’applications comme Mail. Et la connectivité Wi-Fi permanente à faible consommation permet aux applications d’utiliser les réseaux Wi-Fi pour envoyer des notifications en mode push. Pour faciliter la configuration et le déploiement, les réglages de réseau sans fil, de sécurité, de proxy et d’authentification peuvent être définis à l’aide de profils de configuration. Configuration du protocole WPA2 Enterprise • Vérifiez que les équipements réseau sont compatibles et sélectionnez un type d’authentification (type EAP) pris en charge par iOS. • Assurez-vous que 802.1x est activé sur le serveur d’authentification et, si nécessaire, installez un certificat de serveur et affectez des autorisations d’accès réseau aux utilisateurs et groupes. • Configurez des points d’accès sans fil pour l’authentification 802.1x et saisissez les informations correspondantes sur le serveur RADIUS. • Si vous comptez utiliser l’authentification par certificats, configurez votre infrastructure à clé publique de manière à prendre en charge les certificats d’appareil et d’utilisateur avec le processus de distribution de clés correspondant. • Vérifiez que le format des certificats est compatible avec le serveur d’authentification. iOS prend en charge PKCS#1 (.cer, .crt, .der) et PKCS#12. • Des informations complémentaires sur les protocoles réseau sans fil et sur le protocole Wi-Fi Protected Access (WPA) sont disponibles à l’adresse www.wi-fi.org.Scénario de déploiement WPA2 Enterprise/802.1X Cet exemple présente un déploiement sans fil sécurisé standard tirant parti de l’authentification RADIUS. L’iPhone et l’iPad demandent l’accès au réseau. La connexion est lancée soit en réponse à un utilisateur sélectionnant un réseau sans fil disponible, soit automatiquement après détection d’un réseau préalablement configuré. Lorsque le point d’accès reçoit la requête, celle-ci est transmise au serveur RADIUS pour authentification. Le serveur RADIUS identifie le compte utilisateur à l’aide du service d’annuaire. Une fois l’utilisateur identifié, le point d’accès ouvre l’accès réseau en fonction des stratégies et des autorisations définies par le serveur RADIUS. © 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document peuvent être des marques de leurs sociétés respectives. Les caractéristiques des produits sont sujettes à modification sans préavis. Les informations contenues dans ce document sont fournies à titre indicatif uniquement ; Apple n’assume aucune responsabilité quant à leur utilisation. Mars 2012 11 1 2 3 4 Point d’accès sans fil avec prise en charge 802.1X Services d’annuaire Services réseau Serveur d’authentification avec prise en charge 802.1X (RADIUS) Certificat ou mot de passe basé sur le type EAP 1 2 3 4 Coupe-feuiOS prend en charge les certificats numériques, offrant aux utilisateurs d’entreprise un accès sécurisé et simplifié aux services d’entreprise. Un certificat numérique est composé d’une clé publique, d’informations sur l’utilisateur et de l’autorité de certification qui a émis le certificat. Les certificats numériques sont une forme d’identification qui permet une authentification simplifiée, l’intégrité des données et le chiffrement. Sur iPhone et iPad, les certificats peuvent être utilisés de différentes manières. La signature des données à l’aide d’un certificat numérique aide à garantir que les informations ne seront pas modifiées. Les certificats peuvent aussi être utilisés pour garantir l’identité de l’auteur ou « signataire ». En outre, ils peuvent être utilisés pour chiffrer les profils de configuration et les communications réseau afin de mieux protéger les informations confidentielles ou privées. Utilisation des certificats sur iOS Certificats numériques Les certificats numériques peuvent être utilisés pour l’authentification en toute sécurité des utilisateurs pour les services d’entreprise, sans nécessiter de noms d’utilisateurs, de mots de passe ni de jetons. Sous iOS, l’authentification par certificat est prise en charge pour gérer l’accès aux réseaux Microsoft Exchange ActiveSync, VPN et Wi-Fi. Services d’entreprise Intranet, Email, VPN, Wi-Fi Autorité de certification Service d’annuaire Demande d’authentification Certificats de serveur Les certificats numériques peuvent aussi être utilisés pour valider et chiffrer les communications réseau. La connexion aux sites web internes et externes est ainsi sécurisée. Le navigateur Safari peut vérifier la validité d’un certificat numérique X.509 et configurer une session sécurisée à l’aide d’un chiffrement AES sur 256 bits. Le navigateur s’assure ainsi que l’identité du site est légitime et que la communication avec le site web est chiffrée pour éviter toute interception de données personnelles ou confidentielles. Requête HTTPS Services réseau Autorité de certification Déploiement de l’iPhone et de l’iPad Certificats numériques Formats de certificats et d’identité pris en charge : • iOS prend en charge les certificats X.509 avec des clés RSA. • Les extensions de fichiers .cer, .crt, .der, .p12 et .pfx sont reconnues. Certificats racine Les appareils iOS incluent différents certificats racine préinstallés. Pour consulter la liste des racines système préinstallées, consultez l’article Assistance Apple à l’adresse http://support.apple. com/kb/HT4415?viewlocale=fr_FR. Si vous utilisez un certificat racine qui n’est pas préinstallé, comme un certificat racine auto-signé créé par votre entreprise, vous pouvez le diffuser à l’aide d’une des méthodes mentionnées à la section « Distribution et installation des certificats » de ce document.© 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad, Mac OS et Safari sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document peuvent être des marques de leurs sociétés respectives. Les caractéristiques des produits sont sujettes à modification sans préavis. Les informations contenues dans ce document sont fournies à titre indicatif uniquement ; Apple n’assume aucune responsabilité quant à leur utilisation. Mars 2012 Distribution et installation des certificats La distribution de certificats sur iPhone et iPad est très simple. À la réception d’un certificat, les utilisateurs touchent tout simplement l’écran pour en lire le contenu, puis le touchent à nouveau pour ajouter le certificat à leur appareil. Lorsqu’un certificat d’identité est installé, les utilisateurs sont invités à entrer le mot de passe correspondant. Si l’authenticité d’un certificat ne peut être vérifiée, un message d’avertissement sera présenté aux utilisateurs avant qu’il ne soit ajouté à leur appareil. Installation des certificats via les profils de configuration Si des profils de configuration sont utilisés pour distribuer les réglages destinés à des services d’entreprise comme Exchange, VPN ou Wi-Fi, les certificats peuvent être ajoutés au profil afin de simplifier le déploiement. Installation de certificats via Mail ou Safari Si un certificat est envoyé par e-mail, il apparaîtra sous forme de pièce jointe. Safari peut être utilisé pour télécharger des certificats à partir d’une page web. Vous pouvez héberger un certificat sur un site web sécurisé et fournir aux utilisateurs l’adresse URL où ils peuvent télécharger le certificat sur leurs appareils. Installation via le protocole SCEP (Simple Certificate Enrollment Protocol) Le protocole SCEP est conçu pour fournir un processus simplifié permettant de gérer la distribution des certificats pour des déploiements à grande échelle. Cela permet une inscription à distance (ou inscription en mode OTA) des certificats numériques sur iPhone et iPad, qui peuvent ensuite être utilisés pour l’authentification auprès de services d’entreprise, ainsi que l’inscription auprès d’un serveur de gestion des appareils mobiles. Pour en savoir plus sur le protocole SCEP et l’inscription à distance (en mode OTA), consultez la page www.apple.com/fr/iphone/business/resources. Suppression et révocation de certificats Pour supprimer manuellement un certificat qui a été installé, choisissez Réglages > Général > Profils. Si vous supprimez un certificat qui est nécessaire pour accéder à un compte ou à un réseau, l’appareil ne pourra plus se connecter à ces services. Pour supprimer des certificats à distance, un serveur de gestion des appareils mobiles (MDM) peut être utilisé. Ce serveur peut voir tous les certificats qui se trouvent sur un appareil et supprimer ceux qu’il a installés. En outre, le protocole OCSP (Online Certificate Status Protocol) est pris en charge pour vérifier l’état des certificats. Lorsqu’un certificat compatible OCSP est utilisé, iOS le valide afin de s’assurer qu’il n’a pas été révoqué avant d’accomplir la tâche demandée. 13Déploiement de l’iPhone et de l’iPad Introduction à la sécurité iOS, le système d’exploitation qui est au cœur de l’iPhone et de l’iPad, repose sur plusieurs niveaux de sécurité. Cela permet à l’iPhone et à l’iPad d’accéder en toute sécurité aux différents services d’entreprise et d’assurer la protection des données importantes. iOS assure un haut niveau de chiffrement des données transmises, applique des méthodes d’authentification éprouvées pour l’accès aux services d’entreprise et assure le chiffrement matériel de toutes les données stockées sur l’appareil. iOS offre également un haut niveau de protection grâce à l’utilisation de règles de code d’appareil, qui peuvent être appliquées et distribuées à distance. Et si un appareil tombe entre de mauvaises mains, les utilisateurs et les administrateurs informatiques peuvent lancer un effacement à distance pour supprimer toutes les informations confidentielles de l’appareil. Lors de l’évaluation de la sécurité d’iOS en vue de son utilisation en entreprise, il est utile de s’intéresser aux points suivants : • Sécurité de l’appareil : méthodes empêchant toute utilisation non autorisée de l’appareil • Sécurité des données : protection des données au repos (en cas de perte ou de vol) • Sécurité réseau : protocoles de réseau et chiffrement des données transmises • Sécurité des apps : plate-forme de base sécurisée d’iOS Ces capacités fonctionnent de concert pour offrir une plate-forme informatique mobile sécurisée. Sécurité de l’appareil L’établissement de règles strictes d’accès aux iPhone et iPad est essentiel pour assurer la protection des données d’entreprise. L’application de codes d’appareil, qui peuvent être configurés et appliqués à distance, constitue la ligne de front de la défense contre l’accès non autorisé. Les appareils iOS utilisent le code unique défini par chaque utilisateur afin de générer une clé de chiffrement sécurisée et ainsi protéger les e-mails et les données d’application sensibles sur l’appareil. iOS fournit en plus des méthodes sécurisées pour configurer l’appareil dans un environnement d’entreprise où des réglages, des règles et des restrictions spécifiques doivent être appliqués. Ces méthodes offrent un vaste choix d’options pour établir un niveau de protection standard pour les utilisateurs autorisés. Règles de code d’appareil Un code d’appareil empêche les utilisateurs non autorisés d’accéder aux données stockées sur l’appareil ou d’utiliser ce dernier. iOS propose un grand nombre de règles d’accès conçues pour répondre à vos besoins en matière de sécurité (délais d’expiration, niveau de sécurité et fréquence de changement du code d’accès, par exemple). Les règles suivantes sont prises en charge : • Exiger un code sur l’appareil • Accepter les valeurs simples • Exiger une valeur alphanumérique • Nombre minimum de caractères • Nombre minimum de caractères complexes • Durée de vie maximum du code • Délai avant verrouillage automatique • Historique des codes • Délai supplémentaire pour le verrouillage de l’appareil • Nombre maximum de tentatives Sécurité des appareils • Codes d’appareils forts • Expiration des codes d’appareil • Historique de réutilisation des codes • Nombre maximal de tentatives infructueuses • Application des codes à distance • Délai d’expiration progressif des codesApplication des règles Les règles décrites précédemment peuvent être configurées de différentes façons sur iPhone et iPad. Les règles peuvent être distribuées dans le cadre d’un profil de configuration à installer par les utilisateurs. Un profil peut être défini de sorte qu’un mot de passe d’administrateur soit obligatoire pour pouvoir le supprimer, ou vous pouvez définir le profil de façon à ce qu’il soit verrouillé sur l’appareil et qu’il soit impossible de le supprimer sans effacer complètement le contenu de l’appareil. Par ailleurs, les réglages des mots de passe peuvent être configurés à distance à l’aide de solutions de gestion des appareils mobiles (MDM) qui peuvent transmettre directement les règles à l’appareil. Cela permet d’appliquer et de mettre à jour les règles sans intervention de l’utilisateur. Néanmoins, si l’appareil est configuré pour accéder à un compte Microsoft Exchange, les règles Exchange ActiveSync sont « poussées » sur l’appareil via une connexion sans fil. N’oubliez pas que les règles disponibles varient en fonction de la version d’Exchange (2003, 2007 ou 2010). Consultez le document Exchange ActiveSync et les appareils iOS pour prendre connaissance de la liste des règles prises en charge en fonction de votre configuration. Configuration sécurisée des appareils Les profils de configuration sont des fichiers XML qui contiennent les règles de sécurité et les restrictions applicables à un appareil, les informations sur la configuration des réseaux VPN, les réglages Wi-Fi, les comptes de courrier électronique et de calendrier et les références d’authentification qui permettent à l’iPhone et à l’iPad de fonctionner avec les systèmes de votre entreprise. La possibilité d’établir des règles de code et de définir des réglages dans un profil de configuration garantit que les appareils utilisés dans votre entreprise sont configurés correctement et selon les normes de sécurité définies par votre organisation. Et comme les profils de configuration peuvent être à la fois chiffrés et verrouillés, il est impossible d’en supprimer, modifier ou partager les réglages. Les profils de configuration peuvent être à la fois signés et chiffrés. Signer un profil de configuration garantit que les réglages appliqués ne peuvent être modifiés. Le chiffrement d’un profil de configuration protège le contenu du profil et permet de lancer l’installation uniquement sur l’appareil pour lequel il a été créé. Les profils de configuration sont chiffrés à l’aide de CMS (Cryptographic Message Syntax, RFC 3852), prenant en charge 3DES et AES 128. La première fois que vous distribuez un profil de configuration chiffré, vous pouvez l’installer via USB à l’aide de l’Utilitaire de configuration ou sans fil via l’inscription à distance (en mode OTA). Par ailleurs, une autre distribution de profils de configuration chiffrés peut ensuite être effectuée par e-mail, sous forme de pièce jointe, hébergée sur un site web accessible à vos utilisateurs ou « poussée » vers l’appareil à l’aide de solutions MDM. Restrictions de l’appareil Les restrictions de l’appareil déterminent à quelles fonctionnalités vos utilisateurs peuvent accéder sur l’appareil. Généralement, il s’agit d’applications réseau telles que Safari, YouTube ou l’iTunes Store, mais les restrictions peuvent aussi servir à contrôler les fonctionnalités de l’appareil comme l’installation d’applications ou l’utilisation de la caméra, par exemple. Les restrictions vous permettent de configurer l’appareil en fonction de vos besoins, tout en permettant aux utilisateurs d’utiliser l’appareil de façon cohérente par rapport à vos pratiques professionnelles. Les restrictions peuvent être configurées manuellement sur chaque appareil, mises en œuvre via un profil de configuration ou établies à distance à l’aide de solutions MDM. En outre, comme les règles de code d’appareil, des restrictions concernant l’appareil photo ou la navigation sur le Web peuvent être appliquées à distance via Microsoft Exchange Server 2007 et 2010. En plus de définir les restrictions et les règles sur l’appareil, l’application de bureau iTunes peut être configurée et contrôlée par voie informatique. Cela consiste, par exemple, à désactiver l’accès aux contenus explicites, à définir à quels services réseau les utilisateurs peuvent accéder dans iTunes et à déterminer si de nouvelles mises à jour logicielles sont disponibles. Pour en savoir plus, consultez le document Déploiement d’iTunes pour les appareils iOS. Règles et restrictions configurables prises en charge : Fonctionnalité des appareils • Autoriser l’installation d’apps • Autoriser Siri • Autoriser Siri lorsque l’appareil est verrouillé • Autoriser l’utilisation de l’appareil photo • Autoriser FaceTime • Autoriser la capture d’écran • Permettre la synchronisation automatique en déplacement • Permettre la composition vocale de numéros • Autoriser les achats intégrés • Exiger le mot de passe iTunes Store pour les achats • Autoriser les jeux multijoueurs • Autoriser l’ajout d’amis dans Game Center Applications • Autoriser l’utilisation de YouTube • Autoriser l’utilisation de l’iTunes Store • Autoriser l’utilisation de Safari • Définir les préférences de sécurité de Safari iCloud • Autoriser la sauvegarde • Autoriser la synchronisation des documents et des valeurs clés • Autoriser Flux de photos Sécurité et confidentialité • Autoriser l’envoi à Apple des données de diagnostic • Autoriser l’utilisateur à accepter des certificats non fiables • Forcer les sauvegardes chiffrées Classement du contenu • Autoriser la musique et les podcasts à contenu explicite • Définir la région du classement • Définir les classements de contenus autorisés 15Sécurité des données La protection des données stockées sur iPhone et iPad est un facteur essentiel pour tous les environnements intégrant des données d’entreprise ou des informations client sensibles. En plus du chiffrement des données en transmission, l’iPhone et l’iPad assurent un chiffrement matériel de toutes les données stockées sur l’appareil et le chiffrement du courrier électronique et des données d’applications grâce à une protection améliorée des données. En cas de perte ou de vol d’un appareil, il est important de désactiver l’appareil et d’en effacer le contenu. Il est également conseillé de mettre en place une politique visant à effacer le contenu d’un appareil après un nombre défini de tentatives infructueuses de saisie du code : il s’agit là d’un puissant moyen de dissuasion contre les tentatives d’accès non autorisé à l’appareil. Chiffrement L’iPhone et l’iPad proposent le chiffrement matériel. Ce chiffrement matériel utilise l’encodage AES sur 256 bits pour protéger toutes les données stockées sur l’appareil. Cette fonction est toujours activée et ne peut pas être désactivée par les utilisateurs. De plus, les données sauvegardées dans iTunes sur l’ordinateur d’un utilisateur peuvent également être chiffrées. Ce chiffrement peut être activé par l’utilisateur ou mis en place à l’aide des réglages de restriction de l’appareil dans les profils de configuration. iOS prend en charge S/MIME dans Mail, ce qui permet à l’iPhone et à l’iPad de visualiser et d’envoyer des e-mails chiffrés. Les restrictions peuvent également servir à empêcher le déplacement d’e-mails d’un compte à l’autre ou le transfert de messages reçus dans un compte depuis un autre. Protection des données À partir des capacités de chiffrement matériel de l’iPhone et de l’iPad, la sécurité des e-mails et pièces jointes stockés sur l’appareil peut être renforcée par l’utilisation des fonctionnalités de protection des données intégrées à iOS. La protection des données associe le code unique de chaque appareil au chiffrement matériel de l’iPhone et de l’iPad pour générer une clé de chiffrement sécurisée. Cette clé empêche l’accès aux données lorsque l’appareil est verrouillé afin d’assurer la sécurité des données sensibles, même quand l’appareil tombe entre de mauvaises mains. Pour activer la protection des données, il vous suffit de définir un code de verrouillage sur l’appareil. L’efficacité de la protection des données dépend du code, il est donc important d’exiger et d’appliquer un code contenant plus de quatre chiffres lorsque vous établissez vos règles de codes en entreprise. Les utilisateurs peuvent vérifier que la protection des données est activée sur leur appareil en consultant l’écran des réglages de codes. Les solutions MDM peuvent aussi interroger l’appareil pour obtenir ces informations. Ces API de protection des données sont aussi disponibles pour les développeurs et peuvent être utilisées pour sécuriser les données des applications internes ou commerciales de l’entreprise. Effacement à distance iOS prend en charge l’effacement à distance. En cas de perte ou de vol d’un appareil, l’administrateur ou le propriétaire de l’appareil peut émettre une commande d’effacement à distance qui supprimera toutes les données et désactivera l’appareil. Si l’appareil est configuré avec un compte Exchange, l’administrateur peut initier une commande d’effacement à distance à l’aide de la console de gestion Exchange Management Console (Exchange Server 2007) ou de l’outil Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003 ou 2007). Les utilisateurs d’Exchange Server 2007 peuvent aussi initier directement des commandes d’effacement à distance à l’aide d’Outlook Web Access. Les commandes d’effacement à distance peuvent aussi être lancées par les solutions MDM, même si les services d’entreprise Exchange ne sont pas en cours d’utilisation. Délai d’expiration progressif des codes L’iPhone et l’iPad peuvent être configurés pour initier automatiquement un effacement après plusieurs tentatives infructueuses de saisie du code d’appareil. Si un utilisateur saisit à plusieurs reprises un code erroné, iOS sera désactivé pendant des intervalles de plus en plus longs. Après plusieurs tentatives infructueuses, toutes les données et tous les réglages stockés sur l’appareil seront effacés. Sécurité des données • Chiffrement matériel • Protection des données • Effacement à distance • Effacement local • Profils de configuration chiffrés • Sauvegardes iTunes chiffrées 16Protocoles VPN • IPSec Cisco • L2TP/IPSec • PPTP • VPN SSL Méthodes d’authentification • Mot de passe (MSCHAPv2) • RSA SecurID • CRYPTOCard • Certificats numériques X.509 • Secret partagé Protocoles d’authentification 802.1x • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAP v0, v1 • LEAP Formats de certificats pris en charge iOS prend en charge les certificats X.509 avec des clés RSA. Les extensions de fichiers .cer, .crt et .der sont reconnues. Effacement local Il est également possible de configurer les appareils de manière à initier automatiquement un effacement local après plusieurs tentatives de saisie infructueuses du code. Ce système évite les tentatives d’accès en force à l’appareil. Lorsqu’un code est établi, les utilisateurs ont la possibilité d’activer l’effacement local directement à partir des réglages. Par défaut, iOS efface automatiquement le contenu de l’appareil après dix tentatives de saisie infructueuses. Comme avec les autres règles de code d’appareil, le nombre maximum de tentatives infructueuses peut être établi via un profil de configuration, défini par un serveur MDM ou appliqué à distance par l’intermédiaire de règles Microsoft Exchange ActiveSync. iCloud iCloud stocke la musique, les photos, les apps, les calendriers, les documents et plus encore, et les pousse automatiquement vers tous les appareils d’un utilisateur. Il sauvegarde également des informations, notamment les réglages des appareils, les données d’apps et les messages texte et MMS, chaque jour en Wi-Fi. iCloud sécurise vos contenus en les chiffrant lors de leur envoi sur Internet, en les stockant dans un format chiffré et en utilisant des jetons sécurisés pour l’authentification. Par ailleurs, les fonctionnalités d’iCloud telles que Flux de photos, Synchronisation de documents et Sauvegarde peuvent être désactivées à l’aide d’un Profil de configuration. Pour en savoir plus sur la sécurité et la confidentialité d’iCloud, consultez la page http:// support.apple.com/kb/HT4865?viewlocale=fr_FR. Sécurité réseau Les utilisateurs mobiles doivent pouvoir accéder aux réseaux d’information de leur entreprise partout dans le monde, mais il est aussi important de s’assurer que les utilisateurs disposent d’une autorisation et que leurs données sont protégées pendant la transmission. iOS fournit des technologies éprouvées afin d’atteindre ces objectifs de sécurité pour les connexions Wi-Fi et les connexions à un réseau cellulaire. En plus de votre infrastructure existante, chaque session FaceTime et échange iMessage est chiffré de bout en bout. iOS crée un identifiant unique pour chaque utilisateur, veillant ainsi à ce que les communications soient correctement chiffrées, acheminées et connectées. VPN De nombreux environnements d’entreprise intègrent une forme de réseau privé virtuel (VPN). Ces services réseau sécurisés sont déjà déployés et nécessitent généralement un minimum d’installation et de configuration pour fonctionner avec l’iPhone et l’iPad. iOS s’intègre immédiatement avec un large éventail de technologies de VPN courantes, grâce à sa prise en charge de Cisco IPSec, L2TP et PPTP. Il prend en charge les technologies de VPN SSL par le biais d’applications de Juniper Networks, Cisco, SonicWALL, Check Point, Aruba Networks et F5 Networks. La prise en charge de ces protocoles garantit un niveau de chiffrement optimal basé sur IP pour la transmission des informations sensibles. En plus d’assurer un accès sécurisé aux environnements VPN existants, iOS offre des méthodes éprouvées pour l’authentification des utilisateurs. L’authentification via des certificats numériques X.509 standard offre aux utilisateurs un accès simplifié aux ressources de la société et une alternative viable à l’utilisation de jetons matériels. Par ailleurs, l’authentification par certificat permet à iOS de tirer parti de la technologie VPN On Demand, pour un processus d’authentification VPN transparent, tout en fournissant un accès hautement sécurisé aux services réseau. Pour les environnements d’entreprise dans lesquels un jeton à deux facteurs est obligatoire, iOS s’intègre avec RSA SecurID et CRYPTOCard. iOS prend en charge la configuration du proxy réseau, ainsi que la tunnelisation IP partagée afin que le trafic vers des domaines réseau publics ou privés soit relayé en fonction des règles propres à votre entreprise. Sécurité réseau • Protocoles VPN Cisco IPSec, L2TP et PPTP intégrés • VPN SSL via les apps de l’App Store • SSL/TLS avec des certificats X.509 • WPA/WPA2 Enterprise avec authentification 802.1x • Authentification par certificat • RSA SecurID, CRYPTOCard 17SSL/TLS iOS prend en charge le protocole SSL v3, ainsi que Transport Layer Security (TLS v1.0, 1.1 et 1.2), la norme de sécurité de prochaine génération pour Internet. Safari, Calendrier, Mail et d’autres applications Internet démarrent automatiquement ces mécanismes afin d’activer un canal de communication chiffré entre iOS et les services de l’entreprise. WPA/WPA2 iOS prend en charge la norme WPA2 Enterprise pour fournir un accès authentifié au réseau sans fil de votre entreprise. WPA2 Enterprise utilise le chiffrement AES sur 128 bits, offrant aux utilisateurs un niveau optimal de garantie que leurs données seront protégées lorsqu’ils enverront et recevront des communications via une connexion Wi-Fi. Et avec la prise en charge de l’authentification 802.1x, l’iPhone et l’iPad peuvent s’intégrer dans une grande variété d’environnements d’authentification RADIUS. Sécurité des apps iOS est conçu pour une sécurité optimale. Il adopte une approche de « bac à sable » (sandboxing) pour la protection des applications au moment de l’exécution et exige une signature pour garantir qu’elles n’ont pas été falsifiées. iOS comprend aussi un cadre d’applications sécurisé qui facilite le stockage sécurisé des informations d’identification des applications et des services réseau dans un trousseau chiffré. Pour les développeurs, il offre une architecture cryptographique courante qui peut être utilisée pour chiffrer les magasins de données des applications. Protection à l’exécution Les applications sur l’appareil sont mises en « bac à sable » (sandboxed) pour qu’elles ne puissent pas accéder aux données stockées par d’autres applications. De plus, les fichiers système, les ressources et le noyau sont à l’abri de l’espace d’exécution des applications de l’utilisateur. Si une application doit accéder aux données depuis une autre application, elle ne peut le faire qu’en utilisant les API et les services fournis par iOS. La génération de codes est également impossible. Signature obligatoire du code Toutes les applications iOS doivent être signées. Les applications fournies avec l’appareil sont signées par Apple. Les applications tierces sont signées par leur développeur à l’aide d’un certificat délivré par Apple. Ce mécanisme permet d’assurer qu’elles n’ont pas été détournées ou altérées. En outre, des vérifications sont effectuées à l’exécution pour garantir que l’application n’a pas été invalidée depuis sa dernière utilisation. L’utilisation des applications personnalisées ou « maison » peut être contrôlée à l’aide d’un profil d’approvisionnement. Les utilisateurs doivent avoir installé le profil d’approvisionnement correspondant pour pouvoir exécuter l’application. Des profils d’approvisionnement peuvent être installés ou révoqués à distance à l’aide de solutions MDM. Les administrateurs peuvent également restreindre l’utilisation d’une application à des appareils spécifiques. Structure d’authentification sécurisée iOS fournit un trousseau chiffré sécurisé pour stocker les identités numériques, les noms d’utilisateur et les mots de passe. Les données du trousseau sont segmentées de sorte que les informations d’identification stockées par des applications tierces soient inaccessibles aux applications ayant une identité différente. Ce mécanisme permet de sécuriser les informations d’authentification sur iPhone et iPad sur un large éventail d’applications et de services au sein de l’entreprise. Sécurité des apps • Protection à l’exécution • Signature obligatoire du code • Services de trousseau • API de chiffrement courantes • Protection des données des applications 18© 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, FaceTime, iPad, iPhone, iTunes, Safari et Siri sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. iMessage est une marque d’Apple Inc. iCloud et iTunes Store sont des marques de service d’Apple Inc., déposées aux États-Unis et dans d’autres pays. App Store est une marque de service d’Apple Inc. Les autres noms de produits et de sociétés mentionnés dans ce document appartiennent à leurs propriétaires respectifs. Les caractéristiques des produits sont sujettes à modification sans préavis. Mars 2012 Architecture cryptographique courante Les développeurs d’applications ont accès à des API de chiffrement qu’ils peuvent utiliser pour renforcer la protection de leurs données d’applications. Les données peuvent être chiffrées symétriquement à l’aide de méthodes éprouvées comme AES, RC4 ou 3DES. En outre, l’iPhone et l’iPad fournissent une accélération matérielle pour le chiffrement AES et le hachage SHA1, optimisant les performances des applications. Protection des données des applications Les applications peuvent également exploiter le chiffrement matériel intégré à l’iPhone et à l’iPad pour renforcer la protection de leurs données sensibles. Les développeurs peuvent désigner des fichiers spécifiques pour la protection des données, en demandant au système de chiffrer le contenu du fichier pour le rendre inaccessible à l’application et à tout intrus potentiel lorsque l’appareil est verrouillé. Apps gérées Un serveur MDM peut gérer des apps tierces de l’App Store, ainsi que les applications développées en interne par les entreprises. La désignation d’une app comme app gérée permet au serveur de préciser si l’app et ses données peuvent être supprimées de l’appareil par le serveur MDM. De plus, le serveur peut empêcher les données de l’app gérée d’être sauvegardées dans iTunes et iCloud. Cela permet aux équipes informatiques de gérer les apps susceptibles de contenir des informations métier sensibles de façon plus contrôlée que les apps téléchargées directement par l’utilisateur. Afin d’installer une app gérée, le serveur MDM envoie une commande d’installation à l’appareil. Les apps gérées nécessitent l’acceptation de l’utilisateur avant d’être installées. Pour en savoir plus sur les apps gérées, consultez le document d’introduction à la gestion des appareils mobiles, téléchargeable à l’adresse www.apple.com/fr/iphone/ business/integration/mdm. Des appareils révolutionnaires entièrement sécurisés L’iPhone et l’iPad fournissent une protection chiffrée des données en transit, au repos et lors de la sauvegarde sur iTunes ou iCloud. Que l’utilisateur accède aux e-mails d’entreprise, visite un site web privé ou s’identifie sur le réseau d’entreprise, iOS fournit la garantie que seuls les utilisateurs autorisés peuvent accéder aux informations d’entreprise sensibles. Et avec la prise en charge de fonctionnalités réseau professionnelles et de méthodes complètes pour éviter la perte de données, vous pouvez déployer les appareils iOS avec la garantie d’implanter un système éprouvé de sécurité des appareils mobiles et de protection des données. 19Déploiement de l’iPhone et de l’iPad Gestion des appareils mobiles (MDM) iOS prend en charge la gestion des appareils mobiles (MDM), offrant aux entreprises la possibilité de gérer des déploiements évolutifs d’iPhone et d’iPad dans l’ensemble de leurs organisations. Ces capacités de gestion des appareils mobiles sont fondées sur les technologies iOS existantes comme les profils de configuration, l’inscription à distance (en mode OTA) et le service de notification push Apple (Apple Push Notification service, APN). Elles peuvent être intégrées à des solutions serveur internes ou tierces. Les responsables informatiques peuvent déployer l’iPhone et l’iPad dans un environnement professionnel en toute sécurité, configurer et mettre à jour des réglages sans fil, vérifier la conformité de l’appareil avec les règles d’entreprise, et même effacer ou verrouiller à distance des appareils ainsi gérés. Gestion des iPhone et des iPad La gestion des appareils iOS se déroule via une connexion à un serveur MDM. Ce serveur peut être assemblé par le service informatique interne de l’entreprise, ou obtenu auprès d’un fournisseur tiers. L’appareil communique avec le serveur et recueille les tâches en attente, puis répond en effectuant les actions correspondantes. Il peut s’agir de la mise à jour de règles, de l’envoi d’informations sur l’appareil ou le réseau, ou de la suppression de réglages et de données. La plupart des fonctions de gestion sont réalisées en arrière-plan et ne nécessitent aucune interaction avec les utilisateurs. Par exemple, si le service informatique met à jour son infrastructure VPN, le serveur MDM peut configurer les iPhone et iPad avec de nouvelles informations de compte à distance. Lors de l’utilisation suivante du VPN par l’employé, la configuration requise est déjà présente sur l’appareil, ce qui évite un appel au service d’assistance ou la modification manuelle des réglages. Coupe-feu Service de notification Serveur MDM tiers Push d’AppleMDM et le service de notification push Apple (APN) Quand un serveur de gestion des appareils mobiles (MDM) veut communiquer avec un iPhone ou un iPad, une notification silencieuse est envoyée à l’appareil via le service de notification push Apple, lui demandant de se connecter au serveur. Le processus de notification de l’appareil n’échange aucune information propriétaire avec le service de notification push Apple. La seule tâche effectuée par la notification push consiste à réveiller l’appareil afin qu’il se connecte au serveur MDM. Toutes les informations de configuration, les réglages et les requêtes sont envoyés directement du serveur à l’appareil iOS par une connexion SSL/TLS chiffrée entre l’appareil et le serveur MDM. iOS gère toutes les requêtes et actions de MDM en arrière-plan afin d’en limiter l’impact pour l’utilisateur, y compris en termes d’autonomie, de performances et de fiabilité. Pour que le serveur de notifications push reconnaisse les commandes du serveur MDM, un certificat doit au préalable être installé sur le serveur. Ce certificat doit être demandé et téléchargé depuis le portail de certificats push Apple (Apple Push Certificates Portal). Une fois le certificat de notification push Apple téléchargé sur le serveur MDM, l’inscription des appareils peut débuter. Pour en savoir plus sur la demande d’un certificat de notification push Apple pour un serveur MDM, consultez la page www.apple.com/fr/iphone/business/integration/mdm. Configuration réseau pour le service APN Lorsque les serveurs MDM et les appareils iOS sont protégés par un coupe-feu, il est nécessaire de procéder à une configuration réseau pour permettre au service MDM de fonctionner correctement. Pour envoyer des notifications depuis un serveur MDM vers le service APN, le port TCP 2195 doit être ouvert. Pour bénéficier du service de feedback, le port TCP 2196 doit également être ouvert. Pour les appareils se connectant au service push en Wi-Fi, le port TCP 5223 doit être ouvert. La plage d’adresses IP utilisée pour le service push est susceptible de changer ; il est normalement prévu qu’un serveur MDM se connecte par nom d’hôte plutôt que par adresse IP. Le service push met en œuvre une stratégie d’équilibrage des charge qui fournit une adresse IP différente pour le même nom d’hôte. Ce nom d’hôte est gateway.push.apple.com (et gateway.sandbox.push.apple.com pour l’environnement de notification push de développement). Par ailleurs, l’ensemble du bloc d’adresses 17.0.0.0/8 est attribué à Apple afin d’établir des règles de coupe-feu spécifiant cette plage. Pour en savoir plus, adressez-vous à votre fournisseur de solutions MDM ou consultez la Developer Technical Note TN2265 de la bibliothèque de développement iOS à l’adresse http://developer.apple.com/library/ios/#technotes/tn2265/_index.html. Inscription Une fois le serveur MDM et le réseau configurés, la première étape de la gestion d’un iPhone ou d’un iPad consiste à inscrire celui-ci auprès d’un serveur MDM. Cela établit une relation entre l’appareil et le serveur qui permet de gérer l’appareil à la demande sans autre interaction avec l’utilisateur. Pour cela, l’iPhone ou l’iPad peuvent être connectés à un ordinateur via USB, mais la plupart des solutions fournissent le profil d’inscription sans fil. Certains fournisseurs de solutions MDM utilisent une app pour démarrer le processus, tandis que d’autres lancent l’inscription en dirigeant les utilisateurs vers un portail web. Chaque méthode a ses avantages, et l’une comme l’autre permettent de déclencher le processus d’inscription à distance via Safari. iOS et SCEP iOS prend en charge le protocole SCEP (Simple Certificate Enrollment Protocol). SCEP est un protocole d’enregistrement à l’état d’Internet draft selon les spécifications de l’IETF. Il a été conçu pour simplifier la distribution des certificats dans le cas de déploiements réalisés à grande échelle. Cette installation permet une inscription à distance des certificats d’identité destinés à l’iPhone et à l’iPad et servant de système d’identification aux services d’entreprise. 2122 Présentation du processus d’inscription Le processus d’inscription à distance (mode OTA) suppose des phases qui s’associent en un flux automatisé afin d’offrir le moyen le plus adaptable d’inscrire des appareils de façon sécurisée dans un environnement d’entreprise. Ces phases sont les suivantes : 1. L’authentification de l’utilisateur L’authentification de l’utilisateur garantit que les demandes d’inscription entrantes proviennent d’utilisateurs légitimes et que les informations de l’appareil de l’utilisateur sont capturées avant l’inscription par certificat. L’administrateur peut inviter l’utilisateur à initier la procédure d’inscription via un portail web, par e-mail, SMS ou même par le biais d’une app. 2. Inscription par certificat Une fois l’utilisateur authentifié, iOS génère une demande d’inscription par certificat à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Cette demande d’inscription communique directement avec l’autorité de certification (AC ou CA) de l’entreprise et permet à l’iPhone et à l’iPad de recevoir en retour le certificat d’identité émis par l’AC. 3. Configuration de l’appareil Une fois que le certificat d’identité est installé, l’appareil peut recevoir un profil de configuration chiffré à distance. Ces informations ne peuvent être installées que sur l’appareil auquel elles sont destinées et contiennent les réglages permettant de se connecter au serveur MDM. À la fin du processus d’inscription, l’utilisateur voit apparaître un écran d’installation qui décrit les droits d’accès que le serveur MDM possédera sur l’appareil. Lorsque l’utilisateur accepte l’installation du profil, son appareil est automatiquement inscrit, sans intervention supplémentaire. Une fois l’iPhone et l’iPad inscrits en tant qu’appareils gérés, ils peuvent être configurés de façon dynamique à l’aide de réglages, interrogés pour livrer des informations ou effacés à distance par le serveur MDM. Configuration Pour configurer un appareil à l’aide de comptes, de règles et de restrictions, le serveur MDM envoie à l’appareil des fichiers appelés Profils de configuration qui sont installés automatiquement. Les Profils de configuration sont des fichiers XML qui contiennent des réglages permettant à l’appareil d’interagir avec les systèmes de votre entreprise : informations de comptes, règles de codes, restrictions et autres réglages d’appareils. Lorsqu’on l’associe au processus d’inscription décrit précédemment, la configuration de l’appareil garantit au service informatique que seuls les utilisateurs de confiance peuvent accéder aux services de l’entreprise et que leurs appareils sont correctement configurés en fonction des règles établies. Et comme les profils de configuration peuvent être à la fois signés et chiffrés, les réglages ne peuvent être ni modifiés, ni partagés avec d’autres.Réglages configurables pris en charge Comptes • Exchange ActiveSync • E-mail IMAP/POP • Wi-Fi • VPN • LDAP • CardDAV • CalDAV • Calendriers avec abonnements Règles de code d’appareil • Exiger un code sur l’appareil • Autoriser une valeur simple • Exiger une valeur alphanumérique • Nombre minimum de caractères • Nombre minimum de caractères complexes • Durée de vie maximum du code • Délai avant verrouillage automatique • Historique des codes • Délai supplémentaire pour le verrouillage de l’appareil • Nombre maximum de tentatives Sécurité et confidentialité • Autoriser l’envoi à Apple des données de diagnostic • Autoriser l’utilisateur à accepter des certificats non fiables • Forcer les sauvegardes chiffrées Autres réglages • Références • Web Clips • Réglages SCEP • Réglages APN Fonctionnalité des appareils • Autoriser l’installation d’apps • Autoriser Siri • Autoriser Siri lorsque l’appareil est verrouillé • Autoriser l’utilisation de l’appareil photo • Autoriser FaceTime • Autoriser la capture d’écran • Permettre la synchronisation automatique en déplacement • Permettre la composition vocale de numéros • Autoriser les achats intégrés • Demander le mot de passe du Store pour tous les achats • Autoriser les jeux multijoueurs • Autoriser l’ajout d’amis dans Game Center Applications • Autoriser l’utilisation de YouTube • Autoriser l’utilisation de l’iTunes Store • Autoriser l’utilisation de Safari • Définir les préférences de sécurité de Safari iCloud • Autoriser la sauvegarde • Autoriser la synchronisation des documents et des valeurs clés • Autoriser Flux de photos Classement du contenu • Autoriser la musique et les podcasts à contenu explicite • Définir la région du classement • Définir les classements de contenus autorisés 23Interrogation des appareils Outre la configuration, un serveur MDM a la capacité d’interroger les appareils pour obtenir des informations diverses. Ces informations peuvent servir à s’assurer que les appareils continuent à respecter les politiques en vigueur. Requêtes prises en charge Informations sur les appareils • Identifiant unique de l’appareil (UDID) • Nom de l’appareil • iOS et version • Nom et numéro du modèle • Numéro de série • Capacité et espace disponible • Numéro IMEI • Firmware du modem • Niveau de la batterie Informations réseau • ICCID • Adresses MAC Bluetooth® et Wi-Fi • Réseau et opérateur actuel • Réseau de l’opérateur de l’abonné • Version des réglages de l’opérateur • Téléphone • Paramètre d’itinérance des données (activer/désactiver) Informations de conformité et de sécurité • Profils de configuration installés • Certificats installés avec des dates d’expiration • Recensement de toutes les restrictions en vigueur • Capacité de chiffrement matériel • Code d’appareil présent Applications • Applications installées (ID, nom, version, taille de l’app et volume des données de l’app) • Profils d’approvisionnement installés avec des dates d’expiration Gestion Grâce à la gestion des appareils mobiles, un certain nombre de fonctions peuvent être effectuées par un serveur MDM sur des appareils iOS. Parmi ces tâches, figurent l’installation et la suppression de profils de configuration et d’approvisionnement, la gestion des apps, la rupture de la relation MDM et l’effacement à distance d’un appareil. Réglages gérés Au cours du processus initial de configuration d’un appareil, un serveur MDM pousse vers l’iPhone ou l’iPad des profils de configuration, qui sont installés en arrière-plan. Au fil du temps, il peut être nécessaire d’actualiser ou de modifier les réglages et les règles mis en place au moment de l’inscription. Pour effectuer ces changements, un serveur MDM peut à tout moment installer de nouveaux profils de configuration et modifier ou supprimer les profils existants. De même, il peut être nécessaire d’installer sur des appareils iOS des configurations spécifiques à un contexte particulier, selon la localisation d’un utilisateur ou son rôle au sein de l’organisation. Par exemple, si un utilisateur voyage à l’étranger, un serveur MDM peut exiger que ses comptes de courrier électronique se synchronisent manuellement plutôt qu’automatiquement. Un serveur MDM peut même désactiver à distance des services voix ou données afin d’éviter à un utilisateur des frais d’itinérance imposés par un opérateur. Apps gérées Un serveur MDM peut gérer des apps tierces de l’App Store ainsi que des applications développées en interne par les entreprises. Le serveur peut supprimer à la demande des apps gérées et les données qui leur sont associées ou préciser si les apps doivent être supprimées lors de la suppression du profil MDM. De plus, le serveur MDM peut empêcher la sauvegarde sur iTunes et iCloud des données de l’app gérée. 2425 Pour installer une app gérée, le serveur MDM envoie une commande d’installation sur l’appareil de l’utilisateur. Les apps gérées nécessitent l’acceptation de l’utilisateur avant d’être installées. Lorsqu’un serveur MDM demande l’installation d’une app gérée de l’App Store, l’app est acquise à l’aide du compte iTunes utilisé au moment de l’installation de l’app. Pour les apps payantes, le serveur MDM devra envoyer un code d’utilisation du Programme d’achats en volume (VPP, Volume Purchasing Program). Pour en savoir plus sur le programme VPP, consultez la page www.apple. com/business/vpp/. Les apps de l’App Store ne peuvent pas être installées sur l’appareil d’un utilisateur si l’App Store a été désactivé. Suppression ou effacement d’appareils Si un appareil ne respecte pas les règles, est perdu ou volé, ou si un employé quitte la société, un serveur MDM dispose d’un certain nombre de moyens pour protéger les informations d’entreprise que contient cet appareil. Un administrateur informatique peut mettre fin à la relation MDM avec un appareil en supprimant le profil de configuration contenant les informations relatives au serveur MDM. Ainsi, tous les comptes, réglages et apps qu’il avait la charge d’installer sont supprimés. Le service informatique peut également laisser le profil de configuration MDM en place et n’utiliser le serveur MDM que pour supprimer des profils de configuration et des profils d’approvisionnement spécifiques ainsi que les apps gérées qu’il souhaite supprimer. Cette approche maintient la gestion de l’appareil par le serveur MDM et évite d’avoir à le réinscrire dès qu’il respecte à nouveau les règles. Les deux méthodes donnent au service informatique la capacité de s’assurer que les informations ne sont disponibles qu’aux utilisateurs et aux appareils respectant les règles, et de veiller à ce que les données d’entreprise soient supprimées sans interférer avec les données personnelles d’un utilisateur, comme la musique, les photos ou des apps personnelles. Pour supprimer de façon définitive tous les contenus multimédias et les données de l’appareil et en restaurer les réglages d’origine, le serveur MDM peut effacer à distance un iPhone ou un iPad. Si l’utilisateur est toujours à la recherche de son appareil, le service informatique peut également décider d’envoyer à cet appareil une commande de verrouillage à distance. Cela a pour effet de verrouiller l’écran et d’exiger le code de sécurité de l’utilisateur pour le déverrouiller. Si un utilisateur a tout simplement oublié son code de sécurité, un serveur MDM peut le supprimer de l’appareil et inviter l’utilisateur à en définir un nouveau dans un délai de 60 minutes. Commandes de gestion prises en charge Réglages gérés • Installation du profil de configuration • Suppression du profil de configuration • Itinérance du service données • Itinérance du service voix (non disponible chez certains opérateurs) Apps gérées • Installation d’apps gérées • Suppression d’apps gérées • Recensement de toutes les apps gérées • Installation de profil d’approvisionnement • Suppression de profil d’approvisionnement Commandes de sécurité • Effacement à distance • Verrouillage à distance • Effacement de codes de verrouillageCoupe-feu Service de notification Serveur MDM tiers Push d’Apple 1 2 4 3 5 © 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, FaceTime, iPad, iPhone, iTunes, Safari et Siri sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. iCloud et iTunes Store sont des marques de service d’Apple Inc., déposées aux États-Unis et dans d’autres pays. App Store est une marque de service d’Apple, Inc. Le terme et les logos Bluetooth® sont des marques déposées détenues par Bluetooth SIG, Inc. et utilisées sous licence par Apple. Les autres noms de produits et de sociétés mentionnés sont des marques de leurs sociétés respectives. Les caractéristiques des produits sont sujettes à modification sans préavis. Mars 2012 1 2 3 4 5 Présentation du processus Cet exemple illustre le déploiement élémentaire d’un serveur de gestion d’appareils mobiles (MDM). Un Profil de configuration contenant des informations relatives au serveur de gestion des appareils mobiles est envoyé à l’appareil. L’utilisateur voit apparaître les informations sur les éléments qui seront gérés et/ou demandés par le serveur. L’utilisateur installe le profil pour accepter (« opt-in ») la gestion de l’appareil. L’inscription de l’appareil se fait pendant l’installation du profil. Le serveur valide l’appareil et autorise l’accès. Le serveur envoie une notification « push » invitant l’appareil à s’identifier pour les tâches ou requêtes demandées. L’appareil se connecte directement au serveur via HTTPS. Le serveur envoie les informations concernant les commandes ou les requêtes. Pour en savoir plus sur la gestion des appareils mobiles, consultez la page www.apple.com/fr/iphone/business/integration/mdm. 26Déploiement de l’iPhone et de l’iPad Apple Configurator Les appareils iOS peuvent être configurés pour un déploiement en entreprise à l’aide d’un large éventail d’outils et de méthodes. L’utilisateur final peut configurer les appareils manuellement en suivant quelques instructions simples fournies par le service informatique ; la configuration des appareils peut aussi être automatisée au moyen de profils de configuration ou d’un serveur de gestion des appareils mobiles (MDM) tiers. Dans le cadre de certains déploiements, le service informatique souhaitera parfois configurer de nombreux appareils en leur appliquant les mêmes réglages et apps, avant de les distribuer aux utilisateurs. C’est souvent le cas lorsqu’un même appareil doit être utilisé par différents utilisateurs au cours de la journée. D’autres déploiements exigent quant à eux une gestion étroite des appareils et la réinitialisation d’une configuration particulière à intervalles réguliers. Apple Configurator pour OS X Lion simplifie la configuration et le déploiement en masse des iPhone et des iPad dans de telles situations grâce à trois options simples : Préparer les appareils. Vous pouvez Préparer un jeu de nouveaux appareils iOS à partir d’une même configuration centralisée, avant de les déployer auprès des utilisateurs. Installez la dernière version d’iOS, installez des profils de configuration et des apps, inscrivez les appareils auprès du serveur MDM de votre organisation, puis distribuez les appareils. La préparation des appareils est une excellente option de déploiement si votre organisation souhaite fournir des appareils iOS aux employés pour une utilisation au quotidien. Superviser les appareils. Une autre option consiste à Superviser un ensemble d’appareils iOS qui restent sous votre contrôle direct et peuvent être configurés de manière continue. Vous appliquez une configuration à chaque appareil, puis l’appliquez à nouveau automatiquement après chaque utilisation en reconnectant tout simplement l’appareil à Apple Configurator. La supervision est idéale pour le déploiement d’appareils destinés à des tâches dédiées (vente au détail, SAV sur le terrain, tâches médicales, etc.), le partage d’appareils entre élèves d’une classe ou d’un laboratoire, ou le prêt d’appareils iOS à des clients (par exemple dans un hôtel, un restaurant ou à l’hôpital). Attribuer des appareils. Enfin, vous pouvez Attribuer des appareils supervisés à des utilisateurs particuliers de votre organisation. Attribuez un appareil à un utilisateur particulier, puis restaurez la sauvegarde de l’utilisateur concerné (y compris toutes ses données) sur l’appareil. Lorsque l’appareil est restitué, sauvegardez les données de l’utilisateur pour une utilisation ultérieure, y compris sur un autre appareil. Cette option est pratique lorsque les utilisateurs doivent pouvoir exploiter les mêmes données et documents sur une longue période, quel que soit l’appareil qui leur est attribué. Configuration requise • Ordinateur Mac • OS X Lion 10.7.2 • iTunes 10.6 Apple Configurator fonctionne avec les appareils équipés d’iOS 4.3 ou version ultérieure, et il peut superviser les appareils équipés d’iOS 5.0 ou version ultérieure.Configuration des réglages et des apps Que vous choisissiez de Préparer, de Superviser ou d’Attribuer vos appareils iOS avant leur déploiement, Apple Configurator simplifie la configuration d’un éventail complet de réglages ainsi que l’installation d’apps de l’App Store ou développées en interne. Réglages Tout comme iTunes, Apple Configurator permet de nommer les appareils et d’installer les mises à jour d’iOS. En outre, Apple Configurator peut configurer les préférences, dont le fond d’écran de l’écran de verrouillage, la disposition de l’écran d’accueil et d’autres réglages qui peuvent être définis manuellement sur un appareil et sauvegardés dans Apple Configurator. Apple Configurator simplifie la configuration de nombreux appareils qui doivent disposer des mêmes réglages. Il suffit de configurer un appareil avec les réglages et préférences souhaités sur tous les appareils, puis d’effectuer une sauvegarde avec Apple Configurator. Apple Configurator restaure aussi simultanément la sauvegarde sur les autres appareils (jusqu’à 30 appareils connectés par USB à la fois). Comme l’Utilitaire de configuration iPhone, le Gestionnaire de profils d’OS X Lion Server et certaines solutions tierces de gestion des appareils mobiles, Apple Configurator permet de créer et d’installer des profils de configuration pour les réglages suivants : • Comptes Exchange ActiveSync • Réglages VPN et Wi-Fi • Longueur et complexité du code d’appareil et réglages d’effacement local • Réglages d’inscription MDM • Restrictions de l’appareil • Certificats • Web Clips Les profils de configuration créés avec d’autres outils peuvent être importés facilement dans Apple Configurator. Pour une liste complète des réglages de profil de configuration disponibles dans Apple Configurator, rendez-vous sur http://help.apple.com/configurator/ mac/1.0. Si vous souhaitez connecter des appareils à un serveur de gestion des appareils mobiles, utilisez Apple Configurator pour installer les réglages de MDM avant de remettre l’appareil à un utilisateur final. Une fois l’appareil inscrit auprès du serveur MDM de votre organisation, vous pouvez configurer les réglages à distance, surveiller le respect des règles de l’entreprise et effacer ou verrouiller l’appareil. Pour en savoir plus sur les fonctionnalités de gestion des appareils mobiles d’iOS, consultez la page www.apple. com/fr/iphone/business/integration/mdm. Activer les appareils Pour préparer les appareils de façon à ce que vous (ou l’utilisateur final) ne soyez pas obligé de passer par l’assistant de configuration iOS, restaurez la sauvegarde d’un appareil ayant déjà suivi les étapes de l’assistant. Apple Configurator ne peut pas effectuer la toute première activation des iPhone ou iPad sur un réseau cellulaire, mais il peut réactiver des appareils précédemment activés dans le cadre du processus de configuration. 28Apps Pour installer une app de l’App Store sur vos appareils, achetez et téléchargez l’app dans iTunes, ajoutez-la à Apple Configurator, puis installez l’app lors de la configuration des appareils. Pour installer des apps payantes de l’App Store à l’aide d’Apple Configurator, vous devez participer au Programme d’achat en volume pour les entreprises (VPP). Apple Configurator récupère automatiquement les codes fournis par l’animateur du programme VPP ou l’acheteur agréé pour installer les apps. La liste des apps dans Apple Configurator indique les apps gratuites et le nombre de codes de téléchargement restants pour les apps payantes. Chaque fois que vous installez une app sur un appareil, un code de téléchargement est utilisé sur la feuille de calcul VPP qui a été importée dans Apple Configurator. Les codes de téléchargement ne peuvent pas être réutilisés. S’il ne vous en reste plus, vous devez en importer d’autres pour installer l’app sur d’autres appareils. Lorsqu’une app payante est désinstallée d’un appareil supervisé ou attribué, elle peut être installée sur un autre appareil. Le code VPP n’est pas réactivé, ce qui signifie que les installations ultérieures doivent être effectuées avec Apple Configurator sur le Mac utilisé pour l’installation initiale de l’app. Les apps payantes de l’App Store ne peuvent être installées qu’à l’aide des codes de téléchargement obtenus par le biais du Programme d’achat en volume pour les entreprises ou l’Éducation. Le Programme d’achat en volume n’est pas disponible dans tous les pays. Pour en savoir plus, consultez www.apple.com/business/vpp ou www. apple.com/education/volume-purchase-program. Vous pouvez également installer les apps développées et distribuées en interne au sein de votre entreprise. Ajoutez votre app (qui inclut le profil d’approvisionnement de distribution) à Apple Configurator, puis installez-la durant la configuration des appareils. Important : les apps installées avec Apple Configurator sont associées à l’appareil sur lequel elles ont été installées, et non à un identifiant Apple particulier. Pour mettre à jour les apps déployées avec Apple Configurator, vous devez reconnecter l’appareil au Mac ayant servi à installer les apps. En outre, vous ne pouvez pas télécharger à nouveau ces apps via iTunes dans le nuage. Dès lors, il est conseillé de réserver l’installation d’apps de l’App Store avec Apple Configurator aux appareils supervisés ou attribués. Exemples de déploiement Les scénarios suivants illustrent la manière dont vous pouvez tirer parti d’Apple Configurator pour déployer rapidement des appareils personnalisés. Préparer de nouveaux appareils pour un usage personnel Avec l’option Préparer, configurez les réglages sur les appareils avant de les déployer auprès des utilisateurs pour un usage professionnel. Il peut s’agir d’évoluer vers la dernière version d’iOS, d’actualiser une configuration réseau ou des informations d’inscription auprès du serveur MDM de votre organisation. Si un appareil est préparé avec Apple Configurator, il peut être reconfiguré à la convenance de l’utilisateur final. Il ne sera pas reconnu par Apple Configurator s’il est reconnecté ultérieurement. Par exemple, les utilisateurs peuvent connecter leurs appareils non supervisés à leur copie d’iTunes et synchroniser le contenu de leur choix. Les administrateurs informatiques qui souhaitent autoriser les utilisateurs à personnaliser leurs appareils peuvent utiliser Apple Configurator pour Préparer et déployer des appareils non supervisés, puis utiliser une solution MDM pour gérer à distance les réglages, comptes et apps de chaque appareil. La configuration d’un appareil non supervisé est généralement effectuée une seule fois, l’utilisateur étant responsable de la gestion de l’appareil par la suite. Apple Configurator oublie les appareils non supervisés dès qu’ils sont déconnectés ; il les traite comme de nouveaux appareils lorsqu’ils sont reconnectés. Afficher ou exporter des infos sur les appareils Apple Configurator intègre un inspecteur qui affiche les informations relatives aux appareils supervisés, comme la version d’iOS, le numéro de série, les identifiants et adresses matérielles et la capacité disponible. Vous pouvez également exporter la plupart de ces informations au format CSV pour les exploiter dans un tableur, ou les exporter dans un format spécialement conçu pour le portail d’approvisionnement iOS afin de permettre aux développeurs de logiciels de votre entreprise d’y accéder et de créer des profils d’approvisionnement pour les apps iOS développées en interne. 29Superviser des appareils devant être déployés auprès d’utilisateurs non spécifiés Lors de la préparation, vous pouvez choisir de Superviser les appareils qui doivent être contrôlés et configurés de manière continue avec Apple Configurator. Il peut s’agir d’un ensemble d’appareils qui doivent tous être dotés d’une même configuration et qui ne sont pas associés à des utilisateurs particuliers. Un appareil supervisé est effacé à chaque reconnexion à Apple Configurator. Les données de l’utilisateur précédent sont alors supprimées et l’appareil est reconfiguré. En outre, les appareils supervisés ne peuvent pas être synchronisés avec iTunes ou Apple Configurator sur un autre Mac. Le déploiement d’appareils supervisés consiste généralement à distribuer les appareils, les récupérer, réappliquer leur configuration initiale et les redistribuer. Les appareils supervisés peuvent être classés dans des groupes, afin de simplifier l’application automatique d’une même configuration. Important : lors de la supervision initiale d’un appareil lors du processus de préparation, l’ensemble du contenu et des réglages est volontairement effacé. Cela permet d’éviter que l’appareil personnel d’un utilisateur soit supervisé sans qu’il en ait connaissance. Attribuer des appareils supervisés à des utilisateurs particuliers Une fois que vous avez configuré un appareil supervisé, vous pouvez aussi l’Attribuer à un utilisateur particulier. Lorsque vous « extrayez » l’appareil pour un utilisateur particulier, Apple Configurator le remet dans l’état où il était la dernière fois que cette personne l’a utilisé. L’intégralité des réglages et données d’apps de l’utilisateur est alors restaurée. Lorsque l’appareil est retourné, Apple Configurator sauvegarde les réglages et les données d’apps de l’utilisateur pour la prochaine fois, y compris toutes les nouvelles données créées par l’utilisateur, puis efface toutes les informations laissées sur l’appareil par le précédent utilisateur. Le mécanisme d’extraction-archivage des appareils permet à l’utilisateur de bénéficier de l’expérience d’un appareil personnel tout en vous laissant la possibilité d’attribuer un même groupe d’appareils à plusieurs groupes d’utilisateurs. Les utilisateurs peuvent être ajoutés manuellement ou importés depuis Open Directory ou Active Directory, puis classés dans des groupes personnalisés. Si vous installez des apps comme Keynote ou Pages qui prennent en charge le partage de fichiers iTunes, vous pouvez également installer des documents qui seront prêts à l’emploi lorsque vos utilisateurs récupéreront un appareil extrait. Et lorsque l’appareil est restitué, une sauvegarde des données et des réglages de l’utilisateur est effectuée, et ses documents synchronisés sont accessibles directement depuis Apple Configurator. © 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPad, iPhone, iTunes, Keynote, Mac, le logo Mac, OS X et Pages sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. iCloud et iTunes Store sont des marques de service d’Apple Inc., déposées aux États-Unis et dans d’autres pays. App Store est une marque de service d’Apple Inc. Les autres noms de produits et de sociétés mentionnés dans ce document appartiennent à leurs propriétaires respectifs. Les caractéristiques des produits sont sujettes à modification sans préavis. Mars 2012 30 Installing and Configuring the Apple PCI Dual-Attached FDDI Card EnglishPreface / A5 1 Installing the Card and Connecting to the Network / A7 Opening the logic module of the Network Server / A8 Unpacking the card / A11 Installing the card / A12 Attaching the cables and connecting to the network / A16 2 Installing and Configuring the Device Driver Software / A19 Installing the Common FDDI Software / A20 Installing the FDDI AIX device driver / A22 Configuring the FDDI network interface / A24 3 Troubleshooting and Diagnostics / A27 Troubleshooting / A28 Using FDDI diagnostic routines / A29 Obtaining service and support / A29 Appendix Specifications / A31 ContentsThe Apple Peripheral Connect Interface (PCI) Dual-Attached FDDI Card is a 100 megabit per second (Mbps) single-slot Fiber Distributed Data Interface (FDDI) card for use with the Apple Network Server. The card and its associated driver provide physical and data-link services under the TCP/IP protocol as defined by the ANSI X3T9.5 specifications for FDDI. IMPORTANT You must first install AIX 4.1.4.1 before you can use the FDDI Card. See Instructions to Update AIX for the Network Server to Version 4.1.4.1. The Apple PCI Dual-Attached FDDI Card has the following features: m compliance with PCI Local Bus, version 2.1 m onboard integrated FDDI Station Management (SMT) m 32-bit, zero wait state PCI Direct Memory Access (DMA) master m up to 132 Mbps burst DMA rate m PCI commands for efficient use of cache lines m support of optical fiber media m support of Dual Attachment for direct attachment to network ring m 128K of local buffering m Motorola MC68840 FDDI chipset These capabilities are all available as soon as the card is installed in the Network Server. No special configuring is required. PrefaceAbout this manual This manual is aimed at Network Server administrators. It assumes you have a good understanding of the Network Server hardware, as described in Setting Up the Network Server (available in the Network Server accessory kit). You should also have a working knowledge of the AIX operating system. Using AIX®, AppleTalk Services, and Mac OS Utilities on the Network Server, also available in your accessory kit, provides a basic introduction. Complete AIX documentation is available online through the InfoExplorer application. Chapter 5 of Using AIX, AppleTalk Services, and Mac OS Utilities on the Network Server tells you how to access and use InfoExplorer. For more information Numerous books about FDDI and FDDI token-passing networks are available at most technical bookstores. In addition, the FDDI Consortium at the University of New Hampshire is an excellent resource for FDDI information and training. The Consortium can be accessed on the Internet at http://www.iol.unh.edu/consortiums/fddi/fddi_consortium.html A6 PrefaceThis chapter provides complete instructions for installing the Apple PCI DualAttached FDDI Card in the Network Server. Before proceeding, you should familiarize yourself with the section on installing PCI cards in Setting Up the Network Server. Be sure to follow all recommendations for handling and installing the card carefully and correctly, so as not to damage either the card or the computer. 1 Installing the Card and Connecting to the NetworkOpening the logic module of the Network Server You do not need to remove the cover from the Network Server to install a card. Instead you open the logic module, following the directions in this section. 1 Shut down the Network Server. See Using AIX, AppleTalk Services, and Mac OS Utilities on the Apple Network Server if you need more information about safely shutting down the Network Server. 2 Attach a grounding strap to your body A grounding strap is strongly recommended to avoid damage to the card or the computer from electrostatic discharge. 3 Turn the key at the rear of the server to the Unlock position. A8 Chapter 1 / Installing the Card and Connecting to the Network4 Loosen the thumb screws completely. Opening the logic module of the Network Server A95 Grasping the logic module by its handles, pull the module out as far as it will go. 6 Remove the cover plate from the expansion slot you want to use. Put the screw aside. You will reattach it later to hold the card in place. Put the cover plate away for safekeeping in case you remove the card later. A10 Chapter 1 / Installing the Card and Connecting to the NetworkUnpacking the card The package for the Apple PCI Dual-Attached FDDI Card contains an installation CD-ROM disc, the card itself, and this manual. 1 Remove the protective packing materials from around the card. Save the packing materials and the package. You can use them should you need to return the card for service. 2 Carefully remove the card from its antistatic bag. Inspect for any visible damage that might have occurred during shipment. If you find any damage, contact your Apple-authorized Network Server dealer or service representative. Unpacking the card A11Installing the card The cable ports on the Apple PC Dual-Attached FDDI card are somewhat oversized for the Network Server, and require you to slightly modify the procedure you’ve used to install other cards. Use the illustrations that follow to install the FDDI card: A12 Chapter 1 / Installing the Card and Connecting to the NetworkInstalling the card A13A14 Chapter 1 / Installing the Card and Connecting to the NetworkOnce the card has been installed, push the logic module back in, tighten the thumb screws, turn the key to Lock, and reattach all cables. Do not turn on the computer until you have connected the card to the network. Installing the card A15Attaching the cables and connecting to the network The Apple PCI Dual-Attached FDDI card requires one SC Duplex fiber cable for single attachment or two cables for dual attachment. Note that each cable has two connectors, as shown in the illustration that follows. These cables are not supplied with the card but may be ordered in a variety of lengths from most large computer suppliers. Attach each cable to Port A or Port B on the FDDI card, following the cable manufacturer’s instructions (if any). Looking at the computer from the back (toward the logic module), as shown in the illustration that follows, Port A is on the left. A16 Chapter 1 / Installing the Card and Connecting to the NetworkIMPORTANT Do not connect the Network Server to the next node on the network without consulting with your network administrator. Where and how you should connect, and how the rest of the network will be affected by adding a node, depends on your particular network. Attaching the cables and connecting to the network A17Once you install the FDDI card, you must install a common FDDI software package and the FDDI device driver software. You must also configure the FDDI device driver so your Network Server can communicate on the FDDI network. This chapter describes all of these steps. IMPORTANT You must be using Apple’s AIX version 4.1.4.1 or later to use the FDDI Card. If your Network Server is not running AIX 4.1.4.l, you must first upgrade your software before installing the FDDI software. See the Instructions to Update AIX to Version 4.1.4.1 that came with your FDDI card. 2 Installing and Configuring the Device Driver SoftwareInstalling the Common FDDI Software After you have AIX Version 4.1.4.1 (or later) running on your Network Server, you need to install a Common FDDI Software package before you install the FDDI device driver. The steps you follow depend on whether you have the Installation CD or the Software Update CD. Refer to the section below for the CD you are using. If you have the AIX Installation CD Version 4.1.4.1 (or later) Follow these steps: 1 Type lslpp -l devices.mca.8ef4.com In most cases a message appears telling you that the software is not installed. Continue with step 2. If a message appears telling you the software is present, then go to next section, “Installing the FDDI AIX Driver.” 2 Insert the AIX Installation CD in the CD drive. 3 At the AIX prompt, type the following command and press return: smitty devinst The menu for installing additional device software appears. 4 Press F4 (or ESC-4). A pop-up menu listing the device software that can be installed appears. 5 Select the appropriate CD device from the list and press Return. An expanded menu appears. 6 Select “Software to install” from the menu and type: devices.mca.8ef4.com 7 Press Return. A dialog box appears asking you to confirm the installation. Press Return to begin the installation or press F3 (or ESC 3) to cancel the installation. When the installation is finished, continue with the next section, “Installing the FDDI AIX Driver.” A20 Chapter 2 / Installing and Configuring the Device Driver SoftwareIf you have the Software Update CD Follow these steps: 1 Type lslpp -l devices.mca.8ef4.com In most cases a message appears telling you that the0 software is not installed. Continue with step 2. If a message appears telling you the software is present, then go to next section, “Installing the FDDI AIX Driver.” 2 Insert the Network Server Software Update Kit CD in the CD drive. 3 To mount the CD, type the following command and press return: mount -r -v cdrfs /dev/cd0 /mnt 4 At the AIX prompt, type the following command and press return: smitty devinst The menu for installing additional device software appears. 5 In the “INPUT device/directory for software” field, type: /mnt/new 6 In the “SOFTWARE to install” field, type: devices.mca.8ef4.com 7 Press Return. A dialog box appears asking you to confirm the installation. Press Return to begin the installation or press F3 (or ESC 3) to cancel the installation. 8 To unmount the CD, type: umount /mnt When the installation is finished, continue with the next section, “Installing the FDDI AIX Driver.” Installing the Common FDDI Software A21Installing the FDDI AIX device driver The device driver software is included on the installation floppy disk. The following instructions can be used to install the driver software using either the X-windows version of the System Management Interface Tool (SMIT) or the command line version (SMITTY). The example uses SMITTY, but all the steps are the same. Note: To perform the installation you must be logged in as root. 1 Insert the installation floppy disk. 2 At the AIX prompt, type the following command and press Return: smitty devinst The following menu appears: 3 In the INPUT entry field, type: /dev/fd0 A22 Chapter 2 / Installing and Configuring the Device Driver Software4 Press Return to display the configuration options shown in the next screen: 5 Type devices.pci.7e100300 in the SOFTWARE to install field. If a FDDI driver has already been installed and you want to continue with this installation you need to type, Yes in the overwrite field. A dialog box appears asking you to confirm your selection. 6 Press Return again to begin the installation. Messages on the screen describe the installation process. When you see the following message, installation is complete: Installation Summary -------- Name Level Part Event Result devices.pci.7e100300.rte 2.1.0.0 USR APPLY SUCCESS devices.pci.7e100300.diag 2.1.0.0 USR APPLY SUCCESS 7 Press f10 to exit SMITTY, and then reboot the Network Server. Configuring the FDDI AIX device driver A23Configuring the FDDI network interface You’ll need to have the following information to configure the network interface for the FDDI card: m a name and IP address for each FDDI card installed on the Network Server m the network mask m the appropriate domain name server name and IP address m the IP address of the router or gateway the Network Server uses for network access. If you don’t have this information, obtain it from your network administrator. As when you install the device driver, you can configure the card with either SMIT or SMITTY. The instructions that follow presume you are for using SMITTY. 1 At the AIX prompt, type the following command and press Return: smitty tcpip The TCP/IP configuration screen appears: A24 Chapter 2 / Installing and Configuring the Device Driver Software2 Select Minimum Configuration & Startup and then press Return. The Available Network Interfaces screen appears. 3 Press fi0 and then press Return. The Minimum Configuration & Startup screen appears. 4 Fill in or edit the entry fields in the Minimum Configuration & Startup screen. Enter the name and IP address assigned to the FDDI card, the network mask, the name and IP address of the appropriate domain name server, and the IP address of the router or gateway the Network Server uses for network access. If you are connecting more than one FDDI card to the server, each FDDI card must have a unique IP address 5 Press Return. 6 Press f10 to exit SMITTY, and then reboot the Network Server. Configuring the FDDI network interface A25This chapter suggests possible solutions to common problems that may come up while you’re using the Network Server with an Apple PCI Dual-Attached FDDI Card. Try the suggestions in the order they are listed, until you resolve the problem. The chapter gives you information about using FDDI diagnostic routines. Finally, the chapter includes information on obtaining service and support if you encounter problems you can’t solve. 3 Troubleshooting and DiagnosticsTroubleshooting AIX won’t boot. 1. Check to see that the system is plugged in and turned on 2. Check to see that the card you just installed is properly seated in the slot. 3. Try installing the card in a different PCI slot. 4. Remove the card and see if the system boots up and works normally. 5. Try installing another card that you know is good. If the problem continues, see “Obtaining Service and Support,” later in this chapter. A network application no longer works. If an application worked prior to the installation of the card, there is probably a hardware conflict. See “Obtaining Service and Support,” later in this chapter. The Network Server card cannot connect to the ring or communicate with other hosts on the network. 1. Make sure the card is seated correctly in the bus expansion slot. 2. Verify that both cables are properly connected, and that Ports A and B are connected to the correct ports on their adjacent nodes. 3. Use a utility such as PING to test the Network Server’s ability to communicate on the network. 4. Install the card in another PCI slot and try again. 5. Try installing another card that you know is good. If the problem continues, see “Obtaining Service and Support,” later in this chapter. A28 Chapter 3 / Troubleshooting and DiagnosticsUsing FDDI diagnostic routines A number of diagnostic routines were installed when you installed the FDDI device driver software. To run these routines, use either SMIT or smitty to open the AIX diagnostics utility. Complete information on AIX diagnostics and on the AIX diagnostics utility is available through InfoExplorer. Chapter 5 of Using AIX, AppleTalk Services, and Mac OS Utilities on the Apple Network Server tells you how to access and use InfoExplorer. Obtaining service and support See the service and support information packaged with your Network Server for phone numbers and other information that can help you solve problems that may come up with your Apple PCI Dual-Attached FDDI Card. Obtaining service and support A29Apple PCI Dual-Attached FDDI Card Specifications Host Bus Interface PCI Revision 2.0 Network Interface ANSI X3T9.5 for FDDI @ 100 Mbps Host Data Transfer 32-bit bus master DMA transfers to 132 Mbps IEEE Compliance IEEE P1386 adapter card specification Mechanical 5511 occupies a full-size, short card PCI slot Operating Power +5 volts DC +/-5% @ 2.10 Amps (maximum) Software Drivers AIX version 4.1.4.1 Operating Environment Temperature: 0° to 55° C (32° to 131° F) Relative Humidity: 10–90%, non-condensing Altitude: sea level to 15,000 feet Storage: -20° to 70° C (-4° to 158° F) Network Connections Dual Mode Fiber (62.5/125): ST or SC Duplex Appendix SpecificationsInstallation et configuration de la carte PCI FDDI Apple FrançaisPréface / B5 1 Installation de la carte et connexion au réseau / B7 Ouverture du module logique du Network Server / B8 Déballage de la carte / B11 Installation de la carte / B12 Branchement des câbles et connexion au réseau / B16 2 Installation et configuration du gestionnaire de périphérique / B19 Installation des ressources / B19 Installation du gestionnaire de périphérique FDDI AIX / B22 Configuration de l’interface réseau FDDI / B24 3 Dépannage et diagnostics / B27 Dépannage / B28 Utilisation des programmes de diagnostic FDDI / B29 Dépannage et assistance / B29 Annexe Spécifications techniques / B31 Table des matièresLa carte PCI FDDI Apple se présente sous la forme d’une carte FDDI (Fiber Distributed Data Interface) à connecteur unique, d’un débit de 100 mégabits par seconde (Mbps). Elle s’utilise avec le Network Server d’Apple. La carte fournit des services physiques et de liaison de données en utilisant le protocole TCP/IP, comme mentionné dans les spécifications ANSI X3T9.5 pour le FDDI. IMPORTANT Avant de pouvoir utiliser la carte FDDI, vous devez d’abord installer la version 4.1.4.1 d’AIX. Reportez-vous aux instructions de mise à jour d’AIX pour le Network Server. La carte PCI FDDI Apple possède les caractéristiques suivantes : m compatibilité avec Bus Local PCI, version 2.1 m FDDI Station Management (SMT) intégré à la carte m DMA (Accès direct à la mémoire) PCI à état d’attente nul 32 bits m taux de transmission de données en rafales jusqu’à 132 Mbps sur le bus PCI m commandes PCI pour une utilisation efficace de la mémoire cache m support pour dispositifs à fibre optique m support pour un double branchement direct au réseau m 128 Ko de cache locale m jeu de composants Motorola MC68840 FDDI Ces fonctionnalités sont toutes disponibles dès que la carte est installée dans le Network Server. Aucune configuration particulière n’est nécessaire. PréfaceÀ propos de ce manuel Ce manuel est destiné aux administrateurs du Network Server. Il suppose une bonne maîtrise matérielle de ce produit, que vous pouvez obtenir grâce au manuel Mise en œuvre du Network Server (fourni dans son kit d’accessoires). Vous devez également avoir une bonne connaissance du système d’exploitation AIX. Le manuel intitulé Utilisation d’AIX®, des services AppleTalk, et des utilitaires Mac OS du Network Server, également fourni dans votre kit d’accessoires, propose une introduction aux principes de base. Une documentation détaillée sur AIX est disponible en ligne via l’application InfoExplorer. Vous trouverez comment accéder à InfoExplorer et l’utiliser au chapitre 5 du manuel Utilisation d’AIX, des services AppleTalk, et des utilitaires Mac OS du Network Server. Informations complémentaires De nombreux ouvrages concernant FDDI et les réseaux FDDI à jeton sont disponibles dans la plupart des librairies spécialisées. Le Consortium FDDI de l’université du New Hampshire est également une excellente source d’information et d’apprentissage concernant FDDI. Vous pouvez accéder au Consortium par Internet à l’adresse suivante : http://www.iol.unh.edu/consortiums/fddi/fddi_consortium.html B6 PréfaceCe chapitre donne toutes les instructions nécessaires à l’installation de la carte PCI FDDI Apple dans le Network Server. Avant de procéder à cette installation, prenez connaissance de la section traitant de l’installation des cartes PCI du manuel Mise en œuvre du Network Server. Suivez attentivement toutes les recommandations concernant la manipulation et l’installation de la carte pour ne pas endommager celle-ci, ni l’ordinateur. 1 Installation de la carte et connexion au réseauOuverture du module logique du Network Server Il n’est pas nécessaire d’ôter le capot du Network Server pour installer une carte. Il suffit d’ouvrir le module logique en suivant les instructions ci-après. 1 Éteignez le Network Server. Si vous avez besoin d’un complément d’informations pour éteindre le Network Server sans risque, référez-vous à la section Utilisation d’AIX, des services AppleTalk et des utilitaires Mac OS du Network Server. 2 Mettez un bracelet de mise à la terre. Un bracelet de mise à la terre est fortement recommandé pour éviter tout endommagement de la carte ou de l’ordinateur dû à une décharge d’électricité statique. 3 Déverrouillez le tiroir arrière en plaçant la clé en position verticale. B8 Chapitre 1 / Installation de la carte et connexion au réseau4 Dévissez entièrement les vis à molette. Ouverture du module logique du Network Server B95 Tirez le module logique par ses poignées pour le faire coulisser vers l’extérieur. 6 Retirez le couvercle correspondant au connecteur d’extension que vous souhaitez utiliser. Conservez la vis. Elle servira plus tard pour maintenir la carte en place. Placez le couvercle en lieu sûr au cas où vous retireriez cette carte ultérieurement. B10 Chapitre 1 / Installation de la carte et connexion au réseauDéballage de la carte La boîte contenant la carte PCI FDDI Apple comprend un CD-ROM d’installation, la carte elle-même et ce manuel. 1 Dégagez la carte de tous ses éléments de protection. Conservez-les soigneusement car ils seront utiles si vous devez retourner la carte pour une réparation. 2 Retirez précautionneusement la carte de son étui antistatique. Vérifiez que la carte n’a pas été endommagée durant son transport. Si vous constatez un défaut, contactez votre distributeur Apple Network Server. Déballage de la carte B11Installation de la carte Les ports câble de la carte PCI FDDI Apple sont un peu trop grands pour le Network Server. Vous devez donc modifier légèrement la procédure utilisée pour installer d’autres cartes. Servez-vous des illustrations suivantes pour installer la carte FDDI : B12 Chapitre 1 / Installation de la carte et connexion au réseauInstallation de la carte B13B14 Chapitre 1 / Installation de la carte et connexion au réseauUne fois la carte installée, replacez le module logique dans son compartiment, serrez les vis à molette, placez la clé en position horizontale pour verrouiller le tiroir arrière et reconnectez tous les câbles. N’allumez pas l’ordinateur avant d’avoir connecté la carte au réseau. Installation de la carte B15Branchement des câbles et connexion au réseau La carte PCI FDDI Apple s’utilise avec un câble en fibres SC Duplex pour un branchement simple ou deux câbles pour un branchement double. Chaque câble possède deux connecteurs, comme illustré ci-dessous. Ces câbles, disponibles en différentes longueurs, ne sont pas fournis avec la carte, mais vous pouvez facilement vous les procurer chez la plupart des revendeurs informatiques. Connectez chaque câble au Port A ou au Port B sur la carte FDDI, en suivant les instructions données par le fabricant du câble (si elles vous ont été fournies). Si l’on regarde l’ordinateur de l’arrière (vers le module logique), le port A se trouve à gauche comme illustré ci-après. B16 Chapitre 1 / Installation de la carte et connexion au réseauIMPORTANT Ne connectez pas le Network Server au nœud suivant sur le réseau sans en informer votre administrateur réseau. Le point de connexion, les modalités de connexion et les conséquences de l’ajout d’un nœud dépendent de votre réseau. Branchement des câbles et connexion au réseau B17Lorsque vous installez une carte FDDI, vous devez installer les ressources FDDI ainsi que le gestionnaire de périphérique FDDI. Vous devez également configurer le gestionnaire de périphérique FDDI pour que le Network Server puisse communiquer sur le réseau FDDI. Ce chapitre vous explique comment y parvenir. IMPORTANT Pour pouvoir utiliser la carte FDDI, vous devez utiliser AIX version 4.1.4.1 d’Apple ou toute version ultérieure. Si AIX 4.1.4.l n’est pas installé sur votre Network Server, vous devez mettre à jour ce logiciel avant d’installer le logiciel FDDI. Consultez les instructions de mise à jour d’AIX en version 4.1.4.1 livrées avec votre carte FDDI. Installation des ressources FDDI Une fois AIX version 4.1.4.1 (ou ultérieure) installé sur votre Network Server, vous devez installer les ressources FDDI avant d’installer le gestionnaire de périphérique FDDI. La procédure est différente selon que vous disposez du CD d’installation complète ou du CD de mise à jour. Reportez-vous à la section correspondant au CD dont vous disposez. 2 Installation et configuration du gestionnaire de périphériqueSi vous disposez du CD d’installation d’AIX version 4.1.4.1 (ou ultérieure) Suivez les instructions ci-dessous : 1 Entrez lslpp -l devices.mca.8ef4.com Le plus souvent, un message indiquant que le logiciel n’est pas installé apparaît. Passez à l’étape 2. Si un message indiquant que ce logiciel est installé apparaît, passez directement à la section suivante “Installation du gestionnaire de périphérique FDDI AIX.” 2 Insérez le CD d’installation d’AIX dans le lecteur. 3 À l’invite d’AIX, entrez la commande suivante, puis appuyez sur la touche Retour : smitty devinst La fenêtre permettant d’installer des ressources supplémentaires apparaît. 4 Appuyez sur la touche F4 (ou ESC-4). Un menu déroulant indiquant les différents lecteurs pouvant être utilisés pour installer de nouvelles ressources apparaît. 5 Sélectionnez le lecteur approprié (dans ce cas, le lecteur de CD-ROM) et appuyez sur Retour. Un menu apparaît. 6 Sélectionnez “Software to install” dans le menu puis entrez : devices.mca.8ef4.com 7 Appuyez sur Retour. Une zone de dialogue demandant de confirmer l’installation apparaît. Appuyez sur Retour pour lancer l’installation ou sur F3 (ou ESC 3) pour l’annuler. Lorsque l’installation est terminée, passez à la section suivante, “Installation du gestionnaire de périphérique FDDI AIX.” B20 Chapitre 2 / Installation et configuration du gestionnaire de périphériqueSi vous disposez du CD de mise à jour Suivez les instructions ci-dessous : 1 Entrez lslpp -l devices.mca.8ef4.com Le plus souvent, un message indiquant que le logiciel n’est pas installé apparaît. Passez à l’étape 2. Si un message indiquant que ce logiciel est installé apparaît, passez directement à la section suivante “Installation du gestionnaire de périphérique FDDI AIX”. 2 Insérez le CD de mise à jour du Network Server dans le lecteur. 3 Pour monter le CD, entrez la commande suivante, puis appuyez sur la touche Retour : mount -r -v cdrfs /dev/cd0 /mnt 4 À l’invite d’AIX, entrez la commande suivante, puis appuyez sur la touche Retour : smitty devinst Un menu déroulant indiquant les différents lecteurs pouvant être utilisés pour installer de nouvelles ressources apparaît. 5 Dans la zone “INPUT device/directory for software”, entrez : /mnt/new 6 Dans la zone “SOFTWARE to install”, entrez : devices.mca.8ef4.com 7 Appuyez sur Retour. Une zone de dialogue demandant de confirmer l’installation apparaît. Appuyez sur Retour pour lancer l’installation ou sur F3 (ou ESC 3) pour l’annuler. 8 Pour éjecter le CD, entrez : umount /mnt Lorsque l’installation est terminée, passez à la section suivante, “Installation du gestionnaire de périphérique FDDI AIX”. Installation des ressources FDDI B21Installation du gestionnaire de périphérique FDDI AIX Le gestionnaire de périphérique se trouve sur la disquette d’installation. Pour l’installer, vous pouvez utiliser soit la version X-windows du System Management Interface Tool (SMIT) ou la version de ligne de commande (SMITTY). L’exemple suivant utilise SMITTY, mais les étapes sont les mêmes. Remarque : pour réaliser l’installation, vous devez être connecté en tant que root. 1 Insérez la disquette d’installation. 2 À l’invite d’AIX, entrez la commande suivante et appuyez sur la touche Retour : smitty devinst Le menu suivant s’affiche : 3 Entrez la commande suivante dans le champ INPUT : /dev/fd0 B22 Chapitre 2 / Installation et configuration du gestionnaire de périphérique4 Appuyez sur Retour pour afficher les options de configuration présentées dans l’écran ci-dessous : 5 Entrez devices.pci.7e100300 dans le champ SOFTWARE to install. Si un gestionnaire FDDI a déjà été installé et si vous souhaitez continuer l’installation en cours, il vous suffit d’entrer Yes dans le champ overwrite. Une zone de dialogue s’affiche vous invitant à confirmer votre sélection. 6 Appuyez une nouvelle fois sur Retour pour commencer l’installation. Une succession de messages à l’écran décrivent le processus d’installation. L’installation est terminée lorsque le message suivant apparaît : Installation Summary -------- Name Level Part Event Result devices.pci.7e100300.rte 2.1.0.0 USR APPLY SUCCESS devices.pci.7e100300.diag 2.1.0.0 USR APPLY SUCCESS 7 Appuyez sur f10 pour quitter SMITTY et redémarrez le Network Server. Installation du gestionnaire des périphérique FDDI AIX B23Configuration de l’interface réseau FDDI Les informations suivantes sont nécessaires pour configurer l’interface réseau pour la carte FDDI : m un nom et une adresse IP pour chaque carte FDDI installée sur le Network Server m le masque du réseau m le nom du serveur de noms de domaines approprié et l’adresse IP m l’addresse IP du routeur ou de la passerelle utilisés par le Network Server pour accéder au réseau. Si vous ne connaissez pas ces informations, contactez votre administrateur système. Lorsque vous installez le gestionnaire de périphérique, vous pouvez configurer la carte soit avec SMIT soit avec SMITTY. Les instructions suivantes supposent que vous utilisez SMITTY. 1 À l’invite d’AIX, entrez la commande suivante et appuyez sur Retour : smitty tcpip L’écran de configuration TCP/IP apparaît : B24 Chapitre 2 / Installation et configuration du gestionnaire de périphérique2 Sélectionnez Minimum Configuration & Startup, puis appuyez sur Retour. L’écran Available Network Interfaces s’affiche : 3 Appuyez sur f10 puis sur Retour. L’écran Minimum Configuration & Startup s’affiche : 4 Remplissez ou modifiez les champs de l’écran Minimum Configuration & Startup. Entrez le nom et l’adresse IP donnés à la carte FDDI, le masque du réseau, le nom et l’adresse IP du serveur de noms de domaines approprié, et l’adresse IP du routeur ou de la passerelle utilisés par le Network Server pour accéder au réseau. Si vous connectez plusieurs cartes FDDI au serveur, chacune doit avoir sa propre adresse IP. 5 Appuyez sur Retour. 6 Appuyez sur f10 pour quitter SMITTY, puis redémarrez le Network Server. Configuration de l’interface réseau FDDI B25Ce chapitre donne quelques solutions aux problèmes courants qui risquent de survenir lorsque vous utilisez le Network Server avec une carte PCI FDDI Apple. Essayez les suggestions dans l’ordre dans lequel elles sont présentées jusqu’à ce que votre problème soit résolu. Ce chapitre vous donne également des renseignements sur l’utilisation des programmes de diagnostic FDDI. Il contient aussi les informations nécessaires pour obtenir une aide ou une assistance si vous ne parvenez pas à résoudre votre problème. 3 Dépannage et diagnosticsDépannage AIX ne démarre pas. 1. Vérifiez que l’ordinateur est branché et allumé. 2. Vérifiez que la carte que vous venez d’installer est correctement positionnée dans le connecteur. 3. Essayez d’installer la carte dans un connecteur PCI différent. 4. Retirez la carte et vérifiez si le système démarre et fonctionne normalement. 5. Essayez d’installer une autre carte, dont vous êtes sûr du bon état de marche. Si le problème n’est pas résolu, reportez-vous au paragraphe “Dépannage et assistance,” plus loin dans ce chapitre. Une application du réseau ne fonctionne plus. Si une application fonctionnait avant l’installation de la carte, il y a probablement une incompatibilité matérielle. Reportez-vous au paragraphe “Dépannage et assistance,” plus loin dans ce chapitre. La carte du Network Server ne peut pas se connecter au réseau ni communiquer avec d’autres ordinateurs hôtes sur le réseau. 1. Vérifiez que la carte est correctement positionnée dans le connecteur d’extension de bus. 2. Vérifiez que les deux câbles sont bien connectés et que les ports A et B sont connectés aux bons ports sur leurs nœuds adjacents. 3. Utilisez un utilitaire tel que PING pour tester les capacités de communication du Network Server sur le réseau. 4. Installez la carte dans un autre connecteur PCI et essayez à nouveau. 5. Essayez d’installer une autre carte, dont vous êtes sûr du bon état de marche. Si le problème n’est pas résolu, reportez-vous au paragraphe “Dépannage et assistance,” plus loin dans ce chapitre. B28 Chapitre 3 / Dépannage et diagnosticsUtilisation des programmes de diagnostic FDDI Un certain nombre de programmes de diagnostic ont été installés au moment de l’installation du gestionnaire de périphérique FDDI. Pour exécuter ces programmes, utilisez SMIT ou SMITTY pour lancer l’utilitaire de diagnostic d’AIX. Des informations détaillées sur les diagnostics d’AIX et l’utilitaire de diagnostics d’AIX sont disponibles via InfoExplorer. Le chapitre 5 du manuel Utilisation d’AIX, des services AppleTalk et des utilitaires MAC OS du Network Server contient des renseignements sur les procédures d’accès et d’utilisation d’InfoExplorer. Dépannage et assistance Vous trouverez les numéros de téléphone et d’autres informations utiles à la résolution de problèmes liés à votre carte PCI FDDI Apple dans la documentation livrée avec votre Network Server. Dépannage et assistance B29Spécifications techniques de la carte PCI FDDI Apple Interface du bus hôte PCI Révision 2.0 Interface du réseau ANSI X3T9.5 pour FDDI à 100 Mbps Transfert de données hôte Transfert DMA bus maître 32 bits à 132 Mbps Conformité IEEE Spécification carte adaptateur IEEE P1386 Physique 5511 occupe un connecteur carte PCI court complet Consommation +5 volts DC +/-5% @ 2,10 Amps (maximum) Gestionnaire AIX version 4.1.4.1 Environnement Température d’utilisation : de 0° à 55° C Humidité relative : de 10 à 90%, sans condensation Altitude : du niveau de la mer à 4500 mètres Température de stockage : de -20° à 70° C Connexions réseaux Fibre Dual Mode (62,5/125) : ST ou SC Duplex Annexe Spécifications techniquesInstallieren und Konfigurieren der Apple PCI Dual-Attached FDDI Karte DeutschVorwort C5 1 Installieren der Karte und Anschuß an das Netzwerk C7 Öffnen des Komponenteneinschubs des Apple Network Server C8 Auspacken der Karte C11 Installieren der Karte C12 Herstellen der Netzwerkverbindung C16 2 Installieren und Konfigurieren der Treibersoftware C19 Installieren der FDDI Standard-Software C19 Installieren des FDDI AIX Gerätetreibers C22 Konfigurieren der FDDI Netzwerkschnittstelle C24 3 Fehlerbeseitigung und Diagnosetechniken C27 Fehlerbeseitigung C28 Verwenden der FDDI Diagnoseroutinen C29 Hinweise zur technischen Unterstützung C29 Anhang Technische Daten C31 InhaltDie Apple PCI (Peripheral Connect Interface) Dual-Attached FDDI Karte arbeitet mit dem FDDI Protokoll (Fiber Distributed Data Interface) der „Single-Slot“-Methode. Sie belegt einen Steckplatz, arbeitet mit 100 Megabit pro Sekunde (Mbps) und ist für den Einbau im Apple Network Server konzipiert. Die Karte und der zugehörige Treiber bieten Dienste der Schicht 0 und 1 des ISO/OSI Schichtenmodells. Sie werden unter dem TCP/IP Protokoll gemäß den ANSI X3T9.5 Spezifikationen für FDDI arbeiten. WICHTIG Sie müssen AIX 4.1.4.1 installieren, damit Sie die FDDI Karte verwenden können. Bitte beachten Sie die Hinweise, die mit der Aktualisierung von AIX für den Apple Network Server auf Version 4.1.4.1 geliefert werden. Die Apple PCI Dual-Attached FDDI Karte zeichnet sich durch folgende Funktionen aus: m Kompatibilität mit dem PCI Local Bus, Version 2.1 m Auf der Karte integriertes FDDI Station Management (SMT) m 32-Bit-PCI-DMA- (Direct Memory Access) Master ohne Wartezyklen m Bis zu 132 Mbps Burst-DMA-Rate m PCI-Befehle für die effiziente Verwendung von Cache-Speicher m Unterstützung für optische Glasfasermedien m Unterstützung der Dual-Attachment-Technologie für den direkten Anschluß an Ringnetzwerke m 128 KB lokaler Pufferspeicher m Motorola MC68840 FDDI Bausteine Alle genannten Funktionen sind verfügbar, sobald die Karte im Apple Network Server installiert ist. Weitere Schritte zur Konfiguration sind nicht erforderlich. VorwortÜber dieses Handbuch Dieses Handbuch richtet sich an Apple Network Server Administratoren. Es wird vorausgesetzt, daß Sie mit der Hardware des Apple Network Server vertraut sind. (Die entsprechenden Informationen finden Sie im Handbuch Installation des Apple Network Server, das sich in der Zubehörbox Ihres Apple Network Server befindet.) Ferner sollten Sie die wichtigsten Funktionen des AIX Betriebssystems kennen und verwenden können. Das Handbuch Verwenden von AIX®, AppleTalk Diensten und Mac OS Dienstprogrammen auf dem Apple Network Server, das ebenfalls mit Ihrem Server geliefert wird, enthält eine Einführung und grundlegende Informationen hierzu. Die vollständige AIX Dokumentation ist über das Programm „InfoExplorer“ verfügbar. In Kapitel 5 des Handbuchs Verwenden von AIX, AppleTalk Diensten und Mac OS Dienstprogrammen auf dem Apple Network Server finden Sie Anleitungen zum Verwenden von InfoExplorer. Weitere Informationen Über FDDI und FDDI Token-Passing-Verfahren sind zahlreiche Handbücher im Fachhandel erhältlich. Darüber hinaus bietet das FDDI Consortium der Universität von New Hampshire hervorragende Informations- und Trainingsmöglichkeiten an. Sie finden diese Informationen im Internet an der folgenden Adresse: http://www.iol.unh.edu/consortiums/fddi/fddi_consortium.html C6 VorwortDieses Kapitel enthält ausführliche Anleitungen für die Installation der Apple PCI Dual-Attached FDDI Karte in den Apple Network Server. Bitte lesen Sie die Hinweise zum Einbau von PCI-Karten im Handbuch Installation des Apple Network Server, bevor Sie mit den folgenden Anleitungen fortfahren. Beachten Sie alle Empfehlungen und Anweisungen zur Handhabung und Installation der Karte gewissenhaft, damit Karte und Computer während der Installation nicht beschädigt werden. 1 Installieren der Karte und Anschluß an das NetzwerkÖffnen des Komponenteneinschubs des Apple Network Server Für die Installation der Karte öffnen Sie einfach den Komponenteneinschub, indem Sie die hier beschriebenen Schritte ausführen: 1 Schalten Sie den Apple Network Server aus und trennen Sie die Verbindung zum Stromnetz sowie alle anderen Kabelverbindungen. Beachten Sie die Hinweise im Handbuch Verwenden von AIX, AppleTalk Diensten und Mac OS Dienstprogrammen auf dem Apple Network Server, wenn Sie ausführliche Anweisungen zum korrekten Ausschalten des Apple Network Server benötigen. 2 Legen Sie ein Erdungsarmband an. Das Verwenden eines Erdungsarmbands wird empfohlen, um eine Beschädigung der Karte oder des Computers durch elektrostatische Entladungen zu vermeiden. 3 Drehen Sie den Schlüssel an der Rückseite des Servers in die senkrechte Position (aufgeschlossen). C8 Kapitel 1: Installieren der Karte und Anschluß an das Netzwerk4 Lösen Sie die Sicherungsschrauben an der Rückwand des Komponenteneinschubs. Öffnen des Komponenteneinschubs des Apple Network Server C95 Ziehen Sie den Komponenteneinschub mit Hilfe der Griffe vollständig aus dem Computergehäuse heraus. 6 Entfernen Sie die Abdeckung des Erweiterungssteckplatzes, den Sie verwenden wollen. Legen Sie die Schraube beiseite. Sie benötigen sie später, um die Karte festzuschrauben. Bewahren Sie die Abdeckung sorgfältig auf, damit sie zur Hand ist, falls Sie die Karte zu einem späteren Zeitpunkt wieder ausbauen wollen. C10 Kapitel 1: Installieren der Karte und Anschluß an das NetzwerkAuspacken der Karte Mit Ihrer Apple PCI Dual-Attached FDDI Karte werden eine Diskette und das vorliegende Handbuch geliefert. 1 Entfernen Sie das Verpackungsmaterial der Karte. Bewahren Sie das Verpackungsmaterial und den Karton auf, damit beides zur Hand ist, falls Sie die Karte einmal ausbauen und aufbewahren oder zum Kundendienst einschicken müssen. 2 Nehmen Sie die Karte vorsichtig aus der antistatischen Hülle. Prüfen Sie, ob an der Karte während des Transports sichtbare Schäden entstanden sind. Sollte dies der Fall sein, wenden Sie sich bitte unverzüglich an Ihren autorisierten Apple Händler. Auspacken der Karte C11Installieren der Karte Die Kabelanschlüsse der Apple PCI Dual-Attached FDDI Karte sind etwas größer als die anderer PCI-Karten. Für die Installation der Karte im Apple Network Server müssen Sie daher etwas anders vorgehen als im Handbuch Installation des Apple Network Server beschrieben. Bitte installieren Sie die FDDI Karte mit Hilfe der folgenden Anleitungen: C12 Kapitel 1: Installieren der Karte und Anschluß an das Netzwerk 1. Stützen Sie den Komponenteneinschub mit einer Hand. Achten Sie darauf, daß Sie die Kartenführung beim Einsetzen der Karte nicht versehentlich durch die Öffnung des Steckplatzes schieben. 2. Setzen Sie zuerst den kleineren Teil der Steckleiste ein und drehen Sie die Karte dann leicht, um die Anschlüsse durch die Öffnung zu schieben und die Kartenführung korrekt einzusetzen.Installieren der Karte C13 3. Setzen Sie die Karte ein, indem Sie wie hier gezeigt auf die Kartenführung und den oberen Kartenrand drücken.C14 Kapitel 1: Installieren der Karte und Anschluß an das Netzwerk 4. Drücken Sie nochmals kräftig auf den Kartenrand, damit die Karte fest in die Steckleiste sitzt und die Steckverbindung korrekt hergestellt ist.Nachdem Sie die Karte installiert haben, schieben Sie den Komponenteneinschub in den Computer zurück und drehen Sie die Sicherungsschrauben wieder fest. Drehen Sie den Schlüssel dann in die horizontale Position (abgeschlossen) und schließen Sie alle zuvor herausgezogenen Kabel erneut an. Schalten Sie den Computer bitte noch nicht wieder ein; warten Sie damit, bis Sie die Karte mit dem Netzwerk verbunden haben. Installieren der Karte C15 5. Sichern Sie die Karte im Steckplatz, indem Sie die zuvor herausgedrehte Schraube wieder einsetzen und festdrehen.Herstellen der Netzwerkverbindung Für einen einfachen Anschluß der Apple PCI Dual-Attached FDDI Karte benötigen Sie ein SC Duplex Glasfaserkabel. Für einen doppelten Anschluß benötigen Sie entsprechend zwei Kabel. Beachten Sie bitte, daß jedes Kabel zwei Anschlußstecker besitzt (vgl. Abbildung). Diese Kabel werden nicht mit der Karte geliefert, können jedoch in vielen verschiedenen Längen im Computerfachhandel erworben werden. Schließen Sie jedes Kabel an Anschluß A oder Anschluß B der FDDI Karte an. Beachten Sie dabei bitte die Hinweise des Kabelherstellers (falls vorhanden). C16 Kapitel 1: Installieren der Karte und Anschluß an das NetzwerkWenn Sie die Rückseite des Computers vor sich haben, befindet sich Anschluß A an der linken Seite. Bitte sehen Sie sich die folgende Abbildung an, um die Kabel richtig anzuschließen. WICHTIG Schließen Sie den Apple Network Server nicht an den nächsten Netzwerkknoten an, ohne zuvor Rücksprache mit Ihrem Netzwerkadministrator gehalten zu haben. An welcher Stelle im Netzwerk und auf welche Weise Ihr Server in das Netzwerk integriert werden muß und welchen Einfluß die Installation eines neuen Knotens auf das übrige Netzwerk hat, hängt von Ihrem Netzwerk ab. Herstellen der Netzwerkverbindung C17 Richten Sie diese Führungen mit den Führungen des Kabelanschlusses aus.Damit Sie mit dem FDDI Netzwerk kommunizieren können, müssen Sie die FDDI Treibersoftware installieren und konfigurieren. In diesem Kapitel erfahren Sie, wie Sie hierbei vorgehen müssen. WICHTIG Sie benötigen AIX in der Version 4.1.4.1 oder einer neueren Version, um die FDDI-Karte verwenden zu können. Wenn Ihr Apple Network Server nicht mit AIX 4.1.4.l arbeitet, müssen Sie Ihre Software aktualisieren, bevor Sie die FDDI Software installieren. Bitte beachten Sie die mit Ihrer FDDI Karte gelieferten Anweisungen, um AIX korrekt auf Version 4.1.4.1 zu aktualisieren. Installieren der FDDI Standard-Software Nachdem Sie AIX in der Version 4.1.4.1 (oder einer neueren Version) auf Ihrem Apple Network Server installiert haben, müssen Sie ein FDDI Standardsoftwarepaket installieren, bevor Sie den FDDI Gerätetreiber installieren. Wie Sie hierbei vorgehen müssen, hängt davon ab, ob Sie die CD-ROM Installation CD oder die CD-ROM Software Update vorliegen haben. 2 Installieren und Konfigurieren der TreibersoftwareCD-ROM AIX Installation CD Version 4.1.4.1 (oder neuer) Bitte gehen Sie wie folgt vor, wenn Sie die Software mit der CD-ROM AIX Installation CD installieren wollen: 1 Geben Sie folgenden Befehl ein: lslpp -l devices.mca.8ef4.com In den meisten Fällen wird die Nachricht angezeigt, daß die Software noch nicht installiert ist. Fahren Sie mit Schritt 2 fort. Wird die Nachricht angezeigt, daß die Software bereits vorhanden ist, fahren Sie mit dem Abschnitt „Installieren des FDDI AIX Gerätetreibers“ fort. 2 Legen Sie die CD-ROM AIX Installation CD in das CD-ROM-Laufwerk ein. 3 Geben Sie an der AIX Eingabeaufforderung den folgenden Befehl ein und drücken Sie den Zeilenschalter: smitty devinst Das Menü für die Installation weiterer Treibersoftware wird angezeigt. 4 Drücken Sie die Taste „F4“. Ein Einblendmenü wird angezeigt, in dem die Gerätetreiber von den Geräten aufgelistet werden, von denen Sie installieren können. 5 Wählen Sie das passenden CD-Gerät aus der Liste aus und drücken Sie den Zeilenschalter. Ein erweitertes Menü wird angezeigt. 6 Wählen Sie die Option „Software to install“ aus und geben Sie folgenden Befehl ein: devices.mca.8ef4.com 7 Drücken Sie den Zeilenschalter. In einem Dialogfenster werden Sie aufgefordert, Ihre Auswahl zu bestätigen. Drücken Sie den Zeilenschalter, um die Installation zu starten, oder drücken Sie die Taste „F3“, um den Vorgang abzubrechen. Fahren Sie mit dem Abschnitt „Installieren des FDDI AIX Gerätetreibers“ fort, wenn die Installation beendet ist. C20 Kapitel 2: Installieren und Konfigurieren der TreibersoftwareCD-ROM Software Update CD Bitte gehen Sie wie folgt vor, wenn Sie die Software mit der CD-ROM Software Update CD installieren wollen: 1 Geben Sie folgenden Befehl ein: lslpp -l devices.mca.8ef4.com In den meisten Fällen wird die Nachricht angezeigt, daß die Software noch nicht installiert ist. Fahren Sie mit Schritt 2 fort. Wird die Nachricht angezeigt, daß die Software bereits vorhanden ist, fahren Sie mit dem Abschnitt „Installieren des FDDI AIX Gerätetreibers“ fort. 2 Legen Sie die CD-ROM Network Server Software Update Kit in das CD-ROM-Laufwerk ein. 3 Geben Sie den folgenden Befehl ein und drücken Sie den Zeilenschalter, um die CD zu aktivieren: mount -r -v cdrfs /dev/cd0 /mnt 4 Geben Sie an der AIX Eingabeaufforderung den folgenden Befehl ein und drücken Sie den Zeilenschalter: smitty devinst Das Menü für die Installation weiterer Treibersoftware wird angezeigt. 5 Wählen Sie die Option „INPUT device/directory for software“ aus und geben Sie folgenden Befehl ein: /mnt/new 6 Wählen Sie die Option „SOFTWARE to install“ aus und geben Sie folgenden Befehl ein: devices.mca.8ef4.com 7 Drücken Sie den Zeilenschalter. A dialog box appears asking you to confirm the installation. Press Return to begin the installation or press F3 (or ESC 3) to cancel the installation. 8 Geben Sie folgenden Befehl ein, um die CD zu deaktivieren: umount /mnt Fahren Sie mit dem Abschnitt „Installieren des FDDI AIX Gerätetreibers“ fort, wenn die Installation beendet ist. Installieren der FDDI Standard-Software C21Installieren des FDDI AIX Gerätetreibers Die Gerätetreibersoftware befindet sich auf der Installationsdiskette. Mit Hilfe der folgenden Anleitungen können Sie die Treibersoftware entweder mit der X-Window Version des Dienstprogramms „System Management Interface Tool“ (SMIT) oder mit der Befehlszeilenversion des Programms (SMITTY) installieren. In den hier gezeigten Beispielen wird die Programmversion SMITTY verwendet. Die erforderlichen Schritte sind für beide Versionen gleich. Hinweis: Damit Sie die Installation ausführen können, müssen Sie sich mit der Berechtigung „root“ angemeldet haben. 1 Legen Sie die Installationsdiskette ein. 2 Geben Sie an der AIX Eingabeaufforderung den folgenden Befehl ein und drücken Sie anschließend den Zeilenschalter: smitty devinst Das folgende Menü wird angezeigt: 3 Geben Sie im Feld „INPUT device“ folgenden Befehl ein: /dev/fd0 C22 Kapitel 2: Installieren und Konfigurieren der Treibersoftware4 Drücken Sie den Zeilenschalter, um die im folgenden Bildschirm dargestellten Konfigurationsoptionen anzuzeigen: 5 Geben Sie devices.pci.7e100300 in das Feld „SOFTWARE to install“ ein. Falls bereits ein FDDI Treiber installiert ist und Sie mit dieser Installation fortfahren wollen, müssen Sie Yes in das Feld „OVERWRITE same or newer versions“ eingeben. In einem Dialogfenster werden Sie aufgefordert, Ihre Auswahl zu bestätigen. 6 Drücken Sie den Zeilenschalter erneut, um die Installation zu starten. Verschiedene auf dem Bildschirm angezeigte Nachrichten beschreiben den Installationsvorgang. Die Installation ist beendet, wenn Sie die folgende Nachricht sehen: Installation Summary -------- Name Level Part Event Result devices.pci.7e100300.rte 2.1.0.0 USR APPLY SUCCESS devices.pci.7e100300.diag 2.1.0.0 USR APPLY SUCCESS 7 Drücken Sie die Taste „F10“, um das Programm SMITTY zu beenden, und starten Sie den Apple Network Server anschließend neu. Installieren des FDDI Gerätetreibers C23Konfigurieren der FDDI Netzwerkschnittstelle Sie benötigen die folgenden Informationen, um die FDDI Karte für die Netzwerkschnittstelle zu konfigurieren: m einen Namen und eine IP-Adresse für jede im Apple Network Server installierte FDDI Karte m die Netzwerkmaske m den geeigneten Domain Name Server Namen sowie dessen IP-Adresse m die IP-Adresse des Routers oder Gateways, die der Apple Network Server für den Netzwerkzugang verwendet. Bitte wenden Sie sich an Ihren Netzwerkadministrator, wenn Sie diese Informationen noch nicht verfügbar haben. Ebenso wie bei der Installation des Gerätetreibers können Sie die Karte entweder mit dem Programm SMIT oder mit SMITTY konfigurieren. Für die folgenden Anleitungen wird das Programm SMITTY verwendet. 1 Geben Sie an der AIX Eingabeaufforderung den folgenden Befehl ein und drücken Sie anschließend den Zeilenschalter: smitty tcpip Der TCP/IP Konfigurationsbildschirm wird angezeigt: C24 Kapitel 2: Installieren und Konfigurieren der Treibersoftware2 Aktivieren Sie die Option „Minimum Configuration & Startup“ und drücken Sie den Zeilenschalter. Der Bildschirm „Available Network Interfaces“ wird angezeigt. 3 Wählen Sie „fi0“ aus und drücken Sie dann den Zeilenschalter. Der Bildschirm „Minimum Configuration & Startup“ wird angezeigt. 4 Tragen Sie die erforderlichen Werte in die Felder des Bildschirms „Minimum Configuration & Startup“ ein bzw. ändern Sie sie wunschgemäß. Geben Sie den Namen und die IP-Adresse, die der FDDI Karte zugewiesen wurden, die Netzwerkmaske, die IP-Adresse und den Namen des geeigneten Domain Name Servers und die IP-Adresse des Routers oder Gateways, die der Apple Network Server für den Netzwerkzugang verwendet, ein. Wenn Sie mehrere FDDI Karten in Ihren Server einbauen, benötigen Sie für jede FDDI Karte eine einmalige, individuelle IP-Adresse und müssen die hier beschriebenen Schritte ausführen. 5 Drücken Sie den Zeilenschalter. 6 Drücken Sie die Taste „F10“, um das Programm SMITTY zu beenden, und starten Sie den Apple Network Server anschließend neu. Konfigurieren der FDDI Netzwerkschnittstelle C25In diesem Kapitel finden Sie Lösungsvorschläge für einige Probleme, die auftreten können, wenn Sie den Apple Network Server mit einer Apple PCI Dual-Attached FDDI Karte verwenden. Bitte führen Sie die Vorschläge in der hier genannten Reihenfolge aus, um den Fehler zu beheben. Sie finden in diesem Kapitel außerdem Hinweise zu den FDDI Diagnosetechniken und erfahren, wo Sie Hilfe bekommen, falls Sie ein Problem mit Ihrem Apple Network Server oder der FDDI Karte nicht selbst lösen können. 3 Fehlerbeseitigung und DiagnosetechnikenFehlerbeseitigung AIX startet nicht. 1. Stellen Sie fest, ob das System korrekt am Stromnetz angeschlossen und eingeschaltet ist. 2. Überprüfen Sie, ob die gerade installierte Karte korrekt im Steckplatz sitzt. 3. Versuchen Sie das Problem zu lösen, indem Sie die Karte in einen anderen PCI-Steckplatz einsetzen. 4. Nehmen Sie die Karte aus dem Server heraus und stellen Sie fest, ob das System anschließend normal startet und funktioniert. 5. Versuchen Sie, eine andere Karte zu installieren, von der Sie genau wissen, daß sie ordnungsgemäß funktioniert. Tritt der Fehler weiterhin auf, lesen Sie bitte die Informationen im Abschnitt „Hinweise zur technischen Unterstützung“ am Ende dieses Kapitels. Ein Netzwerkprogramm arbeitet nicht mehr. Wenn das Programm vor der Installation der Karte korrekt funktioniert hat, liegt vermutlich ein Hardwarefehler vor. Bitte lesen Sie die Hinweise im Abschnitt „Hinweise zur technischen Unterstützung“ am Ende dieses Kapitels. Die Apple Network Server Karte kann nicht mit dem Ring verbunden werden oder nicht mit anderen Host-Rechnern im Netzwerk kommunizieren. 1. Überprüfen Sie, ob die gerade installierte Karte korrekt im Steckplatz sitzt. 2. Stellen Sie sicher, daß beide Kabel ordnungsgemäß anschlossen sind und daß die Anschlüsse A und B mit den korrekten Anschlüssen der benachbarten Knoten verbunden sind. 3. Verwenden Sie ein Dienstprogramm wie PING, um festzustellen, ob der Apple Network Server im Netzwerk kommunizieren kann. 4. Installieren Sie die Karte in einem anderen PCI-Steckplatz und versuchen Sie es erneut. 5. Versuchen Sie, eine andere Karte zu installieren, von der Sie genau wissen, daß sie ordnungsgemäß funktioniert. Tritt der Fehler weiterhin auf, lesen Sie bitte die Informationen im Abschnitt „Hinweise zur technischen Unterstützung“ am Ende dieses Kapitels. C28 Kapitel 3: Fehlerbeseitigung und DiagnosetechnikenVerwenden der FDDI Diagnoseroutinen Bei der Installation der FDDI Gerätetreibersoftware wurden zahlreiche Diagnoseroutinen installiert. Um diese Routinen auszuführen, verwenden Sie entweder das Programm SMIT oder SMITTY, um das AIX Diagnoseprogramm zu öffnen. Ausführliche Informationen zu den AIX Diagnosetechniken und zum AIX Diagnoseprogramm stehen Ihnen über das Programm „InfoExplorer“ zur Verfügung. In Kapitel 5 des Handbuchs Verwenden von AIX, AppleTalk Diensten und Mac OS Dienstprogrammen auf dem Apple Network Server erfahren Sie, wie Sie auf das Programm „InfoExplorer“ zugreifen und damit arbeiten können. Hinweise zur technischen Unterstützung Bitte beachten Sie die mit Ihrem Apple Network Server gelieferten Unterlagen zum Kundendienst und zur technischen Unterstützung, wenn Sie Probleme bei der Arbeit mit Ihrer Apple PCI Dual-Attached FDDI Karte nicht selbst lösen können. Dort finden Sie Telefonnummern, unter denen Sie sofort Hilfe bekommen, sowie andere wichtige Informationen zur technischen Unterstützung. Hinweise zur technischen Unterstützung C29Spezifikationen der Apple PCI Dual-Attached FDDI Karte Host-Bus-Schnittstelle PCI Revision 2.0 Netzwerkschnittelle ANSI X3T9.5 für FDDI @ 100 Mbps Host-Datentransfer 32-Bit-Bus-Master DMA überträgt bis zu 132 Mbps IEEE-Kompatibilität IEEE P1386 Adapterkartenspezifikation Steckplatzmerkmale 5511, belegt einen vollwertigen PCI-Steckplatz für kurze Karten Leistungsaufnahme +5 V Gleichstrom +/-5% @ 2,10 A (maximal) Softwaretreiber AIX Version 4.1.4.1 Betriebsumgebung Temperatur: 0 °C bis 55 °C Relative Luftfeuchtigkeit: 10 bis 90%, nicht kondensierend Höhe über NN: 0 bis ca. 4600 m (ohne Druckausgleich) Lagerung: -20 °C bis 70 °C Netzwerkverbindungen Dual Mode Fiber (62.5/125): ST oder SC Duplex Anhang Technische Daten Installing and Configuring the Apple PCI Dual-Attached FDDI Card Installation et configuration de la carte PCI FDDI Apple Installieren und Konfigurieren der Apple PCI Dual-Attached FDDI KarteK Installing and Configuring the Apple PCI Dual-Attached FDDI Card Installation et configuration de la carte PCI FDDI Apple Installieren und Konfigurieren der Apple PCI Dual-Attached FDDI Karte© 1997 Apple Computer, Inc. All rights reserved. Under the copyright laws, this manual may not be copied, in whole or in part, without the written consent of Apple. Your rights to the software are governed by the accompanying software license agreement. The Apple logo is a trademark of Apple Computer, Inc., registered in the U.S. and other countries. Use of the “keyboard” Apple logo (Option-Shift-K) for commercial purposes without the prior written consent of Apple may constitute trademark infringement and unfair competition in violation of federal and state laws. Every effort has been made to ensure that the information in this manual is accurate. Apple is not responsible for printing or clerical errors. Apple Computer, Inc. 1 Infinite Loop Cupertino, CA 95014-2084 408-996-1010 http://www.apple.com Apple, the Apple logo, and Mac are trademarks of Apple Computer, Inc., registered in the U.S. and other countries. Adobe, Acrobat, Adobe Illustrator, Adobe Photoshop, and PostScript are trademarks of Adobe Systems Incorporated or its subsidiaries and may be registered in certain jurisdictions. AIX is a registered trademark of IBM Corp., registered in the U.S. and other countries, and is being used under license. Helvetica and Times are registered trademarks of Linotype-Hell AG and/or its subsidiaries. Simultaneously published in the United States and Canada. Mention of third-party products is for informational purposes only and constitutes neither an endorsement nor a recommendation. Apple assumes no responsibility with regard to the performance or use of these products. K Apple Computer, Inc.Installing and Configuring the Apple PCI Dual-Attached FDDI Card / A1 Installation et configuration de la carte PCI FDDI Apple / B1 Installieren und Konfigurieren der Apple PCI Dual-Attached FDDI Karte / C1 General Contentsiv Communications regulation information Communications regulation information FCC statement This device complies with Part 15 of the FCC Rules. Operation is subject to the following two conditions: (1) this device may not cause harmful interference, and (2) this device must accept any interference received, including interference that may cause undesired operation. Radio frequency interference statement This equipment has been tested and found to comply with the limits for a Class B digital device, pursuant to Part 15, Subpart B of the FCC Rules. This equipment generates, uses, and can radiate radio frequency energy. If not installed and used in accordance with the instructions, it may cause interference to radio communications. The limits are designed to provide reasonable protection against such interference in a residential situation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause interference to radio or television reception, which can be determined by turning the equipment on and off, the user is encouraged to try to correct the interference by one or more of the following measures: m Reorient or relocate the receiving antenna of the affected radio or television. m Increase the separation between the equipment and the affected receiver. m Connect the equipment and the affected receiver to power outlets on separate circuits. m Consult the radio/TV dealer or an experienced radio/TV technician for help. Modifications Changes or modifications not expressly approved by Interphase Corporation could void the user's authority to operate the equipment. Shielded Cables Shielded cable must be used with this equipment to maintain compliance with FCC Regulations. Installation de votre logiciel Les informations suivantes sont destinées à vous familiariser avec Aperture le plus rapidement possible et traitent des rubriques présentées ci-dessous : Â À propos du disque d’installation d’Aperture (p. 2) Â Mise à niveau de Mac OS X (p. 2) Â Installation d’Aperture (p. 3) Â Enregistrement d’Aperture (p. 5) Â À propos des exemples de projets d’Aperture (p. 5) Â À propos de l’aide à l’écran (p. 5) Â Prise de contact avec l’assistance AppleCare (p. 8) Passez également en revue le document Avant d’installer Aperture se trouvant sur le disque d’installation d’Aperture. Pour accéder aux dernières informations sur Aperture, rendez-vous sur le site Web d’Aperture à l’adresse http://www.apple.com/fr/aperture.2 À propos du disque d’installation d’Aperture Le disque d’installation d’Aperture 1.5 contient les éléments suivants : Â Avant d’installer Aperture : ce document détaille la configuration requise et ce que vous devez faire avant d’installer Aperture et le contenu l’accompagnant. Â Programme d’installation d’Aperture : double-cliquez sur l’icône du programme d’installation d’Aperture pour lancer le processus d’installation. Â Dossier Documentation : ce dossier contient le document Installation de votre logiciel (en version PDF) et le Manuel de l’utilisateur d’Aperture. Ouvrez ce Manuel de l’utilisateur d’Aperture pour y retrouver de la documentation supplémentaire au format PDF concernant Aperture, dont les documents Programme d’ajustement d’image, Premiers contacts avec Aperture et Référence rapide d’Aperture. Â Dossier Sample Projects : ce dossier inclut des images servant d’exemples à visualiser dans Aperture, mais aussi un document concis reprenant des caractéristiques des exemples de projets. Remarque : le disque d’installation contient les fichiers requis pour installer Aperture 1.5 sur les ordinateurs Macintosh de type PowerPC ou à processeur Intel. Le processus d’installation est identique pour les deux types d’ordinateurs. Mise à niveau de Mac OS X Avant d’installer Aperture, mettez à jour votre logiciel système afin de vous assurer que vous disposez bien de la toute dernière version de Mac OS X sur votre machine. Important : vous devez faire l’acquisition de Mac OS X 10.4 Tiger ou ultérieur si vous mettez votre système à niveau de Mac OS X 10.3 Panther ou antérieur. Pour mettre à jour Mac OS X v10.4 à la dernière version disponible : 1 Choisissez le menu Pomme > « Mise à jour de logiciels ». Une zone de dialogue apparaît alors pour vous indiquer les logiciels nouveaux ou mis à jour, applicables à votre ordinateur. 2 Suivez les instructions à l’écran pour mettre à jour Mac OS X à la dernière version.3 Installation d’Aperture Lorsque vous installez Aperture, l’application se place dans le dossier Applications du disque dur précisé, généralement sur votre disque de démarrage. Par défaut, le programme d’installation d’Aperture installe l’application Aperture en tant que telle sur votre disque dur, mais aussi la documentation qui l’accompagne et un exemple de projet destiné à vous aider à débuter dans l’utilisation des divers outils mis à votre disposition dans Aperture pour la gestion, le traitement et la publication de vos photos. Remarque : avant de pouvoir installer Aperture, vous devez ouvrir une session sur votre ordinateur sous un compte d’administrateur en respectant les données de connexion. Pour en savoir plus, consultez l’Aide Mac. Pour installer Aperture et taper le numéro de série : 1 Insérez le disque d’installation d’Aperture dans le lecteur de DVD de l’ordinateur. 2 Double-cliquez sur l’icône du programme d’installation d’Aperture, puis suivez les instructions à l’écran. 3 Prenez connaissance du texte de bienvenue présenté dans l’introduction, puis cliquez sur Continuer. 4 Lisez le Contrat de licence du logiciel. Vous pouvez l’imprimer ou l’enregistrer en cliquant sur le bouton respectif Imprimer ou Enregistrer. Après l’avoir lu, cliquez sur Continuer, puis, si vous êtes d’accord avec les termes du Contrat, sur Accepter. 5 Sélectionnez le disque de démarrage, puis cliquez sur Continuer. Votre disque de démarrage doit disposer de la dernière version de Mac OS X v10.4. Avertissement : si le système ne satisfait pas la configuration requise, l’installation d’Aperture ne peut pas se faire. Reportez-vous au document Avant d’installer Aperture se trouvant sur le disque d’installation pour connaître les détails de cette configuration. 4 6 Dans la sous-fenêtre « Informations de l’utilisateur », saisissez vos nom et prénom. Préciser le nom de votre entreprise est facultatif. 7 Dans le champ Numéro de série, saisissez le numéro de série d’Aperture tel qu’il figure sur l’étiquette prévue à cet effet, collée au recto de la couverture de ce document, puis cliquez sur Continuer. Nous vous présentons ci-après quelques conseils pour saisir correctement votre numéro de série : Â Assurez-vous que le numéro de série que vous copiez est bien l’original se trouvant au recto de la couverture de ce document. Â Assurez-vous que vous tapez bien le numéro de série du logiciel et non pas le numéro d’identification pour bénéficier de l’assistance. Â Vérifiez que les caractères saisis correspondent bien à des zéros et non à la lettre O, et aux chiffres Un et non à la lettre L en minuscule, si votre numéro prévoit de tels chiffres. Â N’oubliez pas les tirets du numéro de série. Â N’ajoutez aucun espace avant ou après le numéro. 8 Vérifiez enfin que le numéro de série soit tapé correctement. 9 Cliquez sur Installer pour procéder à une installation standard d’Aperture. Pour personnaliser votre installation d’Aperture, cliquez sur Personnaliser, indiquez les options d’installation que vous désirez, puis cliquez enfin sur Installer. 10 Une zone de dialogue s’affiche pour vous authentifier grâce à vos nom et mot de passe. Cliquez sur OK lorsque vous avez fini. Remarque : à l’issue de trois tentatives échouées de saisie du numéro de saisie, le programme d’installation d’Aperture se ferme. Pour relancer le processus d’installation, retournez à l’étape 2. Le programme d’installation affiche une barre de progression pour vous indiquer où en est l’installation. Tapez votre nom (obligatoire). Tapez le nom de votre entreprise (organisation ; facultatif). Tapez votre numéro de série sans oublier les tirets (obligatoire).5 11 Lorsqu’elle est enfin terminée, cliquez sur Fermer. Une fois le logiciel installé, vous pouvez commencer à utiliser Aperture. Enregistrement d’Aperture La première fois que vous ouvrez Aperture, vous êtes invité à fournir des informations permettant l’enregistrement du produit. Par défaut, les données de votre fiche personnelle tirée de votre Carnet d’adresses sont automatiquement reprises dans les champs appropriés. Pour enregistrer Aperture sous un utilisateur autre que celui repris dans la fiche personnelle de votre Carnet d’adresses : 1 Remplissez les champs Nom, Adresse, Organisation et Adresse électronique. 2 Si vous désirez recevoir sur votre compte de messagerie des informations sur l’actualité et les mises à jour de logiciels Apple, cochez la case. 3 Si vous voulez prendre connaissance de l’Engagement de confidentialité Apple, cliquez sur Confidentialité. 4 Lorsque vous avez terminé, cliquez sur S’enregistrer. Aperture est à présent enregistré. Remarque : si vous optez pour le bouton « S’enregistrer plus tard », le système vous rappelle d’enregistrer Aperture toutes les cinq ouvertures de l’application. À propos des exemples de projets d’Aperture Aperture inclut plusieurs exemples de projets comprenant des images haute résolution. Lorsque vous ouvrez Aperture pour la première fois, une zone de dialogue vous demande si vous voulez installer un exemple de projet. D’autres exemples de projets sont également disponibles dans le dossier Sample Projects se trouvant sur le disque d’installation d’Aperture. Vous pouvez ainsi importer ces projets dans Aperture à partir du disque d’installation d’Aperture à tout moment après avoir installé l’application. À propos de l’aide à l’écran L’aide à l’écran, disponible à partir du menu Aide, vous permet d’afficher des informations au cours de vos manipulations dans Aperture. Vous retrouverez ainsi des liens vers des exemplaires de documents au format PDF traitant d’Aperture ainsi que des liens vers les sites Web du produit Aperture et sur son assistance dans le menu Aide.6 Pour obtenir les dernières informations sur Aperture, y compris de la documentation d’assistance non disponible à partir du menu Aide d’Aperture, rendez-vous sur le site Web de l’assistance Aperture en suivant une des procédures suivantes : m Dans Aperture, choisissez Aide > Assistance Aperture. m Rendez-vous à l’adresse http://www.apple.com/fr/support/aperture. Manuel de l’utilisateur d’Aperture Ce document contient des renseignements conceptuels, de référence et retraçant les tâches qu’impliquent Aperture. Pour accéder au Manuel de l’utilisateur d’Aperture : m Dans Aperture, choisissez Aide > Manuel de l’utilisateur d’Aperture. Programme d’ajustement d’image Ce document reprend les détails des instructions pour utiliser les fonctionnalités de réglage et les outils d’Aperture. Pour accéder au document « Programme d’ajustement d’image » : m Dans Aperture, choisissez Aide > « Programme d’ajustement d’image ». Informations de dernière minute Ce document contient des informations relatives aux problèmes que peuvent rencontrer du matériel et des logiciels de tierce partie ainsi que d’autres problèmes déjà connus. Remarque : vous devez pour cela être connecté à Internet pour pouvoir accéder à ce document. Pour accéder au document « Informations de dernière minute » : m Dans Aperture, choisissez Aide > « Informations de dernière minute ». Nouvelles fonctionnalités Ce document répertorie les fonctionnalités introduites à Aperture depuis Aperture 1.1. Remarque : vous devez pour cela être connecté à Internet pour pouvoir accéder à ce document. Pour accéder au document « Nouvelles fonctionnalités » : m Dans Aperture, choisissez Aide > Nouvelles fonctionnalités. Premiers contacts Ce document explique comment importer des images, leur appliquer un classement et des mots-clés, en rechercher, en exporter et en imprimer, le tout à partir d’Aperture. Ce document correspond à la version PDF du manuel imprimé Premiers contacts avec Aperture. Pour accéder au document « Premiers contacts » : m Dans Aperture, choisissez Aide > Premiers contacts.7 Référence rapide Ce document reprend les raccourcis clavier pour assurer les diverses tâches dans Aperture. Ce document correspond à la version PDF du volet imprimé Référence rapide d’Aperture. Pour accéder au document « Référence rapide » : m Dans Aperture, choisissez Aide > Référence rapide. Notions de base de la photographie numérique Ce document propose des informations de base sur le mode de fonctionnement des appareils photo numériques, sur l’apparence des photos numériques à l’écran ou imprimées et sur le mode de mesure de la résolution des images adopté par les appareils numériques. Pour accéder au document « Principes fondamentaux de la photographie numérique » : m Dans Aperture, choisissez Aide > « Principes fondamentaux de la photographie numérique ». Commande de livres et de tirages Ce document reprend des informations et les étapes nécessaires pour la commande de livres de qualité professionnelle pour vos images à travers le service de tirage d’Apple. Remarque : vous devez pour cela être connecté à Internet pour pouvoir accéder à ce document. Pour accéder au document « Commande de livres et de tirages » : m Dans Aperture, choisissez Aide > « Commande de livres et de tirages ». Créer un profil de gestion Dans certains cas où vous êtes amené à faire appel à l’assistance, AppleCare peut nécessiter des informations sur votre ordinateur et sur la configuration adoptée pour Aperture. La commande « Créer un profil de gestion » génère alors un fichier contenant les informations requises pour les envoyer à AppleCare sous forme de message électronique. N’utilisez pas cette fonctionnalité à moins qu’un représentant AppleCare ne vous le demande. Pour créer un profil de gestion : m Dans Aperture, choisissez Aide > « Créer un profil de gestion ». Prise de contact avec l’assistance AppleCare Des informations sur les options mises à votre disposition pour bénéficier de l’assistance Apple se trouvent dans votre coffret d’Aperture. Plusieurs niveaux d’assistance ont été mis en place. Quelque soit votre problème, il est bon de garder les informations suivantes à portée de main si vous devez contacter Apple pour obtenir de l’aide. Plus vous disposez de données à fournir aux agents du service d’assistance, plus vite ils sont à même de résoudre votre problème ou de vous aiguiller. Pensez donc aux points suivants : Â le numéro d’identification pour l’assistance sur Aperture (celui-ci se trouve au recto de la couverture de ce document ; Remarque : ce nombre de onze chiffres permettant de bénéficier de l’assistance diffère du numéro de série du produit permettant, lui, d’installer Aperture) ; Â la version de Mac OS X installée (pour connaître la version de Mac OS X, choisissez le menu Pomme > « À propos de ce Mac ») ; Â la version d’Aperture sur laquelle vous avez une question (pour retrouver la version d’Aperture installée sur votre ordinateur, choisissez Aperture > « À propos d’Aperture ») ; Â le modèle d’ordinateur que vous utilisez ; Â la quantité de mémoire RAM installée sur votre ordinateur (pour connaître la capacité de la RAM de votre ordinateur, choisissez le menu Pomme > « À propos de ce Mac ») ; Â le cas échéant, tout matériel de tierce partie branché à votre ordinateur ou qui y est installé, ainsi que le nom de leur fabricant (cela inclut les disques durs, les cartes graphiques, etc.). L’assistance AppleCare est joignable en ligne à l’adresse http://www.apple.com/fr/support. Vous y retrouverez des informations spécifiques sur l’assistance Aperture en cliquant sur le lien relatif à Aperture. Pour vous rendre sur le site Web d’assistance Aperture à partir de l’application Aperture même : m Choisissez Aide > Assistance Aperture. © 2006 Apple Computer, Inc. Tous droits réservés. Apple, le logo Apple, Mac, Macintosh, Mac OS et Panther sont des marques d’Apple Computer, Inc., déposées aux États-Unis et dans d’autres pays. Aperture et Tiger sont des marques d’Apple Computer Inc. AppleCare est une marque de service d’Apple Computer Inc., déposée aux États-Unis et dans d’autres pays. Intel et Intel Core sont des marques d’Intel Corp. aux États-Unis et dans d’autres pays. PowerPC et le logo PowerPC sont des marques d’International Business Machines Corporation, utilisés sous licence. Mac OS X Server Gestion des utilisateurs Pour version 10.4 ou ultérieureK Apple Computer, Inc. © 2005 Apple Computer, Inc. Tous droits réservés. Le propriétaire ou l’utilisateur autorisé d’un exemplaire enregistré du logiciel Mac OS X Server peut reproduire cette publication aux fins d’apprentissage du logiciel. Cette publication ne peut être reproduite ou transmise en tout ou partie à des fins commerciales, comme la vente de copies de cette publication ou la fourniture d’un service d’assistance payant. Tout a été mis en œuvre pour que les informations contenues dans ce manuel soient exactes. Apple Computer, Inc., n’est pas responsable des erreurs d’impression ou de typographie. Apple 1 Infinite Loop Cupertino, CA 95014-2084 408-996-1010 www.apple.com L’utilisation de ce logo à des fins commerciales via le clavier (Option-1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, le logo Apple, AirPort, AppleShare, AppleTalk, FireWire, iBook, Trousseau, LaserWriter, Mac, Mac OS, Macintosh, PowerBook et QuickTime sont des marques d’Apple Computer, Inc. déposées aux États-Unis et dans d’autres pays. Gestionnaire d’extensions, Finder et SuperDrive sont des marques d’Apple Computer, Inc. Adobe et PostScript sont des marques d’Adobe Systems Incorporated. Java et tous les logos et marques dérivés de Java sont des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays. UNIX est une marque déposée aux États-Unis et dans d’autres pays, sous licence exclusive de X/Open Company Ltd. Tous les autres noms de produits sont des marques de leurs propriétaires respectifs. Les produits commercialisés par des entreprises tierces ne sont mentionnés qu’à titre d’information, sans aucune intention de préconisation ni de recommandation. Apple décline toute responsabilité quant à leur utilisation et à leur fonctionnement. F019-0170/03-24-05 F0170.book Page 2 Monday, May 2, 2005 12:37 PM 3 1 Table de matières Préface 13 À propos de ce guide 13 Nouveautés de la version 10.4 14 Contenu de ce guide 15 Utilisation de l’aide à l’écran 16 La suite Mac OS X Server 17 Informations complémentaires 17 Si vous êtes novice en gestion de serveur et de réseau 18 Si vous êtes un administrateur de serveur chevronné Chapitre 1 19 Vue d’ensemble de la gestion des utilisateurs 19 Outils de gestion des utilisateurs 19 Gestionnaire de groupe de travail 22 Admin Serveur 23 NetBoot 24 Installation en réseau 24 Comptes 25 Comptes d’administrateur 26 Utilisateurs et utilisateurs gérés 26 Utilisateurs invités 27 Groupes, groupes principaux et groupes de travail 28 Listes d’ordinateurs 28 Utilisation côté utilisateur 29 Authentification 31 Validation de l’identité 31 Contrôle de l’accès aux informations Chapitre 2 33 Introduction à la gestion des utilisateurs 33 Présentation générale de la configuration 40 Programmation de stratégies pour la gestion des utilisateurs 40 Analyse de votre environnement 40 Identification des besoins en matière de services de répertoire 41 Détermination des besoins en matière de serveur et de stockage 42 Utilisation de la gestion des clients F0170.book Page 3 Monday, May 2, 2005 12:37 PM4 Table des matières 42 Utilisation de comptes mobiles 42 Répertoires de départ portables 42 Élaboration d’une stratégie en matière de répertoire de départ 43 Identification des groupes 43 Détermination des besoins d’administrateur 44 Utilisation du Gestionnaire de groupe de travail 44 Utilisation d’ordinateurs de versions antérieures à la 10.4 à partir de serveurs de version 10.4 45 Ouverture du Gestionnaire de groupe de travail et authentification 46 Principales tâches dans le Gestionnaire de groupe de travail 47 Listage et recherche de comptes 47 Utilisation de listes de comptes dans le Gestionnaire de groupe de travail 48 Liste de comptes dans le domaine de répertoires local 48 Liste de comptes dans des domaines de répertoires de chemins de recherche 49 Liste de comptes dans des domaines de répertoires disponibles 49 Actualisation de listes de comptes 50 Recherche de comptes spécifiques dans une liste 50 Classement des listes d’utilisateurs et de groupes 51 Utilisation du bouton Rechercher de la barre d’outils 52 Raccourcis pour l’utilisation des comptes 52 Modification par lot 52 Utilisation de préréglages 53 Importation et exportation d’informations de compte 53 Sauvegarde et restauration des données de gestion des utilisateurs 53 Sauvegarde et restauration de fichiers de services de répertoires 53 Sauvegarde de comptes d’utilisateur root et administrateur Chapitre 3 55 Gestion des utilisateurs pour des clients mobiles 55 Configuration des clients mobiles 55 Configuration d’ordinateurs portables 56 Utilisation de comptes mobiles 57 Création d’un compte mobile 57 Suppression d’un compte mobile 58 Utilisation de comptes mobiles côté utilisateur 58 Répertoires de départ portables 59 Éléments à prendre en compte pour l’affectation du contenu à synchroniser 60 Gestion des clients mobiles 60 Ordinateurs portables Mac OS X inconnus 60 Ordinateurs portables Mac OS X pour utilisateurs locaux multiples 61 Ordinateurs portables Mac OS X pour utilisateur local principal 62 Utilisation de services sans fil 62 Questions de sécurité concernant les clients mobiles 62 Services de répertoire F0170.book Page 4 Monday, May 2, 2005 12:37 PMTable des matières 5 63 FileVault pour clients mobiles 63 Questions de sécurité concernant l’utilisation de répertoires de départ portables 63 Questions concernant la perte et la récupération des données Chapitre 4 65 Configuration des comptes d’utilisateur 65 À propos des comptes d’utilisateur 65 Emplacement de stockage des comptes d’utilisateur 66 Comptes d’utilisateur prédéfinis 67 Administration de comptes d’utilisateur 67 Création de comptes d’utilisateur Mac OS X Server 68 Création de comptes d’utilisateur LDAPv3 en lecture/écriture 68 Modification des informations de compte d’utilisateur 69 Modification simultanée de plusieurs utilisateurs 69 Modification des comptes dans un maître Open Directory 70 Utilisation de comptes d’utilisateur en lecture seule 71 Définition d’un utilisateur invité 71 Suppression d’un compte d’utilisateur 72 Désactivation d’un compte d’utilisateur 72 Utilisation de préréglages pour les comptes d’utilisateur 72 Création d’un préréglage pour des comptes d’utilisateur 73 Utilisation de préréglages pour créer des comptes 73 Renommer des préréglages 74 Modification de préréglages 74 Suppression de préréglages 74 Travail avec des réglages élémentaires pour utilisateurs 74 Définition de noms complets d’utilisateurs 75 Définition de noms abrégés d’utilisateurs 77 Choix de noms abrégés permanents 77 Eviter les doublons de noms 79 Mesures de prévention contre les doublons de noms abrégés 81 Définition d’identifiants d’utilisateur 82 Définition de mots de passe 82 Réglage des options de mot de passe pour les utilisateurs importés 82 Attribution de droits d’administrateur pour un serveur 83 Attributions de droits d’administrateur pour un domaine de répertoire 84 GUID 84 Travail avec des réglages avancés pour utilisateurs 84 Définition de réglages d’ouverture de session 86 Définition d’un type de mot de passe 86 Création d’une liste maîtresse de mots-clés 87 Application de mots-clés aux comptes d’utilisateur 87 Modification de commentaires 88 Travail avec les réglages de groupe pour utilisateurs F0170.book Page 5 Monday, May 2, 2005 12:37 PM6 Table des matières 88 Définition du groupe principal d’un utilisateur 89 Ajout d’un utilisateur à des groupes 90 Suppression d’un utilisateur dans un groupe 90 Vérification des différentes appartenances de groupe d’un utilisateur 91 Utilisation des réglages de répertoires de départ des utilisateurs 91 Utilisation des réglages de courrier des utilisateurs 91 Désactivation du service de courrier d’un utilisateur 92 Activation des options de compte de service de courrier 93 Faire suivre le courrier d’un utilisateur 93 Travail avec des réglages d’impression pour utilisateurs 94 Désactivation de l’accès d’un utilisateur aux files d’attente imposant des quotas 94 Activation l’accès d’un utilisateur aux files d’attente imposant des quotas 95 Suppression du quota d’impression d’un utilisateur pour une file spécifique 95 Réinitialisation du quota d’impression d’un utilisateur 96 Utilisation des réglages d’informations pour les utilisateurs 97 Choix de réglages pour les utilisateurs Windows Chapitre 5 99 Configuration des comptes de groupe 99 À propos des comptes de groupe 99 Administration de comptes de groupe 99 Emplacement de stockage des comptes de groupe 100 Comptes de groupe prédéfinis 101 Création de comptes de groupe Mac OS X Server 101 Création de comptes de groupe LDAPv3 en lecture/écriture 102 Création d’un préréglage pour des comptes de groupe 102 Modification des informations d’un compte de groupe 103 Création de groupes imbriqués 104 Mise à niveau de groupes hérités 104 Utilisation de comptes de groupe en lecture seule 105 Travail avec des réglages de membres pour groupes 105 Ajout d’utilisateurs à un groupe 106 Suppression d’utilisateurs d’un groupe 106 Attribution d’un nom à un groupe 107 Définition d’un identifiant de groupe 108 Travail avec les réglages du dossier de groupe 108 Option Pas de dossier de groupe 109 Création d’un dossier de groupe dans un point de partage existant 110 Création d’un dossier de groupe dans un nouveau point de partage 112 Création d’un dossier de groupe dans un sous-dossier d’un point de partage existant 114 Désignation d’un dossier de groupe destiné à plusieurs groupes 114 Suppression de comptes de groupe F0170.book Page 6 Monday, May 2, 2005 12:37 PMTable des matières 7 Chapitre 6 115 Configuration de listes d’ordinateurs 115 À propos des listes d’ordinateurs 116 Listes d’ordinateurs à usage spécial 116 Création d’une liste d’ordinateurs 118 Création d’un préréglage pour listes d’ordinateurs 119 Utilisation d’un préréglage de liste d’ordinateurs 119 Ajout d’ordinateurs à une liste d’ordinateurs existante 120 Modification d’informations sur un ordinateur 120 Déplacement d’un ordinateur vers une autre liste d’ordinateurs 121 Suppression d’ordinateurs d’une liste d’ordinateurs 121 Suppression d’une liste d’ordinateurs 122 Recherche de listes d’ordinateurs 122 Gestion des ordinateurs invités 124 Utilisation des réglages d’accès 124 Restriction de l’accès à des ordinateurs 125 Mise d’ordinateurs à la disposition de tous les utilisateurs 125 Utilisation de comptes d’utilisateur locaux Chapitre 7 127 Configuration des répertoires de départ 127 À propos des répertoires de départ 128 Évitez les espaces et les noms très longs dans les chemins d’accès aux répertoires de départ réseau 129 Répartition de répertoires de départ sur plusieurs serveurs 130 Spécification d’aucun répertoire de départ 131 Création d’un répertoire de départ pour un utilisateur local sur un serveur 133 Création d’un répertoire de départ de réseau 134 Création d’un répertoire de départ personnalisé 137 Configuration d’un point de partage AFP montable automatiquement pour des répertoires de départ 138 Configuration d’un point de partage NFS ou SMB montable automatiquement pour des répertoires de départ 140 Définition de quotas de disque 141 Définition de répertoires de départ par défaut à l’aide de préréglages 141 Déplacement de répertoires de départ 141 Suppression de répertoires de départ Chapitre 8 143 Vue d’ensemble de la gestion des clients 144 Utilisation de ressources visibles sur le réseau 145 Définition de préférences 146 La puissance des préférences 147 Niveaux de contrôle 150 Degrés de permanence 151 Configuration de l’environnement d’ouverture de session F0170.book Page 7 Monday, May 2, 2005 12:37 PM8 Table des matières 152 Qui peut ouvrir une session ? 153 Mise en mémoire cache des préférences 153 Aide aux utilisateurs pour trouver des applications 154 Aide aux utilisateurs pour trouver des dossiers de groupe 154 Installation et démarrage via le réseau 155 Administration quotidienne des clients Chapitre 9 157 Gestion des préférences 157 Mode de fonctionnement du Gestionnaire de groupe de travail avec les préférences Mac OS X 158 Gestion des préférences 159 À propos de la mémoire cache des préférences 159 Mises à jour régulières de la mémoire cache des préférences gérées 160 Mise à jour manuelle de la mémoire cache des préférences 161 Gestion des préférences d’utilisateur 161 Gestion des préférences de groupes 162 Gestion des préférences d’ordinateurs 163 Modification des préférences de plusieurs enregistrements 163 Désactivation de la gestion de préférences spécifiques 164 Gestion de l’accès aux applications 164 Création d’une liste d’applications accessibles pour les utilisateurs 165 Interdiction aux utilisateurs d’accéder à des applications situées sur des volumes locaux 166 Gestion de l’accès aux utilitaires 167 Contrôle du fonctionnement des outils UNIX 167 Gestion des préférences de Classic 168 Sélection des options de démarrage de Classic 169 Choix d’un dossier Système Classic 170 Autorisations d’actions spéciales au démarrage 170 Contrôle de l’accès aux éléments du menu Pomme de l’environnement Classic 171 Réglage des paramètres de suspension d’activité de Classic 172 Maintien de la cohérence des préférences d’utilisateurs pour l’environnement Classic 173 Gestion des préférences du Dock 173 Contrôle du Dock de l’utilisateur 174 Accès aisé aux dossiers de groupes 175 Ajout d’éléments au Dock d’un utilisateur 175 Interdiction aux utilisateurs d’ajouter ou de supprimer des éléments au Dock 176 Gestion des préférences de l’Économiseur d’énergie 176 Utilisation des réglages de suspension d’activité et de réactivation pour les ordinateurs de bureau 178 Utilisation des réglages de l’Économiseur d’énergie pour les ordinateurs portables 179 Affichage de l’état de la batterie pour les utilisateurs F0170.book Page 8 Monday, May 2, 2005 12:37 PMTable des matières 9 180 Programmation du démarrage, de l’extinction ou de la suspension d’activité automatiques 181 Gestion des préférences du Finder 181 Configuration du Finder simplifié 182 Masquage des disques et des serveurs sur le bureau de l’utilisateur 183 Contrôle du comportement des fenêtres du Finder 183 Masquage du message d’alerte présenté lorsque l’utilisateur veut vider la corbeille 184 Affichage des extensions de nom de fichier 184 Contrôle de l’accès des utilisateurs aux serveurs distants 185 Contrôle de l’accès des utilisateurs à un iDisk 185 Mesures contre l’éjection de disques par les utilisateurs 186 Masquage de la commande Graver le disque dans le Finder 186 Contrôle de l’accès des utilisateurs aux dossiers 187 Suppression des commandes Redémarrer et Éteindre du menu Pomme 187 Réglage de l’apparence et de la disposition des éléments du bureau 188 Réglage de l’apparence du contenu des fenêtres du Finder 189 Gestion des préférences Internet 189 Réglage des préférences de messagerie 190 Réglage des préférences du navigateur Web 191 Gestion des préférences d’ouverture de session 191 Spécification du mode d’ouverture de session de l’utilisateur 192 Ouverture automatique d’éléments après l’ouverture de session 194 Fourniture de l’accès au répertoire de départ réseau d’un utilisateur 194 Fourniture d’un accès aisé au point de partage de groupe 195 Interdiction de démarrer ou d’arrêter l’ordinateur lors de la connexion 196 Utilisation d’indices pour aider les utilisateurs à se souvenir de leur mot de passe 197 Activation de la prise en charge de plusieurs utilisateurs simultanés sur un ordinateur client 197 Activation de la fermeture de session automatique pour les utilisateurs inactifs 198 Scripts d’ouverture et de fermeture de session 199 Gestion des préférences d’accès aux données 199 Contrôle de l’accès aux CD, DVD et disques inscriptibles 200 Contrôle de l’accès aux disques durs et aux disques 201 Éjection automatique d’éléments à la fermeture de session de l’utilisateur 201 Gestion des préférences de mobilité 201 Gestion des préférences Réseau 201 Configuration des serveurs proxy par port 202 Gestion des préférences d’Impression 202 Attribution d’imprimantes aux utilisateurs 203 Méthode pour empêcher les utilisateurs de modifier la liste d’imprimantes 204 Restriction de l’accès aux imprimantes connectées à un ordinateur 204 Définition d’une imprimante par défaut 205 Restriction de l’accès aux imprimantes F0170.book Page 9 Monday, May 2, 2005 12:37 PM10 Table des matières 205 Gestion des préférences de mise à jour de logiciels 206 Gestion de l’accès aux préférences Système 207 Gestion des préférences Accès universel 207 Manipulation des réglages d’affichage pour l’utilisateur 208 Activation d’une alerte visuelle 209 Réglage de la réponse du clavier 210 Réglage du niveau de réponse de la souris et du pointeur 211 Activation des raccourcis d’Accès universel 211 Autorisation d’appareils d’aide pour les utilisateurs ayant des besoins particuliers 212 Utilisation de l’éditeur de préférences avec les manifestes de préférences 213 Ajout d’une préférence gérée en l’important depuis une application 213 Modification des valeurs de préférence d’une application 214 Suppression des valeurs de préférence via l’éditeur de préférences Chapitre 10 215 Gestion des présentations de réseau 216 Types de présentations de réseau gérées 216 Création d’un présentation de réseau gérée 217 Modification de présentations de réseau gérées 219 Définition de voisinages pour présentations de réseau gérées 219 Ajout de voisinages à des présentations de réseau gérées 220 Suppression de voisinages de présentations de réseau gérées 220 Définition d’ordinateurs pour présentations de réseau gérées 220 Affichage d’ordinateurs dans des présentations de réseau gérées 222 Suppression d’ordinateurs de présentations de réseau gérées 222 Définition de listes dynamiques pour présentations de réseau gérées 223 Ajout de listes dynamiques à des présentations de réseau gérées 224 Suppression de listes dynamiques de présentations de réseau gérées 224 Définition de l’utilisation des présentations de réseau gérées par des ordinateurs clients 224 Comment un ordinateur trouve-t-il ses présentations de réseau gérées 225 Activation de la visibilité des présentations de réseau gérées 226 Désactivation de la visibilité des présentations de réseau gérées 228 Définition de la fréquence de rafraîchissement d’une présentation de réseau gérée 228 Définition du comportement du Finder avec des présentations de réseau gérées Chapitre 11 229 Résolution des problèmes 229 Aide en ligne et site Web d’assistance et de service Apple 229 Résolution des problèmes liés aux comptes 229 Vous ne parvenez pas à modifier un compte à l’aide du Gestionnaire de groupe de travail 230 Vous ne voyez pas certains utilisateurs dans la fenêtre de connexion 230 Vous ne parvenez pas à déverrouiller un répertoire LDAP 231 Vous ne pouvez pas modifier le mot de passe Open Directory d’un utilisateur F0170.book Page 10 Monday, May 2, 2005 12:37 PMTable des matières 11 231 Vous ne pouvez pas changer le type de mot de passe d’un utilisateur en Open Directory 231 Vous ne parvenez pas à attribuer des autorisations d’administrateur de serveur 232 Les utilisateurs ne parviennent pas à se connecter ni à être authentifiés 233 Les utilisateurs dépendant d’un Serveur de mots de passe ne parviennent pas à se connecter 233 Les utilisateurs ne peuvent pas se connecter à l’aide de comptes dans un domaine de répertoire partagé 234 Les utilisateurs ne peuvent pas accéder à leur répertoire de départ 234 Certains utilisateurs ne peuvent pas changer leur mot de passe 234 Un utilisateur Mac OS X d’un domaine NetInfo partagé ne parvient pas à se connecter 234 Les utilisateurs ne peuvent pas s’authentifier à l’aide de la signature unique ou de Kerberos 235 Résolution des problèmes de gestion des préférences 236 Vous ne parvenez pas à appliquer les réglages Web par défaut 236 Vous ne parvenez pas à appliquer les réglages de courrier par défaut 236 Les utilisateurs ne voient pas de liste de groupes de travail lors de la connexion 236 Les utilisateurs ne parviennent pas à ouvrir des fichiers 237 Les utilisateurs ne parviennent pas à ajouter des imprimantes à la liste d’imprimantes 237 Les éléments d’ouverture ajoutés par un utilisateur ne s’ouvrent pas 238 Les éléments du Dock placés par un utilisateur sont manquants 238 Le Dock d’un utilisateur comporte des éléments en double 238 Un point d’interrogation apparaît dans le Dock des utilisateurs 239 Un message d’erreur inattendue est affiché à l’intention des utilisateurs Annexe A 241 Importation et exportation d’informations de compte 241 Quels sont les éléments que l’on peut exporter et importer 243 Utilisation du Gestionnaire de groupe de travail pour importer des utilisateurs et des groupes 244 Utilisation du Gestionnaire de groupe de travail pour exporter des utilisateurs et des groupes 245 Utilisation de dsimport pour importer des utilisateurs et des groupes 245 Utilisation de fichiers XML créés avec Mac OS X Server 10.1 ou antérieur 246 Utilisation de fichiers XML créés avec AppleShare IP 6.3 247 Utilisation de fichiers délimités par des caractères 247 Écriture d’une description d’enregistrement Annexe B 251 Autorisations de liste ACL et adhésions de groupe via GUID 251 Rôle des GUID 252 Les listes de contrôle d’accès ACL complètent les autorisations POSIX 252 Identifiants GUID et groupes F0170.book Page 11 Monday, May 2, 2005 12:37 PM12 Table des matières 253 Autorisations et synchronisation de fichiers 253 Interopérabilité des identifiants de sécurité SID et de Windows 253 Importation et exportation d’utilisateurs Glossaire 255 Index 267 F0170.book Page 12 Monday, May 2, 2005 12:37 PM 13 Préface À propos de ce guide Ce guide vous explique comment utiliser le Gestionnaire de groupe de travail pour configurer et gérer les répertoires de départ, les comptes, les préférences et les réglages de vos clients. Nouveautés de la version 10.4 • Répertoires de départ portables. Les utilisateurs équipés d’ordinateurs portables peuvent désormais bénéficier de versions synchronisées de leurs dossiers de répertoire de départ local et en réseau. Les répertoires de départ portables synchronisent le contenu sélectionné entre le répertoire de départ local et le répertoire de départ réseau, en prenant en compte la version la plus récente des fichiers. • Liaison de répertoire sécurisée. Les utilisateurs équipés d’ordinateurs portables peuvent utiliser la liaison sécurisée afin de s’assurer que les services auxquels ils accèdent lors de leurs déplacements sont sûrs. Une liaison approuvée offre à un ordinateur client un moyen de s’authentifier auprès d’un serveur LDAP et au serveur LDAP un moyen de s’authentifier auprès du client. Pour en savoir plus, consultez le chapitre 3, “Gestion des utilisateurs pour des clients mobiles” à la page 55. • Présentations de réseau gérées. Il est désormais possible de contrôler ce que les utilisateurs voient lorsqu’ils sélectionnent l’icône Réseau dans la barre latérale d’une fenêtre du Finder (ou choisissent Aller > Réseau). Une présentation de réseau gérée est constituée d’un ou plusieurs voisinages réseau, qui apparaissent dans le Finder sous forme de dossiers. Chaque dossier contient une liste de ressources que l’administrateur du serveur a associé au dossier. Les vues réseau gérées offrent un moyen efficace de présenter les ressources réseau. Vous pouvez créer plusieurs vues pour différents ordinateurs client. Étant donné que les présentations sont stockées avec Open Directory, le voisinage réseau d’un ordinateur est automatiquement disponible lorsqu’un utilisateur ouvre une session. Pour en savoir plus, consultez le chapitre 10, “Gestion des présentations de réseau” à la page 215. F0170.book Page 13 Monday, May 2, 2005 12:37 PM14 Préface À propos de ce guide • Manifestes de préférences et éditeur de préférences. Si vous souhaitez contrôler avec précision les réglages de préférences, vous pouvez utiliser le nouvel éditeur de préférences du Gestionnaire de groupe de travail qui peut utiliser des manifestes de préférences quand ils existent. Les manifestes de préférences sont des fichiers qui décrivent la structure et les valeurs des préférences d’une application ou d’un utilitaire. L’éditeur de préférences peut créer ou modifier n’importe quel fichier PLIST (fichier de préférences) ; il contient des manifestes de préférences qui décrivent avec précision les réglages de préférences qui personnalisent le comportement des applications et des utilitaires. Pour plus d’informations, consultez la section “Utilisation de l’éditeur de préférences avec les manifestes de préférences” à la page 212. • Informations de l’utilisateur. Vous pouvez saisir et modifier les données personnelles de chaque utilisateur, notamment son adresse, ses numéros de téléphone, ses noms iChat et l’adresse URL de sa page Web. L’application Carnet d’adresses peut accéder à ces informations. Pour plus d’informations, consultez la section “Utilisation des réglages d’informations pour les utilisateurs” à la page 96. Contenu de ce guide Ce guide est organisé comme suit : • le chapitre 1, “Vue d’ensemble de la gestion des utilisateurs” expose d’importants concepts, présente les outils de gestion des utilisateurs et vous indique où trouver des informations supplémentaires sur la gestion des utilisateurs et des sujets connexes ; • le chapitre 2, “Introduction à la gestion des utilisateurs” décrit comment utiliser des fonctions et des raccourcis afin d’obtenir une efficacité maximale lors de la configuration et de la maintenance des comptes et des préférences gérées ; • le chapitre 3, “Gestion des utilisateurs pour des clients mobiles” présente les éléments à prendre en compte pour gérer des ordinateurs portables ; • les chapitres 4, 5 et 6 décrivent l’utilisation du Gestionnaire de groupe de travail pour configurer les utilisateurs, les groupes et les listes d’ordinateurs ; • le chapitre 7, “Configuration des répertoires de départ” aborde la création des répertoires de départ ; • le chapitre 8, “Vue d’ensemble de la gestion des clients” présente les outils et les concepts de gestion de clients tels que la personnalisation de l’environnement de travail d’un utilisateur et l’accès aux ressources réseau ; • le chapitre 9, “Gestion des préférences” explique comment utiliser le Gestionnaire de groupe de travail pour contrôler les réglages de préférences des utilisateurs, des groupes et des ordinateurs qui utilisent Mac OS X ; • le chapitre 10, “Gestion des présentations de réseau” explique comment créer des présentations de réseau dans le Gestionnaire de groupe de travail pour personnaliser l’environnement de navigation de chaque ordinateur et contrôler le contenu du dossier Réseau situé dans le Finder de l’ordinateur concerné ; F0170.book Page 14 Monday, May 2, 2005 12:37 PMPréface À propos de ce guide 15 • le chapitre 11, “Résolution des problèmes” vous aide à résoudre les problèmes de création de compte, de maintenance des répertoires de départ, de gestion des préférences ou de configuration client, ainsi que les problèmes rencontrés par vos clients gérés ; • l’annexe A, “Importation et exportation d’informations de compte” fournit des informations utiles pour transférer les informations d’un compte de ou vers un fichier externe ; • l’annexe B, “Autorisations de liste ACL et adhésions de groupe via GUID” décrit un identifiant d’utilisateur disponible depuis la version 10.4 ; • le glossaire définit les termes utilisés dans ce guide. Remarque : étant donné qu’Apple publie régulièrement de nouvelles versions et mises à jour de ses logiciels, les illustrations de ce document peuvent être différentes de celles qui s’affichent à l’écran. Utilisation de l’aide à l’écran Si vous souhaitez manipuler des comptes, modifier des réglages de préférences, configurer de nouveaux répertoires de départ ou effectuer d’autres tâches d’administration quotidiennes, vous trouverez des instructions détaillées dans l’aide en ligne du Gestionnaire de groupe de travail. Bien que toutes ces tâches d’administration soient également décrites dans ce guide, il est parfois plus commode de les consulter à l’écran pendant que vous utilisez le serveur. Sur un ordinateur qui exécute Mac OS X Server, vous pouvez accéder à l’aide à l’écran après avoir ouvert le Gestionnaire de groupe de travail ou Admin Serveur. À partir du menu d’aide, sélectionnez l’une des options : • Aide Gestionnaire de groupe de travail ou Aide Admin Serveur affiche des informations sur l’application. • Aide Mac OS X Server affiche la page d’aide principale du serveur, à partir de laquelle vous pouvez rechercher des informations sur le serveur. • Documentation vous permet d’accéder au site www.apple.com/fr/server/documentation, à partir duquel vous pouvez télécharger la documentation du serveur. Vous pouvez également accéder à l’aide à l’écran à partir du Finder ou d’autres applications d’un serveur ou d’un ordinateur administrateur. Un ordinateur administrateur est un ordinateur Mac OS X sur lequel est installé un logiciel d’administration de serveur. Utilisez le menu Aide afin d’ouvrir Visualisation Aide, puis choisissez Bibliothèque > Aide Mac OS X Server. F0170.book Page 15 Monday, May 2, 2005 12:37 PM16 Préface À propos de ce guide Pour consulter les toutes dernières rubriques d’aide, assurez-vous que l’ordinateur serveur ou administrateur est connecté à Internet lorsque vous utilisez Visualisation Aide. Visualisation Aide extrait et met en cache automatiquement les toutes dernières rubriques d’aide sur Internet concernant le serveur. Lorsque vous n’êtes pas connecté à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache. La suite Mac OS X Server La documentation de Mac OS X Server comprend une série de guides présentant les services offerts ainsi que les instructions relatives à leur configuration, leur gestion et leur dépannage. Tous les guides sont disponibles au format PDF via : www.apple.com/fr/server/documentation/ Ce guide … explique comment : Mac OS X Server Premiers contacts avec la version 10.4 ou ultérieure installer Mac OS X Server et le configurer pour la première fois. Mac OS X Server Mise à niveau et migration vers la version 10.4 ou ultérieure utiliser les données et réglages des services actuellement utilisés sur les versions antérieures du serveur. Mac OS X Server Gestion utilisateur pour la version 10.4 ou ultérieure créer et gérer les utilisateurs, groupes et listes d’ordinateurs ; configurer les préférences gérées des clients Mac OS X. Mac OS X Server Administration du service de fichiers pour la version 10.4 ou ultérieure partager des volumes ou dossiers de serveur sélectionnés parmi les clients du serveur via les protocoles suivants : AFP, NFS, FTP et SMB/CIFS. Mac OS X Server Administration du service d'impression pour la version 10.4 ou ultérieure héberger les imprimantes partagées et gérer les files d’attente et travaux d’impression associés. Mac OS X Server Administration de mises à jour de logiciels et d'images de système pour la version 10.4 ou ultérieure utiliser NetBoot et Installation en réseau pour créer des images disque à partir desquelles les ordinateurs Macintosh peuvent démarrer sur le réseau ; configurer un serveur de mise à jour de logiciels pour la mise à jour d’ordinateurs clients via le réseau. Mac OS X Server Administration du service de courrier pour la version 10.4 ou ultérieure installer, configurer et administrer les services de courrier sur le serveur. Mac OS X Server Administration de technologies Web pour la version 10.4 ou ultérieure configurer et gérer un serveur Web, dont WebDAV, WebMail, et les modules Web. Mac OS X Server Administration de services de réseaux pour la version 10.4 ou ultérieure installer, configurer et administrer DHCP, DNS, VPN, NTP, coupe-feu IP et services NAT sur le serveur. Mac OS X Server Administration d'Open Directory pour la version 10.4 ou ultérieure gérer les services de répertoires et d’authentification. F0170.book Page 16 Monday, May 2, 2005 12:37 PMPréface À propos de ce guide 17 Informations complémentaires La ressource suivante peut s’avérer utile quelle que soit votre expérience en tant qu’administrateur de réseau : Formation des clients Apple — cours en salle et autoformations afin de développer vos compétences en termes d’administration de serveur. train.apple.com/ Si vous êtes novice en gestion de serveur et de réseau Pour plus d’informations, consultez les ressources suivantes : Site Web de Mac OS X Server — passerelle vers des informations détaillées sur des produits et technologies. www.apple.com/fr/macosx/server/ Mac OS X Server Administration du Serveur Enchaînement QuickTime pour la version 10.4 ou ultérieure configurer et gérer les services d’enchaînement QuickTime. Mac OS X Server Administration des services Windows pour la version 10.4 ou ultérieure configurer et gérer des services tels que PDC, BDC, fichiers et impression pour les utilisateurs d’ordinateurs Windows. Mac OS X Server Migration à partir de Windows NT pour la version 10.4 ou ultérieure déplacer des comptes, des dossiers partagés et des services à partir de serveurs Windows NT vers Mac OS X Server. Mac OS X Server Administration du serveur d’applications Java pour la version 10.4 ou ultérieure configurer et administrer un serveur d’applications JBoss sur Mac OS X Server. Mac OS X Server Administration de la ligne de commande pour la version 10.4 ou ultérieure utiliser les commandes et les fichiers de configuration pour exécuter les tâches d’administration du serveur via l’interpréteur de commandes UNIX. Mac OS X Server Administration des services de collaboration pour la version 10.4 ou ultérieure configurer et gérer Weblog, iChat et d’autres services qui facilitent les interactions entre utilisateurs. Mac OS X Server Administration de la haute disponibilité pour la version 10.4 ou ultérieure gérer le basculement IP, l’agrégation des liens, l’équilibrage de charge et d’autres configurations matérielles et logicielles pour garantir la haute disponibilité des services Mac OS X Server. Mac OS X Server Administration d'Xgrid pour la version 10.4 ou ultérieure gérer des clusters de calcul Xserve à l’aide de l’application Xgrid. Mac OS X Server Glossaire : inclut la terminologie pour Mac OS X Server, Xserve, Xserve RAID et Xsan interpréter les termes utilisés pour les produits de serveur et les produits de stockage. Ce guide … explique comment : F0170.book Page 17 Monday, May 2, 2005 12:37 PM18 Préface À propos de ce guide Service & Support AppleCare — accédez à des centaines d’articles provenant de l’organisation d’assistance d’Apple. www.apple.com/fr/support/ Groupes de discussion Apple — moyen de partager des questions, des connaissances et des conseils avec d’autres administrateurs. discussions.info.apple.com/ Documents de référence,— publications telles que les titres ci-dessous. Ces ouvrages proposent des informations générales, des explications de concepts élémentaires et des idées pour tirer le meilleur parti de votre réseau : • Teach Yourself Networking Visually, de Paul Whitehead et Ruth Maran (Éd. IDG Books Worldwide, 1998). • Internet and Intranet Engineering, de Daniel Minoli (Éd. McGraw-Hill, 1997). Si vous êtes un administrateur de serveur chevronné Pour plus d’informations, consultez les ressources suivantes : Documents Ouvrez-moi—mises à jour importantes et informations spécifiques. Recherchez-les sur les disques du serveur. Site Web de Mac OS X Server — passerelle vers des informations détaillées sur des produits et technologies. www.apple.com/fr/macosx/server/ Service & Support AppleCare — accédez à des centaines d’articles provenant de l’organisation d’assistance d’Apple. www.apple.com/fr/support/ Groupes de discussion Apple — moyen de partager des questions, des connaissances et des conseils avec d’autres administrateurs. discussions. info.apple.com/ Répertoire de listes de diffusion Apple — abonnez-vous à des listes de diffusion afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs. www.lists.apple.com/ Documents de référence — de nombreuses publications sont disponibles à partir de ressources en ligne telles que l’adresse suivante : www.ora.com Pour en savoir plus sur Apache, rendez-vous sur le site www.apache.org/. F0170.book Page 18 Monday, May 2, 2005 12:37 PM1 19 1 Vue d’ensemble de la gestion des utilisateurs Ce chapitre présente d’importants concepts de gestion des utilisateurs et décrit les applications que vous utiliserez pour gérer les comptes et les autorisations. La gestion des utilisateurs comprend toute une série de tâches allant de la configuration des comptes d’accès aux réseaux et la création de répertoires de départ à la gestion des préférences et des réglages d’utilisateur, de groupe et de liste d’ordinateurs. Mac OS X Server fournit les outils permettant d’exécuter l’ensemble de ces tâches. Outils de gestion des utilisateurs Parmi les principaux outils et applications de gestion des utilisateurs de Mac OS X Server, on trouve le Gestionnaire de groupe de travail, Admin Serveur, NetBoot et Installation en réseau. Gestionnaire de groupe de travail Le Gestionnaire de groupe de travail est un outil puissant qui offre toute une gamme de fonctions destinées à la gestion complète des clients Macintosh. Vous pouvez soit utiliser le Gestionnaire de groupe de travail directement à partir du serveur, soit l’installer indépendamment du logiciel Mac OS X Server sur un ordinateur client non serveur. Le Gestionnaire de groupe de travail fournit aux administrateurs de réseau une méthode centralisée pour gérer des stations de travail Mac OS X, contrôler l’accès aux logiciels et aux disques amovibles et garantir aux utilisateurs une expérience à la fois homogène et personnalisée, tant pour les élèves débutants d’une classe que pour des utilisateurs expérimentés travaillant dans une entreprise. F0170.book Page 19 Monday, May 2, 2005 12:37 PM20 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Le Gestionnaire de groupe de travail vous permet de créer des comptes d’utilisateur et de configurer des groupes afin d’offrir un accès aisé aux ressources. Il est possible d’ajouter et de configurer des listes d’ordinateurs afin d’autoriser ou de refuser à des utilisateurs ou des groupes l’accès à certains ordinateurs ou certaines imprimantes. Vous pouvez gérer les réglages d’utilisateur pour le courrier électronique, l’impression et les dossiers de départ. Le Gestionnaire de groupe de travail vous aide à configurer et à gérer les points de partage. Il est également possible d’utiliser les réglages de compte et les préférences gérées pour une flexibilité plus ou moins importante, en fonction du niveau de contrôle d’administration souhaité. Lorsque le Gestionnaire de groupe de travail est utilisé conjointement avec d’autres services Mac OS X Server, vous pouvez : • connecter les utilisateurs entre eux à l’aide de services tels que le courrier, le partage de fichiers, iChat et Weblog ; • partager des ressources système, telles qu’imprimantes et ordinateurs, en optimisant leur disponibilité lorsque les utilisateurs se déplacent et en veillant à ce que l’espace disque et l’utilisation des imprimantes soient partagés de façon équitable ; • personnaliser les environnements de travail, tels que les ressources de bureau et les fichiers personnels, des utilisateurs du réseau. Gestion des préférences Vous pouvez utiliser le Gestionnaire de groupe de travail de Mac OS X Server pour adapter les environnements de travail des clients Mac OS X. Les préférences que vous définissez pour des utilisateurs et des groupes individuels procurent un environnement uniforme de bureau, d’application et de réseau, quel que soit l’ordinateur Macintosh utilisé pour la connexion. Les préférences définies pour les listes d’ordinateurs permettent aux utilisateurs de disposer des mêmes conditions d’utilisation sur les ordinateurs de la liste. Pour en savoir plus sur les outils et les concepts de gestion des clients, lisez le chapitre 8, “Vue d’ensemble de la gestion des clients”. Répertoires de départ Un répertoire de départ est un dossier servant à stocker les fichiers et préférences d’un utilisateur. Les autres utilisateurs peuvent voir le répertoire de départ d’un utilisateur et lire des fichiers dans son dossier Public mais ils ne peuvent pas (par défaut) accéder à autre chose dans ce répertoire. Ceci est valable uniquement pour les utilisateurs dont les dossiers de départ figurent sur le même serveur ou point de partage. Lorsque vous créez un utilisateur dans un domaine de répertoire réseau, vous devez spécifier l’emplacement de son répertoire de départ sur le réseau. Cet emplacement est stocké dans le compte d’utilisateur et utilisé par divers services, dont la fenêtre d’ouverture de session et les services clients gérés par Mac OS X. F0170.book Page 20 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 21 La fonctionnalité de répertoire de départ portable permet de synchroniser automatiquement (ou à la demande) le dossier de départ local et le dossier de départ réseau d’un utilisateur mobile. Il est possible également de contrôler la synchronisation via des préférences gérées. Pour plus d’informations sur les comptes mobiles, lisez le chapitre 3, “Gestion des utilisateurs pour des clients mobiles”. Réglages de courrier Pour créer le compte de service de courrier Mac OS X Server d’un utilisateur, configurez les réglages du courrier dans son compte d’utilisateur. Pour utiliser le compte de courrier électronique, il suffit à l’utilisateur de configurer un client de courrier à l’aide des réglages de courrier que vous spécifiez. Les réglages de compte de courrier vous permettent de contrôler l’accès d’un utilisateur aux services de courrier exécutés sur un ordinateur Mac OS X Server particulier. Vous pouvez également gérer des caractéristiques de compte, telles que le mode de gestion de la notification automatique des messages entrants, pour les comptes de courrier résidant sur les serveurs qui utilisent des versions de Mac OS X antérieures à 10.3. Pour plus de détails sur les réglages du service de courrier Mac OS X, consultez le guide d’administration du service de courrier. Utilisation de ressources Les quotas de disque, d’impression et de courrier peuvent être stockés dans un compte d’utilisateur. Les quotas de courrier et de disque limitent le nombre de méga-octets disponibles pour le courrier et les fichiers d’un utilisateur. Les quotas d’impression limitent le nombre de pages qu’un utilisateur peut imprimer à l’aide des services d’impression de Mac OS X Server. Les quotas d’impression peuvent également servir à désactiver complètement l’accès au service d’impression d’un utilisateur. Les réglages d’impression d’un utilisateur fonctionnent conjointement avec ceux du serveur d’impression décrits dans le guide d’administration du service d’impression. F0170.book Page 21 Monday, May 2, 2005 12:37 PM22 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Admin Serveur L’application Admin Serveur fournit l’accès à divers outils et services qui jouent un rôle dans la gestion du serveur. Ceci a un impact direct sur la gestion de l’utilisateur. Une fois que vous avez installé le logiciel Mac OS X Server, configuré les services de répertoire et mis en place votre réseau, vous pouvez commencer à créer et à gérer des comptes à l’aide du Gestionnaire de groupe de travail. Après avoir configuré des comptes et des répertoires de départ, vous pouvez utiliser Admin Serveur pour configurer des services supplémentaires et fournir le service de courrier, héberger des sites Web ou partager des imprimantes. Vous pouvez ensuite utiliser le Gestionnaire de groupe de travail pour créer des points de partage et autoriser les utilisateurs à partager des dossiers et des fichiers une fois le serveur configuré. Pour plus d’informations sur l’utilisation des outils Admin Serveur, reportez-vous aux documents figurant dans le tableau ci-dessous. Pour renseignez-vous sur dans le document attribuer des autorisations d’accès aux dossiers et fichiers d’un point de partage le gestionnaire de groupe de travail Administration des services de fichiers Mac OS X Server, version 10.4 ou ultérieure partager des imprimantes entre les utilisateurs le service d’impression Administration du service d’impression Mac OS X Server, version 10.4 ou ultérieure installer des sites Web ou la gestion WebDAV sur le serveur le service Web Administration des technologies Web de Mac OS X Server, version 10.4 ou ultérieure fournir des services de messagerie électronique aux utilisateurs le service de courrier Administration du service de courrier Mac OS X Server, version 10.4 ou ultérieure diffuser des données multimédias en temps r éel à partir du serveur le service d’enchaînement QuickTime Administration du Serveur Enchaînement QuickTime de Mac OS X Server, version 10.4 ou ultérieure fournir un système d’exploitation et des dossiers d’applications identiques aux ordinateurs clients l’Admin Serveur Mac OS X Server Administration de mises à jour de logiciels et d'images de système pour la version 10.4 ou ultérieure installer des applications sur l’ensemble d’un réseau l’installation en réseau Mac OS X Server Administration de mises à jour de logiciels et d'images de système pour la version 10.4 ou ultérieure partager des informations entre plusieurs ordinateurs Mac OS X Server ou Mac OS X les services de répertoires Administration d’Open Directory de Mac OS X Server, version 10.4 ou ultérieure F0170.book Page 22 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 23 NetBoot Avec NetBoot, les ordinateurs Mac OS 9 et Mac OS X peuvent démarrer à partir d’une image disque système en réseau, ce qui permet de configurer rapidement et aisément des services, des salles de classe et des systèmes individuels, ainsi que de serveurs Web et d’applications sur l’ensemble d’un réseau. Lorsque vous mettez à jour des images NetBoot, tous les ordinateurs qui utilisent NetBoot ont immédiatement accès à la nouvelle configuration. Les clients Macintosh peuvent démarrer à partir d’une image disque système située sur Mac OS X Server au lieu du disque dur de l’ordinateur client. Vous pouvez configurer plusieurs images de disque NetBoot et ainsi faire démarrer des clients dans Mac OS 9 ou X, ou même personnaliser des environnements Macintosh pour différents groupes de clients. NetBoot peut simplifier l’administration et réduire la gestion normalement associée aux déploiements à grande échelle des systèmes Macintosh en réseau. NetBoot est la solution idéale pour les organisations dont bon nombre des ordinateurs client ont besoin d’être configurés de manière identique. NetBoot peut par exemple constituer une solution idéale pour un centre de données nécessitant plusieurs serveurs d’applications et serveurs Web configurés de manière identique. Avec NetBoot, les administrateurs peuvent configurer et mettre à jour les ordinateurs clients instantanément, en mettant simplement à jour une image de démarrage stockée sur le serveur. Chaque image contient le système d’exploitation et les dossiers d’application de tous les clients du serveur. Toutes les modifications apportées au serveur sont automatiquement reportées sur les clients lorsqu’ils redémarrent. Les systèmes endommagés ou altérés de quelque autre façon peuvent être restaurés de manière instantanée par simple redémarrage. Il existe plusieurs autres applications d’administration NetBoot : • NetBoot Desktop Admin (pour la modification des images Mac OS 9) • Utilitaire d’images de système (pour la création et la modification d’images Mac OS X) • DHCP et NetBoot (utilisés ensemble pour enregistrer des images NetBoot) Pour en savoir plus sur ces outils ou sur l’installation d’un système d’exploitation sur l’ensemble d’un réseau, lisez le guide d’administration des images système et de mise à jour de logiciels. F0170.book Page 23 Monday, May 2, 2005 12:37 PM24 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Installation en réseau L’application Installation en réseau est un service d’installation de logiciels de réseau centralisé. Grâce à elle, vous pouvez, de manière automatique et sélective, installer, restaurer ou mettre à jour des systèmes Macintosh en réseau, où que ce soit dans une structure. Utilisez PackageMaker (accès via Xcode) pour créer des paquets d’Installation en réseau. Les images d’installation peuvent contenir la dernière version de Mac OS X, une mise à jour de logiciels, des applications personnalisées ou dotées d’une licence de site et des scripts de configuration. • Installation en réseau est la solution idéale pour la migration de systèmes d’exploitation, l’installation de mises à jour de logiciels et de progiciels personnalisés, la restauration de salles d’informatique ainsi que pour réimager des ordinateurs de bureau ou portables. • Dans une structure, vous pouvez définir des images d’installation personnalisées pour divers départements :marketing, ingénierie et ventes par exemple. Avec Installation réseau, inutile d’insérer plusieurs CD pour configurer un système. L’ensemble des fichiers et des paquets d’installation se trouvent sur le serveur et sont installés en une fois sur l’ordinateur client. Installation réseau contient aussi des scripts de pré et post-installation servant à invoquer des actions avant ou après l’installation d’un ensemble de logiciels ou d’une image système. Pour en savoir plus sur l’utilisation d’Installation réseau, lisez le guide d’administration des images système et de mise à jour de logiciels. Comptes Vous pouvez configurer trois types de comptes à l’aide du Gestionnaire de groupe de travail : comptes d’utilisateur, comptes de groupe et listes d’ordinateurs. Lorsque vous définissez un compte d’utilisateur, vous devez fournir les informations nécessaires pour prouver l’identité de l’utilisateur : nom d’utilisateur, mot de passe et numéro d’identification d’utilisateur (ID utilisateur) D’autres informations de compte d’utilisateur sont requises par plusieurs services afin de déterminer ce que l’utilisateur a le droit de faire et de personnaliser éventuellement son environnement. Outre les comptes que vous créez, Mac OS X Server dispose de comptes d’utilisateur et de comptes de groupe prédéfinis, certains étant réservés au système Mac OS X. F0170.book Page 24 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 25 Comptes d’administrateur Les utilisateurs dotés d’autorisations d’administration de serveur ou de domaine de répertoires sont appelés administrateurs. Un administrateur peut être administrateur de serveur ou de domaine ou les deux à la fois. Les autorisations d’administrateur de serveur déterminent si l’utilisateur est autorisé à accéder aux informations sur les réglages d’un serveur donné ou à modifier ces réglages. Les autorisations d’administrateur de domaine déterminent dans quelle mesure l’utilisateur est autorisé à voir ou à modifier les réglages de compte des utilisateurs, des groupes et des listes d’ordinateurs du domaine de répertoires. Administration du serveur Les autorisations d’administration de serveur déterminent les pouvoirs dont dispose un utilisateur lorsqu’il est connecté à un Mac OS X Server spécifique. Par exemple : • Un administrateur de serveur peut utiliser Admin Serveur et modifier la politique de recherche d’un serveur à l’aide de Format de répertoire. • Un administrateur de serveur ne voit pas seulement les points de partage, il peut également voir tous les répertoires AFP sur le serveur (depuis un ordinateur autre que le serveur). Lorsque vous attribuez des autorisations d’administration de serveur à un utilisateur, ce dernier est ajouté au groupe prédéfini appelé “admin” dans le domaine de répertoire local du serveur. De nombreuses applications Mac OS X, telles qu’Admin Serveur, Format de répertoire et Préférences Système, utilisent le groupe admin pour déterminer si un utilisateur donné peut réaliser certaines opérations d’administration à l’aide de l’une d’entre elles. Dans le répertoire local du serveur, l’identifiant d’utilisateur de l’administrateur principal (l’utilisateur admin) est 501. Administration d’ordinateurs Mac OS X locaux Quiconque appartenant au groupe “admin” du domaine de répertoires local de tout ordinateur Mac OS X bénéficie de droits d’administration sur cet ordinateur. Administration de domaines de répertoires Lorsque vous créez un domaine de répertoires dans Mac OS X Server, un compte d’administrateur de domaine est également créé et ajouté au groupe admin du domaine. L’identifiant d’utilisateur par défaut de l’administrateur de domaine est 1000 lorsque la zone de dialogue de création du compte s’affiche ; c’est également dans cette zone de dialogue que vous devez choisir vos nom et mot de passe. Le compte d’administrateur de domaine est également un compte d’administrateur de serveur, mais l’administrateur de serveur n’est pas un administrateur de domaine par défaut. Chaque répertoire dispose d’un compte d’administrateur de domaine indépendant et un administrateur de domaine peut créer des administrateurs supplémentaires dans le même domaine. F0170.book Page 25 Monday, May 2, 2005 12:37 PM26 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Vous pouvez autoriser certains utilisateurs à gérer des comptes spécifiques. Par exemple, vous pouvez faire d’un administrateur de réseau l’administrateur de tous les serveurs de votre salle de classe, mais donner à chaque professeur les autorisations pour gérer les comptes d’étudiant dans des domaines de répertoires spécifiques. Tout utilisateur disposant d’un compte d’utilisateur dans un domaine de répertoires peut être nommé administrateur de domaine de répertoires (administrateur de ce domaine). Vous pouvez contrôler dans quelle mesure un administrateur de domaine de répertoire peut modifier les données de compte stockées dans un domaine. Vous pouvez, par exemple, configurer des autorisations de domaine de répertoire afin que votre administrateur de réseau puisse ajouter et supprimer des comptes d’utilisateur, mais que d’autres utilisateurs puissent modifier les informations concernant des utilisateurs particuliers. Vous pouvez également désigner plusieurs administrateurs pour gérer différents groupes. Lorsque vous attribuez des autorisations d’administration de domaine de répertoires à un utilisateur, cet utilisateur est ajouté au groupe d’administration du serveur sur lequel est situé le domaine de répertoires. Utilisateurs et utilisateurs gérés En fonction de la configuration de votre serveur et de vos comptes d’utilisateur, les utilisateurs peuvent se connecter à l’aide d’ordinateurs Mac OS 9 et Mac OS X, Windows ou UNIX et être pris en charge par Mac OS X Server. La plupart des utilisateurs disposent d’un compte individuel qui sert à les authentifier et à contrôler leur accès aux services. Si vous souhaitez personnaliser l’environnement d’un utilisateur, vous devez définir des préférences d’utilisateur, de groupe ou d’ordinateur pour cet utilisateur. Le terme client géré ou utilisateur géré désigne un utilisateur dont les préférences associées à son compte sont contrôlées par un administrateur. Le terme client géré est également utilisé pour désigner des listes d’ordinateurs dont les préférences ont été définies. Lorsqu’un utilisateur géré ouvre une session, les préférences qui prennent effet sont une combinaison de ses préférences d’utilisateur et des préférences configurées pour tout groupe de travail ou toute liste d’ordinateurs auxquels il appartient. Pour obtenir des informations sur les utilisateurs gérés, consultez le chapitre 9, “Gestion des préférences”, à la page 157. Utilisateurs invités Vous serez amené à fournir des services à des personnes anonymes, qui ne peuvent être authentifiées car elles ne disposent pas d’un nom d’utilisateur et d’un mot de passe valides. Ces utilisateurs sont appelés utilisateurs invités. F0170.book Page 26 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 27 Certains services, par exemple AFP, vous permettent de spécifier si vous souhaitez que les utilisateurs invités puissent accéder aux fichiers. Si vous permettez l’accès aux invités, les utilisateurs se connectant de façon anonyme ne pourront accéder qu’aux fichiers et dossiers dont les autorisations sont réglées sur Tous. Le compte d’utilisateur invité est utilisé lorsqu’aucun enregistrement d’utilisateur concordant n’est trouvé pendant l’authentification. Groupes, groupes principaux et groupes de travail Un groupe consiste simplement en un ensemble d’utilisateurs ayant des besoins similaires. Vous pouvez, par exemple, constituer un seul groupe avec tous vos professeurs d’anglais et lui donner des autorisations d’accès à certains fichiers ou dossiers d’un volume. Les groupes simplifient l’administration des ressources partagées. Plutôt que d’accorder individuellement l’accès de diverses ressources à chaque utilisateur qui en a besoin, vous pouvez tout simplement ajouter les utilisateurs à un groupe et accorder l’accès à tous les utilisateurs de ce groupe. Les informations des comptes de groupe sont utilisées pour aider à contrôler l’accès des utilisateurs aux répertoires et aux fichiers. Consultez “Accès par d’autres utilisateurs aux répertoires et fichiers” à la page 32 pour en savoir plus à ce sujet. Les groupes peuvent en outre être imbriqués dans d’autres groupes. Un groupe peut, par exemple, faire partie d’un autre groupe. Un groupe qui contient un autre groupe est appelé “groupe parent” ; le groupe inclus est appelé “groupe imbriqué”. Les groupes imbriqués permettent d’hériter d’autorisations d’accès et de préférences gérées à l’ouverture de session. Dossiers de groupe Lorsque vous définissez un groupe, vous pouvez également spécifier un dossier pour le stockage des fichiers que vous souhaitez voir partagés par les membres du groupe. L’emplacement du dossier est enregistré dans le compte du groupe. Vous pouvez attribuer à un utilisateur donné une autorisation en écriture sur un dossier de groupe ou l’autoriser à modifier les attributs d’un dossier de groupe dans le Finder. Goupes de travail Un groupe pour lequel vous définissez des préférences est appelé groupe de travail. Un groupe de travail vous permet de gérer l’environnement de travail des membres de ce groupe. Toute préférence définie pour un groupe de travail Mac OS X est stockée dans le compte de groupe. Pour obtenir une description des préférences de groupe de travail, consultez le chapitre 9, “Gestion des préférences”, à la page 157. F0170.book Page 27 Monday, May 2, 2005 12:37 PM28 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Listes d’ordinateurs Une liste d’ordinateurs comprend un ou plusieurs ordinateurs possédant les mêmes réglages de préférence et disponibles pour des utilisateurs et des groupes particuliers. Vous pouvez créer et modifier des listes d’ordinateurs dans le Gestionnaire de groupe de travail. Pour en savoir plus sur la configuration de listes d’ordinateurs pour des ordinateurs clients Mac OS X, consultez le chapitre 6, “Configuration de listes d’ordinateurs” Pour spécifier les préférences des listes d’ordinateurs Mac OS X, consultez le chapitre 9, “Gestion des préférences”. Ordinateurs hôtes La plupart des ordinateurs de votre réseau sont répertoriés dans une liste d’ordinateurs dotée d’un nom. Si un ordinateur inconnu (ne figurant pas sur une liste d’ordinateurs) se connecte à votre réseau et tente d’accéder à des services, il doit être traité en tant qu’ordinateur hôte. Les réglages choisis pour la liste d’ordinateurs hôtes s’appliquent à ces ordinateurs inconnus. Une liste d’ordinateurs hôtes est automatiquement créée pour un domaine de répertoires local de serveur. Si le serveur est un maître ou une réplique Open Directory, une liste d’ordinateurs hôtes est également créée pour son domaine de répertoires LDAP. Utilisation côté utilisateur Une fois que vous avez créé un compte d’utilisateur, ce dernier peut accéder aux ressources du serveur en fonction des autorisations que vous lui avez accordées. Pour la plupart des utilisateurs, le flux habituel d’événements allant de la connexion à la déconnexion se déroule comme suit : • Authentification L’utilisateur saisit un nom et un mot de passe. • Validation de l’identité Le nom d’utilisateur et le mot de passe sont vérifiés par les services de répertoires. • Ouverture de session L’utilisateur obtient le droit d’accéder au serveur et aux ressources réseau. • Accès L’utilisateur se connecte aux serveurs, aux points de partage et aux applications autorisés afin de les utiliser. • Fermeture de session La session de l’utilisateur est terminée. Les détails de l’expérience d’utilisateur peuvent varier selon le type d’utilisateur, les autorisations accordées, le type d’ordinateur client (Windows ou UNIX, par exemple) utilisé, le fait que l’utilisateur est membre d’un groupe ou non, ainsi que le niveau d’implémentation de la gestion des préférences (utilisateur, groupe ou ordinateur). F0170.book Page 28 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 29 Vous trouverez des informations sur l’expérience d’utilisateur Mac OS X au chapitre 8, “Vue d’ensemble de la gestion des clients”. Les informations de base sur l’authentification, la validation du mot de passe et le contrôle de l’accès aux informations sont données dans les sections suivantes. Pour obtenir des informations détaillées sur ces sujets, lisez le guide d’administration des services de fichiers. Authentification Avant qu’un utilisateur ne puisse ouvrir une session ou se connecter sur un ordinateur Mac OS X, il doit entrer un nom et un mot de passe associés à un compte d’utilisateur identifiable par l’ordinateur. Un ordinateur Mac OS X peut situer des comptes d’utilisateur stockés dans un domaine de répertoires de la politique de recherche. • Un domaine de répertoire conserve des informations sur les utilisateurs et les ressources. Il est similaire à une base de données à laquelle la configuration d’un ordinateur prévoit un accès en vue de recueillir des informations de configuration. • Une politique de recherche est une liste de domaines de répertoires dans laquelle l’ordinateur procède à des recherches lorsqu’il a besoin d’informations de configuration, en commençant par le domaine de répertoires local situé sur l’ordinateur de l’utilisateur. Le guide d’administration Open Directory décrit les différents types de domaines de répertoires et explique la configuration des politiques de recherche sur tout ordinateur Mac OS X. Il détaille également différents types de méthodes et d’instructions d’authentification pour la configuration des options d’authentification de l’utilisateur. L’illustration suivante montre un utilisateur qui ouvre une session sur un ordinateur Mac OS X capable de situer le compte de cet utilisateur dans un domaine de répertoires de sa politique de recherche. Se connecter à Mac OS X Domaines de répertoires dans la politique de recherche F0170.book Page 29 Monday, May 2, 2005 12:37 PM30 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Après connexion, l’utilisateur peut se connecter à un ordinateur Mac OS X distant si son compte d’utilisateur peut être repéré dans la politique de recherche de cet ordinateur distant. Si Mac OS X localise un compte d’utilisateur contenant le nom saisi par l’utilisateur, il tente de valider le mot de passe associé au compte. Si le mot de passe est validé, l’utilisateur est authentifié et le processus de connexion terminé. Une fois sa session ouverte sur l’ordinateur Mac OS X, l’utilisateur peut accéder à l’ensemble des ressources définies dans les répertoires compris dans le chemin de recherche de son ordinateur, notamment les répertoires de départ, les imprimantes et les points de partage. Un point de partage est un disque dur (ou une partition de disque dur), un CD-ROM ou un dossier qui contient les fichiers que vous souhaitez voir partagés entre les utilisateurs. Les utilisateurs peuvent accéder à leur répertoire de départ en cliquant sur leur dossier de départ dans une fenêtre du Finder ou en choisissant Départ dans le menu Aller du Finder. L’utilisateur n’est toutefois pas obligé de se connecter à un serveur pour accéder aux ressources réseau. Par exemple, lorsqu’un utilisateur se connecte à un ordinateur Mac OS X, il peut accéder aux fichiers pour lesquels il dispose d’une autorisation d’accès sur l’ordinateur, même si le système de fichiers l’invite à saisir au préalable un nom et un mot de passe d’utilisateur. Lorsqu’un utilisateur accède aux ressources publiques d’un serveur sans avoir ouvert de session sur le serveur, c’est la politique de recherche de l’ordinateur de l’utilisateur qui est appliquée et non celle de l’ordinateur auquel l’utilisateur s’est connecté. Domaines de répertoires dans la politique de recherche Se connecter à Mac OS X Server F0170.book Page 30 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 31 Validation de l’identité Lors de la procédure d’authentification d’un utilisateur, Mac OS X commence par repérer le compte de cet utilisateur, puis recourt à la stratégie de mot de passe désignée dans ce compte pour valider le mot de passe. Open Directory vous offre plusieurs options de validation du mot de passe d’un utilisateur. Pour obtenir des informations détaillées sur les options de validation de mot de passe, lisez le guide d’administration Open Directory. Contrôle de l’accès aux informations Voici les autorisations que vous pouvez spécifier pour chaque répertoire (dossier) ou fichier d’un ordinateur Mac OS X : • le propriétaire du fichier ; • le groupe du fichier ; • tous les autres. Mac OS X utilise une donnée particulière de compte d’utilisateur, l’identifiant d’utilisateur, pour effectuer le suivi des autorisations d’accès aux répertoires et aux fichiers. Compte de l'utilisateur Le mot de passe peut être validé à l'aide de la valeur stockée dans le compte de l'utilisateur ou dans la base de données d'authentification Open Directory. Le mot de passe peut également être validé à l'aide d'une autre autorité d'authentification. Centre de distribution de clés Kerberos Liaison LDAP Authentification Open Directory Possesseur 127 : lecture et écriture Groupe 2017 : lecture seulement Autres : aucun MonDoc F0170.book Page 31 Monday, May 2, 2005 12:37 PM32 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Accès de propriétaire à des répertoires et des fichiers Lorsqu’un répertoire ou un fichier est créé, le système de fichiers stocke l’identifiant de l’utilisateur qui l’a créé. Si un utilisateur doté de cet identifiant accède au répertoire ou au fichier, il dispose par défaut d’autorisations de lecture et d’écriture pour l’élément concerné. De plus, tous les processus initiés par le créateur disposent d’autorisations de lecture et d’écriture pour tous les fichiers associés à l’identifiant d’utilisateur du créateur. Si vous modifiez l’identifiant d’un utilisateur, ce dernier risque de ne plus pouvoir modifier ni même accéder aux fichiers et répertoires qu’il a créés. De même, si l’utilisateur ouvre une session avec un identifiant différent de celui qu’il a utilisé pour créer les fichiers et répertoires, il n’aura plus d’autorisations d’accès de propriétaire à ces derniers. Accès par d’autres utilisateurs aux répertoires et fichiers L’identifiant d’utilisateur, en association avec un identifiant de groupe, est également utilisé pour contrôler l’accès des utilisateurs membres de groupes particuliers ou de groupes parents. Chaque utilisateur appartient à un groupe principal. L’identifiant de groupe principal d’un utilisateur est enregistré dans le compte de l’utilisateur. Lorsqu’un utilisateur accède à un répertoire ou à un fichier dont il n’est pas le propriétaire, le système de fichiers vérifie les autorisations de groupe de ce fichier. • Si l’identifiant de groupe principal de l’utilisateur correspond à l’identifiant du groupe associé au fichier, l’utilisateur hérite des autorisations d’accès du groupe. • Si l’identifiant de groupe principal de l’utilisateur ne correspond pas à l’identifiant de groupe du fichier, Mac OS X recherche le compte de groupe qui possède des autorisations d’accès. Le compte de groupe contient une liste des noms abrégés des utilisateurs membres du groupe. Le système de fichiers fait correspondre chaque nom abrégé du compte de groupe à un identifiant d’utilisateur et, si l’identifiant de l’utilisateur correspond à l’identifiant d’un membre du groupe, l’utilisateur bénéficie des autorisations d’accès du groupe pour le fichier ou le répertoire. • Si l’identifiant de groupe principal de l’utilisateur (ou l’identifiant d’un groupe parent) correspond à l’identifiant du groupe associé au fichier (ou à un groupe parent), l’utilisateur hérite des autorisations d’accès de groupe. • Pour tous les autres cas, l’accès de l’utilisateur est réglé par défaut sur les autorisations génériques “tout le monde/monde”. Identifiants uniques globaux (GUID) Disponible depuis Mac OS X 10.4, l’identifiant universel appelé identifiant unique global (GUID) fournit à l’utilisateur et au groupe une identité pour les autorisations ACL. Le GUID associe également un utilisateur à des adhésions de groupe et de groupe imbriqué. Vous trouverez des informations sur les GUID et leurs implications à l’Annexe B. F0170.book Page 32 Monday, May 2, 2005 12:37 PM2 33 2 Introduction à la gestion des utilisateurs Ce chapitre fournit des informations sur la configuration d’un environnement de gestion des utilisateurs. Il contient des directives générales pour la planification, ainsi que des astuces pour l’utilisation du Gestionnaire de groupe de travail, le principal outil de gestion des utilisateurs : • Une présentation générale de la configuration est proposée ci-après. • La planification des stratégies de gestion des utilisateurs est décrite à partir de la page 40. • Les instructions d’utilisation du Gestionnaire de groupe de travail sont décrites à partir de la page 44. • Les instructions pour le listage et la recherche de comptes dans le Gestionnaire de groupe de travail sont décrites à partir de la page 47. • Les raccourcis pour l’utilisation de comptes sont décrits à partir de la page 52. • La sauvegarde et la restauration des fichiers de gestion des utilisateurs sont décrites à partir de la page 53. Présentation générale de la configuration Cette section fournit une présentation générale des tâches de configuration de la gestion des utilisateurs, afin de vous aider à comprendre l’ordre dans lequel un administrateur doit créer un environnement géré. Toutes les étapes décrites ne seront pas nécessaires dans tous les cas : • Étape 1 : Élaboration d’un programme avant de commencer • Étape 2 : Configuration de l’infrastructure du serveur • Étape 3 : Configuration d’un ordinateur administrateur • Étape 4 : Configuration d’un point de partage de répertoire de départ • Étape 5 : Création de comptes d’utilisateur et de répertoires de départ • Étape 6 : Configuration des ordinateurs clients • Étape 7 :Définition des préférences de comptes d’utilisateur • Étape 8 : Création des comptes de groupe et des dossiers de groupe • Étape 9 :Définition des préférences de comptes de groupe • Étape 10 :Définition des listes et des préférences d’ordinateurs • Étape 11 : Plan de maintenance continue des comptes F0170.book Page 33 Monday, May 2, 2005 12:37 PM34 Chapitre 2 Introduction à la gestion des utilisateurs Étape 1 : Élaboration d’un programme avant de commencer Analysez les besoins de vos utilisateurs pour déterminer la configuration de service de répertoires et la configuration de répertoire de départ appropriées. Consultez la section “Programmation de stratégies pour la gestion des utilisateurs” à la page 40. Étape 2 : Configuration de l’infrastructure du serveur Assurez-vous qu’un ou plusieurs serveurs Mac OS X Server sont configurés pour l’hébergement de comptes d’utilisateur, de comptes de groupe, de listes d’ordinateurs, de répertoires de départ, de dossiers de groupe et d’autres dossiers partagés. Les nouveaux serveurs sont livrés avec les logiciels Mac OS X Server préinstallés. Utilisez Assistant du serveur (situé dans /Applications/Server/) pour procéder à la configuration initiale du serveur. Si vous devez installer des logiciels de serveur, utilisez d’abord le guide Premiers contacts pour comprendre la configuration système requise et les options d’installation. Configurez le serveur pour qu’il héberge des domaines de répertoires partagés ou donne accès à ces derniers. Les domaines de répertoires partagés (appelés également répertoires partagés) contiennent les informations d’utilisateurs, de groupes et d’ordinateurs auxquelles vous souhaitez que de nombreux ordinateurs puissent accéder. Les utilisateurs dont les comptes se trouvent dans un répertoire partagé sont appelés utilisateurs réseau. Il existe différents types de répertoires partagés et différentes manières d’utiliser les informations qui y sont stockées. Vous pouvez utiliser le Gestionnaire de groupe de travail pour ajouter et modifier des comptes d’utilisateur et de groupe qui sont stockés dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans d’autres domaines de répertoires en lecture/écriture. Si vous utilisez des fichiers de configuration LDAPv2, LDAPv3 en lecture seule, BSD ou d’autres répertoires en lecture seule, assurez-vous qu’ils sont configurés pour gérer l’accès à Mac OS X Server et fournissent les données dont vous avez besoin pour les comptes d’utilisateur et de groupe. Il sera peut-être nécessaire d’ajouter, de modifier ou de réorganiser les informations dans un répertoire afin qu’elles soient au format requis. Le guide d’administration d’Open Directory contient des instructions pour la configuration d’un répertoire partagé sous Mac OS X Server ou la configuration de l’accès à un répertoire partagé sur un autre ordinateur. L’une des annexes du guide d’administration d’Open Directory décrit les formats de données de compte reconnus par Mac OS X (informations utiles si vous devez utiliser des répertoires qui ne résident pas sur des ordinateurs Mac OS X Server). F0170.book Page 34 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 35 Si certains de vos utilisateurs utilisent des ordinateurs Windows, consultez le guide d’administration des services Windows pour apprendre comment configurer le serveur pour la gestion d’utilisateurs, de groupes et d’ordinateurs Windows. Le guide d’administration des services Windows décrit, par exemple, comment configurer des comptes d’utilisateur dans un domaine de répertoires Mac OS X Server pour que le serveur puisse fournir des services de fichiers, la connexion au domaine et des répertoires de départ aux utilisateurs Windows. Open Directory offre plusieurs options d’authentification des utilisateurs (y compris des utilisateurs Windows) dont les comptes sont stockés dans des domaines de répertoires sur Mac OS X Server. Open Directory peut en outre accéder à des comptes qui se trouvent dans des répertoires existants sur votre réseau, tels qu’Active Directory sur un serveur Windows. Consultez le guide d’administration Open Directory pour obtenir des instructions sur la configuration. Mac OS X Server rend les ressources importantes visibles sur le réseau. Ces ressources comprennent les répertoires de départ réseau, les dossiers de groupe et d’autres dossiers partagés. Comme ces dossiers résident sur le serveur, les utilisateurs peuvent y accéder à partir de différents ordinateurs. Pour obtenir des informations sur la configuration des services de fichiers qui conviennent au partage de fichiers que vous souhaitez implémenter, consultez le guide d’administration des services de fichiers. Vous pouvez utiliser AFP ou NFS pour les répertoires de départ, AFP pour les dossiers de groupe et divers protocoles (AFP, Windows, NFS et FTP) pour les autres dossiers partagés. Étape 3 : Configuration d’un ordinateur administrateur Comme les serveurs sont installés dans un lieu sûr et verrouillé, les administrateurs effectuent les tâches de gestion d’utilisateurs à distance, à partir de n’importe quel ordinateur Mac OS X exécutant la version 10.4 ou ultérieure. Nous appellerons cet ordinateur l’ordinateur administrateur. Pour configurer un ordinateur administrateur : 1 Procurez-vous un ordinateur sur lequel Mac OS X 10.4 ou ultérieur est installé. Assurez-vous qu’il dispose d’au moins 256 Mo de mémoire RAM et de 1 Go d’espace disque disponible. 2 Introduisez le disque Mac OS X Server Administration Tools dans le lecteur, puis démarrez le programme d’installation (ServerAdmin.pkg). 3 Suivez les instructions à l’écran. F0170.book Page 35 Monday, May 2, 2005 12:37 PM36 Chapitre 2 Introduction à la gestion des utilisateurs 4 Si vous devez gérer des préférences qui utilisent des chemins d’accès spécifiques pour la recherche des fichiers (telles les préférences Classic et Dock), assurez-vous que l’ordinateur administrateur possède la même structure de système de fichiers que tous les ordinateurs clients gérés. En d’autres termes, les noms de dossiers, les disques, l’emplacement des applications, etc. devront être identiques. Pour pouvoir utiliser l’ordinateur administrateur afin de créer et gérer des comptes dans un répertoire partagé, vous devez disposer d’un compte d’utilisateur dans le répertoire partagé et vous devez être un administrateur de domaine. Un administrateur de domaine peut utiliser le Gestionnaire de groupe de travail pour ajouter et modifier des comptes qui se trouvent dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans un autre domaine de répertoires en lecture/écriture. Pour créer un compte d’administrateur de domaine : 1 Sur l’ordinateur administrateur, ouvrez Gestionnaire de groupe de travail, authentifiezvous comme l’administrateur créé lors de la configuration initiale du serveur. 2 Accédez au répertoire partagé en cliquant sur le globe qui se trouve au-dessus de la liste des comptes. Choisissez le répertoire souhaité. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur Nouvel utilisateur. 4 Cliquez sur Élémentaire pour fournir des informations élémentaires pour l’administrateur. 5 Pour attribuer d’autres responsabilités à l’administrateur de domaine, comme par exemple la configuration des services de fichiers pour la gestion des dossiers partagés, sélectionnez “L’utilisateur peut administrer ce domaine”. Une fois que vous avez coché la case, une zone de dialogue apparaît dans laquelle vous pouvez désactiver certaines autorisations pour le compte d’administrateur. Pour plus d’informations, consultez la section “Attributions de droits d’administrateur pour un domaine de répertoire” à la page 83. 6 Cliquer sur Enregistrer. Les étapes restantes peuvent être exécutées par l’administrateur de domaine à partir de l’ordinateur administrateur. Étape 4 : Configuration d’un point de partage de répertoire de départ Les répertoires de départ des comptes stockés dans des répertoires partagés peuvent résider dans un point de partage réseau auquel l’ordinateur de l’utilisateur peut accéder. Le point de partage doit être montable automatiquement, c’est-à-dire qu’il doit y avoir un enregistrement de montage de réseau dans le domaine de répertoires où réside le compte d’utilisateur. F0170.book Page 36 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 37 Un point de partage montable automatiquement garantit que le répertoire de départ est automatiquement visible dans /Network/Servers quand l’utilisateur se connecte à un ordinateur Mac OS X configuré pour pouvoir accéder au répertoire partagé. Il permet aussi à d’autres utilisateurs d’accéder au répertoire de départ à l’aide du raccourci ~ nom-répertoire-départ. Vous pouvez configurer des répertoires de départ réseau pour qu’ils soient accessibles via AFP ou NFS. Vous pouvez également configurer des répertoires de départ pour les utilisateurs Windows : • Pour obtenir des instructions sur la configuration de points de partage AFP ou NFS pour des répertoires de départ réseau destinés à des utilisateurs Macintosh, consultez le chapitre 7, “Configuration des répertoires de départ”. • Pour obtenir des informations sur la configuration de points de partage SMB/CIFS destinés à des répertoires de départ d’utilisateurs Windows, consultez le guide d’administration des services Windows. Étape 5 : Création de comptes d’utilisateur et de répertoires de départ Vous pouvez utiliser le Gestionnaire de groupe de travail pour créer des comptes d’utilisateur dans des répertoires qui résident sur un ordinateur Mac OS X Server et dans des répertoires non LDAP qui ne sont pas en lecture seule. Des instructions détaillées sont disponibles à divers endroits du présent guide : • Pour obtenir des informations sur la manière de créer des comptes d’utilisateur Mac OS X, consultez le chapitre 4, “Configuration des comptes d’utilisateur”. • Pour obtenir des informations sur la création de comptes d’utilisateur mobiles Mac OS X, consultez le chapitre 3, “Gestion des utilisateurs pour des clients mobiles”. • Pour obtenir des informations sur les répertoires de départ, consultez le chapitre 7, “Configuration des répertoires de départ”. • Pour obtenir des informations sur l’utilisation de comptes en lecture seule, consultez la section “Utilisation de comptes d’utilisateur en lecture seule” à la page 70. Vous pouvez également créer des comptes sous Mac OS X Server pour gérer des utilisateurs Windows et fournir la connexion aux domaines Windows, des profils d’utilisateurs itinérants, des répertoires de départ, le service de fichiers, le service de courrier, etc. Pour obtenir des instructions, consultez le guide d’administration des services Windows. Étape 6 : Configuration d’ordinateurs clients Mac OS X Server peut gérer des utilisateurs de Mac OS X, de Mac OS 9 ou d’ordinateurs clients Windows. F0170.book Page 37 Monday, May 2, 2005 12:37 PM38 Chapitre 2 Introduction à la gestion des utilisateurs Pour les ordinateurs Mac OS X, configurez la politique de recherche de l’ordinateur pour qu’il puisse localiser les domaines de répertoires partagés. Pour obtenir des instructions et des informations complémentaires sur les politiques de recherche dans l’aide à l’écran, consultez le guide d’administration d’Open Directory. Utilisez l’option d’authentification automatique si vous avez configuré un serveur DHCP pour identifier l’emplacement du répertoire partagé lorsqu’il fournit une adresse IP aux ordinateurs clients Mac OS X. Sinon, utilisez l’option Chemin personnalisé pour identifier le serveur qui héberge le répertoire partagé. Pour obtenir des instructions de configuration d’ordinateurs Mac OS X mobiles qui utilisent AirPort pour communiquer avec Mac OS X Server, consultez le document Création de réseaux AirPort Extreme (accessible à l’adresse www.apple.com/fr/airport/). Les stations de travail Windows qui sont utilisées pour la connexion aux domaines Windows doivent se connecter au contrôleur de domaine principal Mac OS X Server de la même manière que les stations de travail qui se connectent au domaine d’un serveur Windows NT, comme l’explique le guide d’administration des services Windows. Si vous devez configurer un grand nombre d’ordinateurs clients Macintosh, l’utilisation d’Installation en réseau vous permettra de créer une image système qui automatise la configuration des ordinateurs clients. Pour obtenir des options et des instructions, consultez le guide d’administration des images système et des mises à jour de logiciels. Étape 7 : Définition des préférences de comptes d’utilisateur La gestion de l’environnement de travail des utilisateurs Macintosh dont les comptes résident dans un domaine partagé s’effectue en définissant des préférences de compte d’utilisateur. Pour obtenir des informations sur les préférences d’utilisateur Mac OS X, consultez le chapitre 8, “Vue d’ensemble de la gestion des clients” et le chapitre 9, “Gestion des préférences”. Étape 8 : Création de comptes de groupe et de dossiers de groupe Utilisez le Gestionnaire de groupe de travail pour créer des comptes de groupe dans des répertoires qui résident sur un serveur Mac OS X Server et dans des domaines Open Directory non LDAP qui ne sont pas en lecture seule. Des instructions détaillées apparaissent à divers endroits du présent guide. • Pour obtenir des informations sur la manière de créer des comptes de groupe Mac OS X, consultez le chapitre 5, “Configuration des comptes de groupe”. Bien que certaines informations de groupe ne s’appliquent pas aux utilisateurs Windows, vous pouvez ajouter des utilisateurs Windows aux groupes que vous créez. Les procédures de gestion des comptes de groupe pour utilisateurs Windows sont identiques à celles des groupes qui ne contiennent que des utilisateurs Mac OS X. • Pour plus d’informations sur l’utilisation des comptes de groupe en lecture seule, consultez “Utilisation de comptes de groupe en lecture seule” à la page 104. F0170.book Page 38 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 39 Vous pouvez configurer un dossier de groupe destiné à être utilisé par les membres d’un groupe. Utilisez le Gestionnaire de groupe de travail pour définir un point de partage pour le dossier de groupe et associez le point de partage au groupe. Créez le dossier de groupe à l’aide de la commande CreateGroupFolder dans l’application Terminal. Pour obtenir des instructions, consultez la section “Travail avec les réglages du dossier de groupe” à la page 108. Pour les utilisateurs Mac OS X, utilisez des préférences de Dock ou d’ouverture de session, afin de faciliter la localisation du répertoire de groupe. Pour les utilisateurs Windows, partagez le point de partage du dossier de groupe via SMB/CIFS. Les utilisateurs peuvent aller dans Favoris réseau (ou Voisinage réseau) pour accéder au contenu du dossier de groupe. Étape 9 : Définition des préférences de comptes de groupe Vous pouvez gérer les préférences d’un groupe d’utilisateurs Macintosh. Un groupe dont les préférences sont gérées est appelé groupe de travail. Pour obtenir des informations sur les groupes de travail Mac OS X, consultez le chapitre 8, “Vue d’ensemble de la gestion des clients” et le chapitre 9, “Gestion des préférences”. Étape 10 : Définition de listes d’ordinateurs et de préférences Utilisez des listes d’ordinateurs pour gérer des ordinateurs clients Macintosh ou Windows. • Pour obtenir des informations sur la création de listes d’ordinateurs Mac OS X, consultez le chapitre 6, “Configuration de listes d’ordinateurs”. Pour obtenir des informations sur les préférences de listes d’ordinateurs, consultez le chapitre 8, “Vue d’ensemble de la gestion des clients” et le chapitre 9, “Gestion des préférences”. • Tout ordinateur Windows géré par le contrôleur de domaine principal Mac OS X Server doit figurer sur la liste d’ordinateurs Windows. Pour plus de détails, consultez le guide d’administration des services Windows. Étape 11 : Procédez à la maintenance des comptes Vous devrez mettre régulièrement à jour les informations de compte au fur et à mesure des allées et venues de vos utilisateurs et des modifications des besoins de vos serveurs : • Consultez les sections plus loin dans le chapitre, en commençant par “Listage et recherche de comptes” à la page 47, pour obtenir des informations sur la localisation des comptes et raccourcis existants en vue de leur maintenance. • Les informations du chapitre 3 au chapitre 6 vous aideront à réaliser des tâches courantes telles que la définition d’un compte d’invité, la désactivation de comptes d’utilisateur, l’ajout et la suppression d’utilisateurs dans des groupes et la suppression de comptes. • Pour obtenir des solutions aux problèmes courants, consultez le chapitre 11, “Résolution des problèmes”. F0170.book Page 39 Monday, May 2, 2005 12:37 PM40 Chapitre 2 Introduction à la gestion des utilisateurs Programmation de stratégies pour la gestion des utilisateurs Voici certaines des activités de planification à entreprendre avant de commencer l’implémentation de la gestion des utilisateurs. Analyse de votre environnement Vos réglages de gestion d’utilisateurs doivent tenir compte des particularités de votre environnement, notamment : • de la taille et de la distribution de votre réseau ; • du nombre d’utilisateurs qui accéderont à votre réseau ; • du type d’ordinateur que les utilisateurs vont utiliser (Mac OS 9, Mac OS X ou Windows) ; • de la façon dont les utilisateurs vont utiliser les ordinateurs clients ; • des ordinateurs qui sont des ordinateurs mobiles ; • des utilisateurs qui devront bénéficier d’autorisations d’administrateur ; • des utilisateurs qui devront avoir accès à certains ordinateurs particuliers ; • de quels services et ressources ont besoin les utilisateurs (courrier électronique, accès au stockage des données) ; • de la manière de diviser les utilisateurs en groupes (par exemple, par catégorie ou type d’emploi) ; • de la manière de grouper des ensembles d’ordinateurs (par exemple, tous les ordinateurs d’un laboratoire public). Identification des besoins en matière de services de répertoire Identifiez les répertoires dans lesquels vous stockerez les comptes d’utilisateur, les comptes de groupe et les listes d’ordinateurs. • Si vous disposez d’un serveur Active Directory ou LDAP déjà configuré, vous pourrez profiter des enregistrements de compte existants. Pour des détails sur l’accès à des répertoires existants, consultez le guide d’administration Open Directory. • Si vous disposez d’un serveur Apple de version antérieure, vous pouvez éventuellement migrer des enregistrements existants. Reportez-vous au guide de migration pour connaître les options disponibles. • Configurez un maître et des répliques Open Directory pour héberger des répertoires LDAP destinés à stocker d’autres comptes d’utilisateur, comptes de groupe et listes d’ordinateurs sur votre réseau. Pour obtenir des instructions et des informations complètes sur les options de traitement des mots de passe, consultez le guide d’administration d’Open Directory. F0170.book Page 40 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 41 Remarque : si certains domaines ne sont pas finalisés au moment d’ajouter des comptes d’utilisateur et de groupe, ajoutez simplement les comptes à un domaine de répertoires quelconque qui existe sur votre serveur. (Vous pouvez utiliser le domaine de répertoires local, toujours disponible.) Vous pourrez déplacer des utilisateurs et des groupes vers un autre domaine de répertoires à l’aide des fonctions d’exportation et d’importation de votre serveur décrites à l’Annexe A, “Importation et exportation d’informations de compte” ultérieurement. Détermination des besoins en matière de serveur et de stockage Ces besoins varient en fonction du nombre d’utilisateurs et d’ordinateurs : • Pour moins de 450 utilisateurs et moins de 150 ordinateurs, un seul serveur suffit pour la gestion des comptes et l’authentification, les répertoires de départ et les dossiers de groupe. (En comptant 1 Go d’espace de stockage par utilisateur et par module de disque sur un ordinateur Xserve.) Il est possible de fournir un espace de stockage plus important en ajoutant des modules de disque et/ou des disques RAID supplémentaires. • Pour 450 à 1000 utilisateurs et 150 à 450 ordinateurs, il faut un serveur dédié à la gestion des comptes et à l’authentification. Vous devez disposer d’un serveur de répertoires de départ et de dossiers de groupe par groupe de 150 ordinateurs. Le serveur doit disposer d’environ 180 Go d’espace de stockage. L’un des serveurs doit fonctionner comme maître Open Directory et doit également héberger des services principaux tels que les services DNS, DHCP et Web, en fonction de vos besoins. S’il vous faut plus de services dédiés, étudiez la possibilité d’utiliser des serveurs dédiés spécifiquement à certaines tâches telles que l’enchaînement QuickTime. Les dossiers de groupe sont souvent partagés simultanément entre plusieurs ordinateurs. Évitez les connexions simultanées de 150 à 300 ordinateurs à un même dossier de groupe, en créant plusieurs groupes de travail et en répartissant les utilisateurs sur plusieurs groupes de travail. • Pour plus de 1000 utilisateurs et plus de 450 ordinateurs, vous aurez besoin de plusieurs serveurs pour la gestion des comptes et l’authentification. Pour obtenir des directives générales en matière de réplication, consultez le guide d’administration d’Open Directory. Vous devez également disposer d’un serveur de répertoires de départ et de dossiers de groupe et de 180 Go d’espace de stockage par groupe de 150 ordinateurs connectés simultanément, si les utilisateurs disposent de répertoires de départ réseau. • N’utilisez pas plus de 3 points de partage montables automatiquement par serveur. Il se peut que vous deviez créer moins de points de partage avec des sous-dossiers destinés à répartir les utilisateurs de manière logique dans des ensembles de répertoires de départ. F0170.book Page 41 Monday, May 2, 2005 12:37 PM42 Chapitre 2 Introduction à la gestion des utilisateurs Utilisation de la gestion des clients Utilisez la gestion des clients Macintosh si vous souhaitez : • fournir aux utilisateurs une interface cohérente et contrôlée tout en leur permettant d’accéder à leurs fichiers à partir de n’importe quel ordinateur ; • utiliser des comptes mobiles ; • réserver certaines ressources à des groupes ou des individus spécifiques ; • sécuriser l’utilisation des ordinateurs dans des zones clés telles que les bureaux administratifs, les salles de cours ou les laboratoires ouverts. Déterminez les utilisateurs, groupes et ordinateurs dont vous souhaitez gérer les préférences. Pour obtenir des instructions de planification, consultez le chapitre 8, “Vue d’ensemble de la gestion des clients”, à la page 143 et le chapitre 9, “Gestion des préférences”, à la page 157. Utilisation de comptes mobiles Les comptes mobiles sont des comptes réseau qui ont été configurés pour être accessibles même lorsque l’utilisateur n’est pas connecté au serveur sur lequel le compte réside. Les utilisateurs de comptes mobiles reçoivent un répertoire de départ local sur le système auquel ils sont connectés. Cette fonctionnalité réduit le trafic réseau et améliore les performances générales. Déterminez si les comptes mobiles peuvent vous être utiles avant de les implémenter. Les comptes mobiles conviennent bien aux utilisateurs qui emportent leur ordinateur d’un endroit à l’autre. Il sont également pratiques pour les utilisateurs qui n’ont pas besoin d’un accès permanent au serveur pour leur travail quotidien. L’utilisation de comptes mobiles réduit le trafic réseau en minimisant le besoin de monter des ressources réseau (telles que les répertoires de départ réseau). Les comptes mobiles sont abordés au chapitre 3, “Gestion des utilisateurs pour des clients mobiles”. Répertoires de départ portables Un compte mobile peut être configuré pour utiliser un répertoires de départ portable (en anglais “Portable Home Directory” ou PHD). Les répertoires de départ portables répliquent les fichiers sur les répertoires de départ locaux et sur les répertoires de départ réseau. De la sorte, votre contenu vous suit partout et est toujours à jour. Les administrateurs peuvent choisir le contenu à répliquer utilisateur par utilisateur, groupe par groupe ou liste d’ordinateurs par liste d’ordinateurs. Élaboration d’une stratégie en matière de répertoire de départ Déterminez quels sont les utilisateurs ayant besoin de répertoires de départ et identifiez les ordinateurs sur lesquels vous souhaitez que se trouvent ces derniers. Afin de ne pas affaiblir les performances du serveur, évitez d’utiliser des répertoires de départ de réseau via les connexions réseau inférieures à 100 Mbps. F0170.book Page 42 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 43 Il n’est pas nécessaire que le répertoire de départ réseau d’un utilisateur soit stocké sur le même serveur que le répertoire contenant son compte d’utilisateur. De fait, la répartition des domaines de répertoires et des répertoires de départ sur plusieurs serveurs peut vous aider à équilibrer la charge de travail de votre réseau. “Répartition de répertoires de départ sur plusieurs serveurs” à la page 129 décrit plusieurs de ces scénarios. Vous pouvez par exemple stocker les répertoires de départ des utilisateurs dont le nom commence par les lettres A à F sur un ordinateur, ceux dont le nom commence par les lettres G à J sur un autre ordinateur, etc. Vous pouvez aussi stocker des répertoires de départ sur un Mac OS X Server mais stocker les comptes d’utilisateur et de groupe sur un serveur Active Directory ou LDAP. Les répertoires de départ portables incitent à d’autres considérations d’ordre stratégique, notamment la désignation des utilisateurs mobiles qui disposeront de comptes portables. Des restrictions supplémentaires à prendre en compte sont décrites dans la section “Répertoires de départ portables” à la page 58. Choisissez une stratégie avant de créer des utilisateurs. Vous pouvez déplacer des répertoires de départ, mais vous devrez alors éventuellement changer un grand nombre de fiches d’utilisateurs. Déterminez le protocole d’accès à utiliser pour les répertoires de départ. Vous utiliserez la plupart du temps le protocole AFP car il offre la plus grande sécurité. Mais vous pouvez également utiliser les protocoles NFS (utile pour les clients UNIX) et SMB/CIFS (pour les clients Windows). Identification des groupes Identifiez les utilisateurs qui ont des besoins similaires et regroupez-les. Consultez chapitre 5, “Configuration des comptes de groupe”. Détermination des besoins d’administrateur Choisissez quels sont les utilisateurs qui pourront administrer les comptes et assurezvous qu’ils disposent d’autorisations d’administrateur de domaine. L’administrateur de domaine dispose du niveau de contrôle le plus élevé sur les autres utilisateurs et sur leurs autorisations. L’administrateur de domaine peut créer des comptes d’utilisateur, des comptes de groupe, ainsi que des listes d’ordinateurs et leur affecter des réglages, des autorisations et des préférences gérées. Il peut également créer d’autres comptes d’administrateur ou attribuer à certains utilisateurs (par exemple des professeurs ou du personnel technique) des autorisations d’administration pour des domaines de répertoires spécifiques. F0170.book Page 43 Monday, May 2, 2005 12:37 PM44 Chapitre 2 Introduction à la gestion des utilisateurs Déterminez quels sont les utilisateurs qui devront avoir des autorisations d’administration de domaine. De même, de nombreuses autorisations d’administration peuvent être données aux utilisateurs gérés, ce qui leur permet de gérer des groupes d’utilisateurs spécifiques ou de modifier certains réglages de compte. Une hiérarchie convenablement planifiée d’administrateurs et d’utilisateurs dotés d’autorisations d’administration spéciales peut vous aider à répartir les tâches d’administration système et à optimiser les flux de production et la gestion système. Lorsque vous utilisez l’Assistant du serveur pour configurer votre serveur pour la première fois, spécifiez un mot de passe pour le propriétaire/l’administrateur. Ce dernier devient également le mot de passe racine de votre serveur. De nombreux administrateurs de serveur n’ont pas besoin de connaître le mot de passe root, mais ce dernier est parfois nécessaire pour exécuter des outils de ligne de commande (tels que CreateGroupFolder). Pour les administrateurs qui n’ont pas besoin d’un accès root, utilisez le Gestionnaire de groupe de travail pour créer un utilisateur administrateur avec un mot de passe différent du mot de passe root. Il est recommandé d’utiliser le mot de passe racine avec précaution et de le stocker dans un emplacement sécurisé. L’utilisateur racine bénéficie d’un accès illimité au système, y compris aux fichiers système. Le cas échéant, vous pouvez recourir au Gestionnaire de groupe de travail pour changer le mot de passe racine. Utilisation du Gestionnaire de groupe de travail Après avoir installé le logiciel Mac OS X Server, vous pouvez accéder au Gestionnaire de groupe de travail. La présente section contient une présentation de l’application. Utilisation d’ordinateurs de versions antérieures à la 10.4 à partir de serveurs de version 10.4 Les serveurs Mac OS X 10.3 et 10.2 peuvent être administrés à l’aide des outils d’administration de la version 10.4. Le Gestionnaire de groupe de travail sur un serveur de version 10.4 peut être utilisé pour gérer les clients Mac OS X qui exécutent Mac OS X 10.2.4 ou ultérieur. Une fois que vous avez modifié une fiche d’utilisateur à l’aide du Gestionnaire de groupe de travail en version 10.4, elle n’est accessible que par le Gestionnaire de groupe de travail en version 10.4. Les préférences des clients Mac OS 9 peuvent être gérées à partir d’un serveur de version 10.4 via le Gestionnaire Macintosh uniquement si vous procédez à une installation de mise à niveau avec la version 10.4 ; vous pouvez utiliser une installation de mise à niveau pour installer la version 10.4 sur des serveurs 10.2.8 ou 10.3. F0170.book Page 44 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 45 Ouverture du Gestionnaire de groupe de travail et authentification Le Gestionnaire de groupe de travail est installé dans /Applications/Server/ lors de l’installation du serveur ou de la configuration d’un ordinateur administrateur. Vous pouvez l’ouvrir à partir de ce dossier à l’aide du Finder. Vous pouvez également ouvrir le Gestionnaire de groupe de travail en cliquant sur son icône dans le Dock ou dans la barre d’outils de l’application Admin Serveur. • Pour utiliser des domaines de répertoires sur un serveur particulier, tapez l’adresse IP du serveur ou son nom DNS dans la fenêtre Se connecter du Gestionnaire de groupe de travail ou cliquez sur Parcourir pour la sélectionner dans la liste des serveurs disponibles. Tapez le nom d’utilisateur et le mot de passe d’un administrateur de domaine, puis cliquez sur Se connecter Seuls les administrateurs de domaine du serveur de domaine de répertoires disposeront d’autorisations d’administration de répertoire. • Vous pouvez voir un domaine de répertoires sans vous authentifier (en choisissant Serveur > Afficher les répertoires). Vous aurez un accès en lecture seule aux informations affichées dans le Gestionnaire de groupe de travail. Pour apporter des modifications à un répertoire, vous devez vous authentifier à l’aide d’un compte d’administrateur de domaine. Cette démarche est la plus indiquée lorsque vous administrez différents serveurs et travaillez avec divers domaines de répertoires. Après avoir ouvert le Gestionnaire de groupe de travail, vous pouvez ouvrir l’une de ses fenêtres pour un autre ordinateur en cliquant sur Se connecter dans la barre d’outils ou en choisissant Serveur > Se connecter. F0170.book Page 45 Monday, May 2, 2005 12:37 PM46 Chapitre 2 Introduction à la gestion des utilisateurs Principales tâches dans le Gestionnaire de groupe de travail Une fois la session ouverte, une fenêtre affiche la liste des comptes d’utilisateurs. Il s’agit initialement des comptes stockés dans le dernier domaine de répertoires figurant dans le chemin de recherche du serveur. Voici comment s’initier aux principales tâches possibles avec cette application : • Pour spécifier le ou les répertoires dans lesquels sont stockés les comptes que vous souhaitez utiliser, cliquez sur l’icône en forme de globe. Pour utiliser simultanément des comptes stockés dans différents répertoires ou utiliser différentes vues des comptes dans un même répertoire, ouvrez plusieurs fenêtres du Gestionnaire de groupe de travail en cliquant sur l’icône Nouvelle fenêtre dans la barre d’outils. • Pour administrer des comptes dans le répertoire sélectionné, cliquez sur l’icône Comptes dans la barre d’outils. Dans la partie gauche, cliquez sur le bouton Utilisateurs, Groupes ou Ordinateurs pour afficher la liste des comptes qui existent actuellement dans le ou les répertoires que vous utilisez. Pour filtrer la liste des comptes à l’écran, utilisez la liste de recherche déroulante qui se trouve au-dessus de la liste des comptes. • Pour travailler avec des préférences gérées, sélectionnez la liste de comptes souhaitée, puis cliquez sur l’icône Préférences dans la barre d’outils. • Pour travailler avec des points partagés, cliquez sur l’icône Partage dans la barre d’outils. Liste Comptes Tapez ici pour faire une recherche dans la liste ci-dessous ou la filtrer. Bouton Utilisateurs Cliquez sur le globe pour changer de répertoire. Bouton Groupes Bouton Listes d’ordinateurs Domaine actuellement sélectionné Cliquez pour vous authentifier. F0170.book Page 46 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 47 • Pour importer ou exporter des comptes d’utilisateurs et de groupes, choisissez Serveur > Importer ou Serveur > Exporter, respectivement. • Pour récupérer des informations en ligne, utilisez le menu Aide. Le menu Aide donne accès à de l’aide sur les tâches d’administration que le Gestionnaire de groupe de travail permet d’effectuer, ainsi que d’autres rubriques relatives à Mac OS X Server. • Pour ouvrir Admin Serveur afin de contrôler et utiliser des services sur des serveurs particuliers, cliquez sur l’icône Admin dans la barre d’outils. Lisez le guide Premiers contacts pour obtenir davantage d’informations sur l’application Admin Serveur. Listage et recherche de comptes La présente section décrit les différentes manières d’afficher des comptes d’utilisateur, des comptes de groupe et des listes d’ordinateurs dans le Gestionnaire de groupe de travail. Utilisation de listes de comptes dans le Gestionnaire de groupe de travail Dans le Gestionnaire de groupe de travail, les comptes d’utilisateur, les comptes de groupe et les listes d’ordinateurs sont affichés dans la partie gauche de la fenêtre de l’application. Plusieurs réglages influencent le contenu et l’apparence de la liste : • Les préférences de Gestionnaire de groupe de travail permettent de contrôler si les utilisateurs et les groupes système sont répertoriés et l’ordre dans lequel ils sont classés. Choisissez Gestionnaire de groupe de travail > Préférences, pour configurer les préférences du Gestionnaire de groupe de travail. • La liste reflète le ou les répertoires que vous avez sélectionnés à l’aide du globe qui se trouve au-dessus de la liste des comptes. Initialement, les comptes des domaines de répertoires parents ne sont répertoriés que si vous êtes connecté au réseau. Les domaines disponibles pour la sélection sont le répertoire local, tous les domaines de répertoires qui figurent dans le chemin de recherche du serveur et tous les domaines de répertoires disponibles (domaines auxquels la configuration du serveur lui permet d’accéder, qu’ils figurent ou non dans le chemin de recherche). Pour obtenir des instructions sur la configuration d’un serveur en vue d’accéder à des domaines de répertoires, consultez le guide d’administration d’Open Directory. Une fois que vous avez choisi des domaines de répertoires, tous les comptes qu’ils contiennent sont répertoriés. • Pour trier une liste, cliquez sur un en-tête de colonne. Une flèche indique l’ordre de classement (croissant ou décroissant) que vous pouvez inverser en cliquant de nouveau sur l’en-tête de colonne. • Vous pouvez filtrer la liste à l’aide de la liste de recherche déroulante qui se trouve au-dessus de la liste des comptes. F0170.book Page 47 Monday, May 2, 2005 12:37 PM48 Chapitre 2 Introduction à la gestion des utilisateurs • Vous pouvez rechercher des éléments spécifiques dans la liste en tapant quelques caractères dans le champ situé au-dessus de la liste des comptes. Pour travailler avec un ou plusieurs comptes répertoriés, faites votre choix. Les réglages des comptes sélectionnés apparaissent dans la fenêtre à droite de la liste. Les réglages disponibles dépendent de la sous-fenêtre affichée. Liste de comptes dans le domaine de répertoires local Les services et les programmes exécutés sur un serveur peuvent accéder au répertoire local du serveur. Les programmes exécutés sur un ordinateur client, comme par exemple la fenêtre d’ouverture de session de l’ordinateur client, ne peuvent pas accéder au répertoire local du serveur. Par conséquent, le service de fichiers d’un serveur peut authentifier les utilisateurs qui ont des comptes dans le répertoire local du serveur. Les comptes d’utilisateur du répertoire local du serveur ne peuvent pas être utilisés pour l’authentification dans la fenêtre d’ouverture de session des ordinateurs clients, car cette fenêtre est un processus exécuté sur l’ordinateur client. Pour répertorier les comptes d’un domaine de répertoires local d’un serveur : 1 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur hébergeant le domaine, puis cliquez sur le globe situé au-dessus de la barre d’outils et choisissez Local. Le domaine local peut également être répertorié sous le nom /NetInfo/root/ ou ou /NetInfo/DefaultLocalNode. 2 Pour visualiser les comptes d’utilisateur, cliquez sur le bouton Utilisateurs (le bouton le plus à gauche au-dessus du champ de recherche). Cliquez sur le bouton Groupes (le bouton du milieu) pour afficher les comptes de groupe et cliquez sur le bouton Listes d’ordinateurs (le bouton de droite) pour afficher les listes d’ordinateurs. 3 Pour travailler avec un compte en particulier, sélectionnez-le. Pour modifier le compte, ce qui nécessite de disposer de privilèges d’administrateur, il se peut que vous deviez cliquer sur le verrou pour vous authentifier. Liste de comptes dans des domaines de répertoires de chemins de recherche Les domaines de répertoires de chemins de recherche sont ceux qui, dans la politique de recherche, sont définis pour l’ordinateur Mac OS X Server auquel vous êtes connecté. Le guide d’administration Open Directory vous indique comment établir des politiques de recherche. Pour répertorier des comptes dans des domaines de chemins de recherche pour votre serveur : 1 Dans le Gestionnaire de groupe de travail, connectez-vous à un serveur dont la politique de recherche contient les domaines de répertoires qui vous intéressent. 2 Cliquez sur le globe situé au-dessus de la barre d’outils, puis choisissez Chemin de recherche. F0170.book Page 48 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 49 3 Pour visualiser les comptes, cliquez sur le bouton Utilisateurs (le bouton le plus à gauche au-dessus du champ de recherche). Cliquez sur le bouton Groupes pour visualiser les comptes de groupe ou cliquez sur le bouton Listes des ordinateurs pour visualiser les listes d’ordinateurs. Liste de comptes dans des domaines de répertoires disponibles Vous pouvez utiliser le Gestionnaire de groupe de travail pour dresser la liste de tous les comptes d’utilisateur, comptes de groupe et listes d’ordinateurs résidant dans tout domaine de répertoires spécifique accessible depuis le serveur auquel vous êtes connecté. Sélectionnez le domaine dans une liste de tous les domaines de répertoires configurés pour être accessibles à partir du serveur que vous utilisez. Veillez à ne pas confondre les domaines de répertoires disponibles avec ceux d’une politique de recherche. Une politique de recherche est constituée des domaines de répertoires dans lesquels un serveur effectue des recherches à l’aide d’une routine, lorsqu’il doit par exemple récupérer un compte d’utilisateur. Toutefois, il se peut que ce même serveur soit configuré pour accéder aux domaines de répertoires n’ayant pas été ajoutés à sa politique de recherche. Pour apprendre comment configurer l’accès au domaines de répertoires, consultez le guide d’administration d’Open Directory. Pour répertorier des comptes dans des domaines de répertoires accessibles à partir d’un serveur : 1 Dans le Gestionnaire de groupe de travail, connectez-vous à un serveur à partir duquel les domaines de répertoires qui vous intéressent sont accessibles. 2 Cliquez sur le globe situé au-dessus de la liste des comptes, puis choisissez Autre. 3 Sélectionnez le ou les domaine dans la boîte de dialogue à l’écran, puis cliquez sur OK. Pour visualiser les comptes d’utilisateur résidant dans les domaines de répertoires sélectionnés, cliquez sur le bouton Utilisateurs (le bouton le plus à gauche au-dessus du champ de recherche). Cliquez sur le bouton Groupes pour visualiser les comptes de groupe ou cliquez sur le bouton Listes d’ordinateurs pour visualiser les listes d’ordinateurs. 4 Pour travailler avec un compte en particulier, sélectionnez-le. Pour modifier un compte qui nécessite de disposer d’autorisations d’administrateur de domaine, il se peut que vous deviez cliquer sur le cadenas pour vous authentifier. Actualisation de listes de comptes Si plus d’un administrateur peut apporter des modifications aux répertoires, actualisez les listes pour vous assurer que la liste (de comptes d’utilisateur, de comptes de groupe ou de listes d’ordinateurs) affichée est bien la plus récente. Pour actualiser les listes, vous pouvez : • cliquer sur Actualiser ; F0170.book Page 49 Monday, May 2, 2005 12:37 PM50 Chapitre 2 Introduction à la gestion des utilisateurs • saisir les termes de recherche dans le champ au-dessus de la liste pour obtenir une nouvelle liste filtrée ; • supprimer les termes du champ au-dessus de la liste pour afficher la liste originale non filtrée ; • cliquer sur le globe situé au-dessus de la barre d’outils, choisir un autre élément dans la liste, puis sélectionner à nouveau le ou les domaines avec lesquels vous étiez en train de travailler. Recherche de comptes spécifiques dans une liste Après avoir affiché une liste de comptes dans le Gestionnaire de groupe de travail, vous pouvez la filtrer afin de localiser des utilisateurs ou des groupes présentant un intérêt particulier. Pour filtrer des éléments dans la liste des comptes : 1 Après avoir répertorier les comptes, cliquez sur le bouton Utilisateurs, Groupes ou Listes d’ordinateurs. 2 Dans le menu local au-dessus de la liste des comptes (identifié par une loupe), sélectionnez une option pour décrire ce que vous souhaitez trouver, puis saisissez des termes de recherche dans le champ texte. La liste d’origine est remplacée par des éléments répondant à vos critères de recherche. Si vous entrez un nom d’utilisateur, tant les noms entiers qu’abrégés d’utilisateurs ou de groupes sont recherchés. 3 Choisissez Gestionnaire de groupe de travail > Préférences pour rendre la recherche de comptes plus pratique lorsque les domaines avec lesquels vous travaillez contiennent des milliers de comptes. Pour éviter de répertorier des comptes tant que vous n’avez pas spécifié de filtre, sélectionnez “Limiter les résultats aux fiches requises”. Lorsque le champ de filtrage est vide, aucun compte n’est répertorié. Pour répertorier tous les comptes des domaines sélectionnés dans le menu local À, tapez “*” dans le champ de filtrage. Pour répertorier les comptes des domaines qui correspondent aux critères de filtrage, sélectionnez une option dans le menu local en regard du champ de filtrage, puis tapez la chaîne de caractères avec laquelle vous souhaitez filtrer les comptes. Pour spécifier le nombre maximum de comptes à répertorier, sélectionnez “Répertorier un maximum de”, puis tapez un nombre inférieur à 25 000. Gestionnaire de groupe de travail peut afficher jusqu’à 25 000 comptes. Classement des listes d’utilisateurs et de groupes Après avoir affiché une liste de comptes dans le Gestionnaire de groupe de travail, cliquez sur un en-tête de colonne pour trier les entrées selon les valeurs de cette colonne. Cliquez de nouveau sur cet en-tête pour inverser l’ordre des entrées de la liste. F0170.book Page 50 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 51 Utilisation du bouton Rechercher de la barre d’outils Vous pouvez utiliser le bouton Rechercher, dans les sous-fenêtres Comptes ou Préférences, pour localiser des utilisateurs ou des groupes spécifiques en recherchant des valeurs de champ déterminées. Pour localiser des utilisateurs ou des groupes spécifiques via les sous-fenêtres Comptes ou Préférences : 1 Après avoir sélectionné la sous-fenêtre dans laquelle vous souhaitez travailler, cliquez sur Rechercher dans la barre d’outils. 2 Le champ dans lequel vous souhaitez faire la recherche avec les conditions d’application dans la zone de dialogue Recherche. 3 Tapez le texte à rechercher et d’éventuelles conditions supplémentaires. 4 Vous pouvez choisir d’enregistrer, de renommer ou de supprimer des préréglages à l’aide du menu local Préréglages de la recherche. Vous pouvez également effectuer des modifications par lot sur les résultats de la recherche. Si vous cochez cette option, vous avez le choix entre “Afficher un aperçu et modifier les résultats de la recherche avant d’appliquer des changements” et “Afficher le rendu des modifications et des erreurs”. 5 Cliquez sur Rechercher une fois que vos critères de recherche sont définis. Une fois que les résultats de la recherche sont affichés à l’écran, vous pouvez soir effacer les critères de recherche pour revenir à l’affichage par défaut, soit modifier les critères de recherche pour les affiner. Toute recherche peut être enregistrée sous la forme d’un préréglage si vous souhaitez la réutiliser. F0170.book Page 51 Monday, May 2, 2005 12:37 PM52 Chapitre 2 Introduction à la gestion des utilisateurs Raccourcis pour l’utilisation des comptes Il existe plusieurs techniques permettant de gérer les comptes avec une plus grande efficacité. Vous pouvez : • modifier plusieurs comptes simultanément ; • utiliser des préréglages comme modèles pour la création de nouveaux comptes ; • importer des informations de compte d’utilisateur et de groupe à partir d’un fichier. Modification par lot Vous pouvez modifier les réglages de plusieurs comptes d’utilisateur, comptes de groupe ou listes d’ordinateurs à la fois. On appelle la modification simultanée de plusieurs comptes la modification par lot. Maintenez la touche Maj enfoncée, puis cliquez pour sélectionner une plage de comptes et/ou maintenez la touche Commande enfoncée, puis cliquez pour sélectionner des comptes individuellement. Vous pouvez aussi choisir Édition > Tout sélectionner, puis maintenir la touche Commande enfoncée et cliquer sur des comptes individuels pour les désélectionner un à un. La modification par lot peut notamment vous faire gagner du temps lorsque vous devez modifier les préférences d’un grand nombre de comptes. Consultez la section “Modification des préférences de plusieurs enregistrements” à la page 163. Utilisation de préréglages Vous pouvez sélectionner des réglages de compte d’utilisateur, de compte de groupe ou de liste d’ordinateurs, puis les enregistrer sous la forme d’un préréglage. Les préréglages fonctionnent comme des modèles et permettent d’appliquer des réglages prédéfinis à un nouveau compte. Grâce aux préréglages, vous pouvez configurer en toute simplicité plusieurs comptes de façon similaire. Vous ne pouvez utiliser les préréglages que lors de la création d’un compte. Vous ne pouvez pas utiliser de préréglage pour modifier un compte existant. Vous pouvez utiliser des préréglages lorsque vous créez des comptes manuellement ou lorsque vous en importez à partir d’un fichier. Si vous modifiez un préréglage après son utilisation pour la création d’un compte, les comptes déjà créés à l’aide de ce préréglage ne sont pas mis à jour pour reproduire ces changements. Pour plus d’informations, consultez la section “Création d’un préréglage pour des comptes d’utilisateur” à la page 72. F0170.book Page 52 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 53 Importation et exportation d’informations de compte Vous pouvez utiliser des fichiers XML ou des fichiers de texte délimités par des caractères pour importer et exporter des informations de compte d’utilisateur ou de groupe. Cette méthode d’importation facilite la configuration rapide d’un grand nombre de comptes. L’exportation d’informations dans un fichier peut s’avérer utile pour archiver ou sauvegarder les données d’utilisateur. Pour plus d’informations, voir l’Annexe A, “Importation et exportation d’informations de compte”. Sauvegarde et restauration des données de gestion des utilisateurs Sauvegarde et restauration de fichiers de services de répertoires Pour obtenir des informations sur la sauvegarde et la restauration de domaines de répertoires et de fichiers de base de données d’authentification, consultez l’aide à l’écran. Sauvegarde de comptes d’utilisateur root et administrateur Les fichiers système sont la propriété des identifiants des administrateurs système et des utilisateurs root existant au moment de leur création. Si vous devez restaurer des fichiers système, les mêmes identifiants doivent exister sur le serveur afin que les autorisations d’origine soient conservées. Pour vous assurer de pouvoir recréer ces identifiants d’utilisateur, exportez régulièrement les informations sur les utilisateurs et les groupes du serveur vers un fichier, comme décrit à l’Annexe A, “Importation et exportation d’informations de compte”. F0170.book Page 53 Monday, May 2, 2005 12:37 PMF0170.book Page 54 Monday, May 2, 2005 12:37 PM3 55 3 Gestion des utilisateurs pour des clients mobiles Ce chapitre contient des suggestions pour la gestion d’ordinateurs portables utilisés par un ou plusieurs utilisateurs. Configuration des clients mobiles Si vous possédez un certain nombre d’ordinateurs portables destinés à être distribués à des utilisateurs ou groupes d’utilisateurs donnés, vous pouvez mettre en œuvre un éventail de techniques de gestion pour personnaliser l’environnement de l’utilisateur et contrôler le niveau d’accès d’un utilisateur aux ressources locales et réseau. Configuration d’ordinateurs portables Lors de la préparation des ordinateurs portables à utiliser sur votre réseau, suivez les instructions ci-après. Étape 1 : Installez le système d’exploitation, les applications et les utilitaires. La plupart des ordinateurs sont livrés avec un système d’exploitation installé. Toutefois, si vous devez en installer un nouveau, assurez-vous que l’ordinateur répond aux configurations requises minimum pour l’installation du système d’exploitation Mac OS X ou Mac OS et des autres applications et utilitaires souhaités. Étape 2 : Création de comptes locaux sur les ordinateurs Mac OS X. Créez au moins un compte d’administrateur local et autant de comptes d’utilisateur locaux que nécessaire. Veillez à éviter toute confusion entre le nom et le mot de passe de compte local et le nom et le mot de passe réseau d’un utilisateur. Étape 3 : Configuration de listes d’ordinateurs sur votre serveur Pour les ordinateurs Mac OS X, utilisez le Gestionnaire de groupe de travail afin d’ajouter des ordinateurs à une liste d’ordinateurs et d’activer la gestion des préférences au niveau de l’ordinateur. Vous pouvez aussi définir des réglages de préférences au niveau utilisateur pour le compte réseau de l’utilisateur. F0170.book Page 55 Monday, May 2, 2005 12:37 PM56 Chapitre 3 Gestion des utilisateurs pour des clients mobiles Vous trouverez plus de détails sur la configuration des services de répertoires dans le guide d’administration Open Directory. Pour plus d’informations sur l’utilisation des listes d’ordinateurs, consultez le chapitre 6, “Configuration de listes d’ordinateurs”. Pour en savoir plus sur l’utilisation des réglages de préférences gérées, consultez le chapitre 9, “Gestion des préférences”. Utilisation de comptes mobiles Un compte mobile, sous Mac OS X Server, est un compte d’utilisateur synchronisé avec un ordinateur (généralement portable) local. L’utilisateur peut ouvrir une session sur l’ordinateur portable en utilisant le nom et le mot de passe d’un compte réseau, même si l’ordinateur n’est pas connecté au réseau. Cette fonctionnalité est utile à la fois pour les systèmes portables et pour les autres cas de déploiement “un à un” dans lesquels un utilisateur est affecté à un seul et unique ordinateur. Elle s’avère également utile dans les situations où le fait d’avoir des répertoires de départ locaux améliore les performances comme, par exemple, dans la production vidéo. Lorsqu’un utilisateur de compte mobile se connecte au réseau, les données du compte (c’est-à-dire les nom, le mot de passe et les préférences gérées du compte) sont synchronisées automatiquement avec le compte du serveur afin que les deux emplacements contiennent des données identiques. Quand l’ordinateur est déconnecté du réseau, les réglages de préférences gérées restent en vigueur. Le répertoire de départ d’un compte mobile réside dans l’ordinateur de l’utilisateur, celui d’un compte de réseau sur le serveur. Quand l’ordinateur est connecté au réseau, l’utilisateur s’authentifie directement auprès du compte réseau sans que le compte mobile ne soit pris en compte, mais en utilisant toujours un répertoire de départ local. Lorsque le répertoire de départ local d’un compte mobile est configuré pour la synchronisation avec un répertoire de départ réseau, il devient un répertoire de départ portable qui permet à un utilisateur réseau de travailler sur une copie de son contenu réseau hors connexion. Le contenu peut être synchronisé entre les deux répertoires de départ, en fonction de la manière dont le compte mobile est configuré. Un répertoire de départ portable peut être configuré pour synchroniser le contenu modifié d’un utilisateur lors de la connexion en arrière-plan, via le réseau et lors de la déconnexion. La synchronisation de certains contenus peut également être lancée manuellement afin que le contenu modifié d’un emplacement soit accessible immédiatement partout. F0170.book Page 56 Monday, May 2, 2005 12:37 PMChapitre 3 Gestion des utilisateurs pour des clients mobiles 57 Si les utilisateurs disposent de répertoires de départ AFP, leur répertoire de départ réseau est créé la première fois qu’ils tentent d’accéder à leur répertoire de départ réseau. Si certains de vos utilisateurs de compte mobile accèdent à un serveur hébergeant des répertoires de départ réseau non-AFP, vous devez créer les répertoires de départ réseau manuellement (voir “Création d’un répertoire de départ personnalisé” à la page 134). Création d’un compte mobile Une fois qu’un compte mobile a été créé, il est affiché dans la liste des comptes située dans les Préférences Système Comptes. Le type de compte est qualifié de Mobile et la plupart des éléments du volet Comptes sont grisés à sa sélection. Vous pouvez utiliser le Gestionnaire de groupe de travail pour créer automatiquement un compte mobile à l’ouverture d’une session. Pour créer un compte mobile à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez un compte d’utilisateur, puis cliquez sur Préférences. 3 Cliquez sur Mobilité, puis définissez les réglages de gestion sur Toujours. 4 Sélectionnez “Créer un compte mobile lors de l’ouverture de session” et sélectionnez la case “Synchroniser le compte pour l’utilisation hors connexion”. 5 Sélectionnez l’option Exiger une confirmation avant de créer un compte mobile si vous souhaitez laisser à l’utilisateur le choix de créer ou non un compte mobile à sa connexion. Si cette option est sélectionnée, une boîte de dialogue de confirmation s’affiche à l’ouverture de session de l’utilisateur. Ce dernier peut alors cliquer sur Créer pour créer immédiatement le compte mobile ou sur Continuer pour se connecter en tant qu’utilisateur du réseau sans création. 6 Cliquez sur Appliquer. Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier à votre gré le compte de serveur correspondant. Toutes les modifications apportées au compte mobile prennent effet la prochaine fois que l’ordinateur se connecte au réseau. Suppression d’un compte mobile Si un utilisateur n’a plus besoin d’un compte mobile, vous pouvez supprimer le compte individuel sur l’ordinateur client. Cette action supprime le compte mobile et son répertoire de départ local. La suppression d’un compte mobile ne peut être effectuée que par un administrateur local ou un administrateur de domaine doté des autorisations nécessaires pour gérer la liste d’ordinateurs à laquelle le système appartient, car l’opération doit être effectuée localement sur l’ordinateur sur lequel réside le compte. L’administrateur ne peut pas utiliser la console d’administration du Gestionnaire de groupe de travail pour effectuer cette opération à distance. F0170.book Page 57 Monday, May 2, 2005 12:37 PM58 Chapitre 3 Gestion des utilisateurs pour des clients mobiles Pour supprimer un compte mobile : 1 Ouvrez les Préférences Système de l’ordinateur client. 2 Cliquez sur Comptes, puis sélectionnez l’utilisateur dans la liste. 3 Sélectionner le compte que vous souhaitez supprimer. Le compte mobile est reconnaissable par le terme Mobile qui apparaît dans la colonne Type. 4 Cliquez sur le bouton Supprimer (–), puis sur OK. 5 Dans la zone de dialogue qui apparaît, choisissez soit d’Archiver, soit de Supprimer le répertoire de départ. Utilisation de comptes mobiles côté utilisateur Si l’ordinateur est configuré pour afficher une liste d’utilisateurs lors d’une ouverture de session, le compte mobile est affiché avec les utilisateurs locaux. L’utilisateur sélectionne son compte, puis saisit son mot de passe pour achever l’ouverture de session. Quant aux clients gérés, si l’administrateur réseau a spécifié la création de comptes mobiles à l’ouverture de session, la liste des comptes de la fenêtre d’ouverture de session affiche tous les utilisateurs. Une fois que l’utilisateur a sélectionné son compte et saisi correctement son mot de passe, une copie locale du compte réseau est immédiatement créée et devient le compte mobile. Le compte mobile devient permanent sur ce système lorsque l’utilisateur ferme sa session ou se déconnecte du réseau. L’utilisateur peut se déconnecter du réseau et poursuivre sa session avec ce compte sur ce système. Répertoires de départ portables Un compte mobile est un compte d’utilisateur dont l’enregistrement de compte est synchronisé avec un compte d’utilisateur réseau sur un ordinateur Mac OS X Server. L’utilisateur peut ouvrir une session à l’aide du nom et du mot de passe d’un compte réseau, même si son ordinateur n’est pas connecté au réseau. Les utilisateurs finaux qui sont des administrateurs peuvent créer des comptes mobiles à partir de la sous-fenêtre Comptes des Préférences Système après avoir saisi un nom et un mot de passe d’administrateur. Les administrateurs de serveur peuvent empêcher un utilisateur de créer un compte mobile soit en désélectionnant la case “Synchroniser le compte pour l’utilisation hors connexion” dans la sous-fenêtre Mobilité/Synchronisation du Gestionnaire de groupe de travail, soit en désactivant les Préférences Système Comptes dans la sous-fenêtre Préférences Système du Gestionnaire de groupe de travail. F0170.book Page 58 Monday, May 2, 2005 12:37 PMChapitre 3 Gestion des utilisateurs pour des clients mobiles 59 Un utilisateur final (à l’aide de la sous-fenêtre Comptes des Préférences Système) ou un administrateur de serveur (à l’aide du Gestionnaire de groupe de travail) peut configurer le répertoire de départ local d’un compte mobile pour qu’il soit synchronisé avec le répertoire de départ réseau, créant ainsi un répertoire de départ portable. Un administrateur de serveur contrôle les réglages de synchronisation du répertoire de départ portable d’un utilisateur via la sous-fenêtre Mobilité/Règles du Gestionnaire de groupe de travail. La synchronisation d’un répertoire de départ portable est effectuée à l’ouverture de session, directement après la création du compte mobile. Après la première synchronisation, les synchronisations suivantes se font en arrière-plan ou lorsque l’utilisateur sélectionne Synchroniser, dans la sous-fenêtre Comptes des Préférences Système, ou Synchroniser Départ, dans le supplément du menu de synchronisation de répertoire de départ. Notez que toute synchronisation requiert une connexion au serveur du répertoire de départ réseau de l’utilisateur. La synchronisation n’est pas effectuée si l’ordinateur de l’utilisateur n’est pas connecté au réseau ou si le serveur du répertoire de départ de l’utilisateur n’est pas disponible. Éléments à prendre en compte pour l’affectation du contenu à synchroniser Il est recommandé aux administrateurs de serveur d’évaluer les avantages et les inconvénients des différents types de mécanismes de création de comptes mobiles et des réglages de synchronisation de répertoires de départ portables. Le Gestionnaire de groupe de travail permet le contrôle à base de règles de la synchronisation en arrièreplan ainsi que de la synchronisation à la connexion et à la déconnexion. La sous-fenêtre Comptes des Préférences Système ne permet que le contrôle de la synchronisation en arrière-plan des dossiers de départ du niveau supérieur. Les opérations de synchronisation en arrière-plan sont effectuées soit régulièrement, soit à la demande lorsque l’utilisateur sélectionne Synchroniser Départ dans le supplément du menu de synchronisation de répertoire de départ. La synchronisation affecte également les fichiers ouverts ou affichés à l’écran, mais ne rallonge pas la durée de connexion ou de déconnexion. Une synchronisation à la connexion ou à la déconnexion copie tous les fichiers avant et après leur modification par l’utilisateur, mais rallonge la durée de la connexion ou de la déconnexion en fonction du nombre de fichiers à vérifier ainsi que de la taille et du nombre de fichiers à copier pour effectuer la synchronisation. F0170.book Page 59 Monday, May 2, 2005 12:37 PM60 Chapitre 3 Gestion des utilisateurs pour des clients mobiles Gestion des clients mobiles Une fois les ordinateurs portables ou dédiés configurés, de nombreuses fonctions du Gestionnaire de groupe de travail vous permettent d’appliquer des restrictions ou d’autoriser les utilisateurs à accéder aux services réseau. Si un utilisateur possède un compte réseau et si son ordinateur se lie à Open Directory, il peut se connecter à l’aide du nom et du mot de passe de son compte réseau pour accéder aux ressources disponibles. Pour en savoir plus sur la liaison d’un ordinateur au service Open Directory, consultez le guide d’administration d’Open Directory. Pour les utilisateurs sans comptes réseau qui disposent d’ordinateurs portables personnels mais requièrent toutefois un accès à vos ressources réseau, vous pouvez utiliser les fonctions du Gestionnaire de groupe de travail pour appliquer des réglages aux ordinateurs inconnus ou invités. Ordinateurs portables Mac OS X inconnus Pour gérer les utilisateurs d’ordinateurs portables fonctionnant sous Mac OS X, vous pouvez utiliser le compte Ordinateurs invités afin d’appliquer la gestion au niveau de l’ordinateur à des ordinateurs inconnus ou invités en réseau. Si ces utilisateurs se connectent via un compte d’utilisateur de Mac OS X Server, les préférences gérées d’utilisateurs et de groupes ainsi que les réglages de comptes s’appliquent également. Pour plus d’informations sur la configuration du compte Ordinateurs invités pour les utilisateurs de Mac OS X, consultez la section “Gestion des ordinateurs invités” à la page 122. Ordinateurs portables Mac OS X pour utilisateurs locaux multiples Les iBook d’un laboratoire mobile sans fil constituent un exemple de partage d’ordinateurs. Ce type de laboratoire contient 10 à 15 iBook pour les étudiants (et un iBook supplémentaire pour le professeur), une Borne d’Accès AirPort et une imprimante, le tout sur un chariot mobile. Le chariot permet de distribuer les ordinateurs aux utilisateurs (par exemple d’une salle de cours à l’autre). Pour gérer les iBook de votre chariot, créez des comptes locaux d’utilisateur, identiques sur chaque ordinateur (par exemple, l’ensemble des comptes peut utiliser Math comme nom d’utilisateur et Étudiant comme mot de passe). Vous pouvez créer des comptes locaux génériques distincts à d’autres fins, par exemple pour dédier l’un d’eux aux cours d’histoire, un autre aux cours de biologie, etc. Chaque compte doit avoir un répertoire de départ local et ne disposer d’aucune autorisation d’administration. Utilisez un compte d’administrateur local séparé sur chaque ordinateur afin de permettre aux administrateurs de serveur (ou autres) de procéder à des tâches de maintenance et à des mises à niveau, d’installer des logiciels et de gérer les comptes d’utilisateur locaux. F0170.book Page 60 Monday, May 2, 2005 12:37 PMChapitre 3 Gestion des utilisateurs pour des clients mobiles 61 Une fois les comptes d’utilisateur locaux créés, ajoutez les ordinateurs à une liste et gérez les préférences pour celle-ci. Comme plusieurs utilisateurs peuvent stocker des éléments dans le répertoire de départ local du compte générique, il est recommandé, dans le cadre de tâches routinières d’entretien, de vider régulièrement ce dossier. Vous pouvez également créer des comptes mobiles pour les utilisateurs ou recourir à la gestion des préférences du Gestionnaire de groupe de travail pour créer automatiquement un compte mobile quand un utilisateur ouvre une session. Ordinateurs portables Mac OS X pour utilisateur local principal Deux méthodes vous permettent de configurer les ordinateurs portables d’un utilisateur n’employant pas de compte mobile. • L’utilisateur ne dispose pas d’autorisations d’administrateur mais possède un compte local. Configurez un compte d’administrateur local sur votre ordinateur (ne divulguez aucune information sur ce compte à l’utilisateur), puis un compte local pour l’utilisateur. Les utilisateurs possédant des comptes locaux sans autorisation d’administration ne peuvent pas installer de logiciel : ils peuvent uniquement ajouter ou supprimer des éléments de leurs propres répertoires de départ. Un utilisateur local peut partager des éléments avec d’autres via le dossier Public situé dans son répertoire de départ. Si cet utilisateur dispose d’un compte mobile, celui-ci doit fonctionner comme un compte local mais ne peut pas être géré comme un compte de réseau. Si l’utilisateur possède un compte de réseau, vous pouvez modifier les réglages de préférences gérées de manière à créer un compte mobile durant sa première ouverture de session. De plus, si la synchronisation est activée pour cet utilisateur (PHD), le contenu de son répertoire de départ est également synchronisé lorsqu’il est connecté au réseau. • L’utilisateur est l’administrateur de l’ordinateur. Mac OS X 10.4 permet d’autoriser ou de refuser aux administrateurs la possibilité de désactiver la gestion durant la connexion. Remarque : il arrive souvent que l’administrateur local puisse encore annuler les réglages de gestion. Si l’utilisateur dispose également d’un compte d’utilisateur Mac OS X Server et si le réseau est accessible, il peut toutefois choisir d’ouvrir une session à l’aide du compte local pour ne pas encombrer le réseau. Il peut se connecter à son propre répertoire de départ (pour stocker ou extraire des documents, par exemple) à l’aide de la commande Aller au dossier du menu Aller situé dans le Finder. Les éléments à prendre en compte sont différents selon qu’il s’agit d’un compte mobile avec des répertoires de départ portables et d’un compte mobile qui est également un administrateur. F0170.book Page 61 Monday, May 2, 2005 12:37 PM62 Chapitre 3 Gestion des utilisateurs pour des clients mobiles Utilisation de services sans fil Vous pouvez fournir aux clients gérés des services réseau sans fil à l’aide d’AirPort, par exemple. Lorsqu’un utilisateur d’ordinateur portable quitte la zone sans fil ou change de serveur de répertoires réseau (en passant d’une zone sans fil à une autre), les réglages de gestion des clients peuvent varier. L’utilisateur peut s’apercevoir que certains services réseau, comme les serveurs de fichiers, les imprimantes, les volumes de groupes partagés, etc., ne sont pas disponibles à partir du nouvel emplacement. Il peut alors purger ces ressources en se déconnectant, puis en se reconnectant. Pour plus d’informations sur l’utilisation d’AirPort, consultez la documentation s’y rapportant ou visitez le site Web à l’adresse suivante : www.apple.com/fr/airport/. Questions de sécurité concernant les clients mobiles Vous pouvez protéger davantage les clients mobiles en exigeant des mots de passe alphanumériques régulièrement renouvelés. Les économiseurs d’écran doivent être réglés sur un délai d’activation minimum et un mot de passe doit être demandé pour la reprise d’activité. Il est recommandé de restreindre la création d’images de disque dur et le démarrage à froid directement sur le disque à l’aide du mode disque cible. Pour en savoir plus sur la configuration de mots de passe de programmes internes ouverts, consultez l’article 106482 du site Web d’assistance et de service Apple, à l’adresse docs.info.apple.com/article.html?artnum=106482. Assurez-vous que SSH est désactivé pour empêcher toute connexion d’utilisateurs non gérés. Un utilisateur connecté via SSH ne sera pas affecté par les préférences gérées modifiant ses autorisations. La connexion à distance et tout autre type d’accès externe tel que FTP et AFP ne doivent être activés que si vous en avez réellement besoin. Apple Remote Desktop peut être utilisé pour fournir un accès à distance sécurisé et permettre la gestion des ordinateurs. Services de répertoire Il est recommandé de désactiver la liaison DHCP sans restriction pour les clients mobiles car l’ordinateur fera implicitement confiance à tout répertoire trouvé sur d’autres réseaux. La liaison de répertoire authentifiée offre la meilleure sécurité, mais exige la configuration individuelle de chaque ordinateur. La liaison de répertoire statique peut s’avérer plus simple mais n’est pas aussi sûre. Le guide d’administration d’Open Directory contient des informations détaillées sur les différents mécanismes de liaison de répertoires. F0170.book Page 62 Monday, May 2, 2005 12:37 PMChapitre 3 Gestion des utilisateurs pour des clients mobiles 63 FileVault pour clients mobiles Mac OS X permet d’activer FileVault pour les comptes mobiles. Activez d’abord le compte mobile, puis connectez-vous à l’aide du compte mobile (qui sera alors créé). Une fois connecté, activez FileVault dans les Préférences Système. Vous devez disposer d’autorisations d’administrateur local et définir un mot de passe maître. Questions de sécurité concernant l’utilisation de répertoires de départ portables Les répertoires de départ portables permettent aux clients mobiles d’emporter des versions locales (ou portables) de leur répertoire de départ réseau, de travailler sur des fichiers hors connexion et de les synchroniser lorsqu’ils se reconnectent au réseau. Toutes les questions de sécurité qui concernent les comptes de réseau concernent également les clients mobiles qui utilisent des répertoires de départ portables. Les clients mobiles peuvent modifier leurs autorisations d’accès sur le répertoire de départ réseau afin que ce dernier soit plus ouvert. Par conséquent, les questions de sécurité concernant les répertoires de départ portables font partie des questions de sécurité concernant les utilisateurs réseau. Remarque : il est possible de disposer d’un compte mobile sans répertoire de départ portable. C’est le cas si vous disposez, par exemple, d’un répertoire de départ réseau non synchronisé avec le répertoire de départ du compte local ou d’un compte réseau sans aucun répertoire de départ réseau. Connexions VPN La création d’un nouveau compte mobile ou la configuration d’un compte mobile pour la synchronisation doit se faire en étant connecté directement au réseau, pas en étant connecté via VPN. La première fois que vous vous connectez à un compte mobile et à un répertoire de départ portable, il se synchronise automatiquement avec le répertoire de départ réseau. Une fois que le compte mobile a été créé, vous pouvez ouvrir une session hors connexion, établir une connexion VPN, puis lancer une synchronisation manuelle. Questions concernant la perte et la récupération des données N’utilisez pas les répertoires de départ portables à la place d’un système de sauvegarde systématique. Les répertoires de départ portables ne synchronisent que les nouveaux fichiers créés, les fichiers modifiés et les préférences gérées modifiées depuis la dernière synchronisation. Une synchronisation ne constitue jamais une image fidèle de l’environnement d’un utilisateur. Ce n’est qu’une partie du contenu modifié parmi l’ensemble du contenu désigné par l’administrateur. De plus, contrairement aux solutions de sauvegarde spécialisées, les répertoires de départ portables ne vous permettent pas de récupérer spécifiquement tout contenu synchronisé avant la dernière synchronisation. F0170.book Page 63 Monday, May 2, 2005 12:37 PMF0170.book Page 64 Monday, May 2, 2005 12:37 PM4 65 4 Configuration des comptes d’utilisateur Ce chapitre vous explique comment configurer, modifier et gérer des comptes d’utilisateur. À propos des comptes d’utilisateur Un compte d’utilisateur stocke les données dont Mac OS X Server a besoin pour valider l’identité de l’utilisateur et lui fournir des services. Cette section propose une vue d’ensemble des comptes d’utilisateur. Emplacement de stockage des comptes d’utilisateur Les comptes d’utilisateur, les comptes de groupe et les listes d’ordinateurs peuvent être stockés dans n’importe quel domaine Open Directory accessible depuis tout ordinateur Mac OS X. Un domaine de répertoire peut résider soit sur un ordinateur Mac OS X (le répertoire LDAP d’un maître Open Directory, un domaine NetInfo ou tout autre domaine de répertoire en lecture/écriture, par exemple), soit sur un serveur non Apple (un serveur LDAP ou Active Directory par exemple). Vous pouvez utiliser le Gestionnaire de groupe de travail pour travailler avec des comptes dans tous les types de domaines de répertoires, sachant toutefois qu’il permet de ne mettre à jour que le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Pour obtenir des informations complètes sur les différents types de domaines Open Directory reportez-vous au guide d’administration Open Directory. F0170.book Page 65 Monday, May 2, 2005 12:37 PM66 Chapitre 4 Configuration des comptes d’utilisateur Comptes d’utilisateur prédéfinis Le tableau suivant fournit une description de certains comptes d’utilisateur créés automatiquement lorsque vous installez Mac OS X Server (sauf indication contraire). Pour obtenir la liste complète, ouvrez le Gestionnaire de groupe de travail et choisissez Présentation > Afficher les utilisateurs et groupes du système. Nom d’utilisateur prédéfini Nom abrégé Identifiant d’utilisateur Utilisation Utilisateur FTP anonyme ftp 98 Le nom d’utilisateur attribué à quiconque utilise FTP en tant qu’utilisateur anonyme. Cet utilisateur est créé au moment du premier accès au serveur FTP si ce dernier est activé, si l’accès FTP anonyme est activé et si l’utilisateur anonyme ftp n’existe pas encore. Utilisateur du Gestionnaire Macintosh mmuser -17 L’utilisateur créé par le serveur Gestionnaire Macintosh lorsque l’application est lancée pour la première fois sur un serveur particulier. Il ne dispose d’aucun répertoire de départ et son mot de passe est régulièrement modifié. Serveur My SQL mysql 74 L’utilisateur que le serveur de base de données MySQL utilise pour les processus qui traitent les requêtes. Utilisateur Sendmail smmsp 25 Utilisateur sous lequel sendmail est exécuté. sshd (séparation des autorisations) sshd 75 Utilisateur pour les processus enfants sshd qui traitent les données réseau. Administrateur système root 0 Utilisateur ayant le plus de pouvoirs. Services système daemon 1 Utilisateur UNIX hérité. Utilisateur inconnu unknown 99 Utilisateur employé lorsque le système ne connaît pas le disque dur. F0170.book Page 66 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 67 Administration de comptes d’utilisateur Cette section explique comment administrer les comptes d’utilisateur stockés dans différents types de domaines de répertoires. Création de comptes d’utilisateur Mac OS X Server Pour créer un compte d’utilisateur dans un domaine de répertoires particulier, vous devez disposer d’autorisations d’administration sur ce domaine. Pour créer un compte d’utilisateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. 3 Cliquez sur le petit globe situé sous la liste des comptes, puis choisissez le domaine dans lequel vous voulez que le compte d’utilisateur réside. Local, /NetInfo/root/ et /NetInfo/DefaultLocalNode, par exemple, se réfèrent tous au domaine de répertoire local. /NetInfo/root se réfère à un domaine NetInfo partagé si le serveur est configuré pour accéder à un tel domaine ; sinon, /NetInfo/root constitue le domaine local. 4 Pour être authentifié, cliquez sur le cadenas. 5 Choisissez Serveur > Nouvel utilisateur ou cliquez sur Nouvel utilisateur dans la barre d’outils. 6 Spécifiez des réglages pour l’utilisateur dans les onglets fournis. Consultez “Définition de noms complets d’utilisateurs” à la page 74 et “Faire suivre le courrier d’un utilisateur” à la page 93 pour plus de détails. Utilisateur sans autorisation nobody -2 À l’origine, cet utilisateur a été créé de manière à ce que les services système n’aient pas à être exécutés en tant qu’administrateur système. À présent toutefois, les utilisateurs spécifiques aux services, le serveur Web notamment, sont souvent utilisés à cette fin. Serveur World Wide Web www 70 L’utilisateur sans autorisation qu’Apache utilise pour les processus qui traitent les requêtes. Nom d’utilisateur prédéfini Nom abrégé Identifiant d’utilisateur Utilisation F0170.book Page 67 Monday, May 2, 2005 12:37 PM68 Chapitre 4 Configuration des comptes d’utilisateur Pour créer un utilisateur, vous pouvez également utiliser un préréglage ou un fichier d’importation. Remarque : le Gestionnaire de groupe de travail ne peut pas être utilisé pour créer des utilisateurs, des groupes ou des ordinateurs dans un domaine Active Directory standard. Le système Active Directory doit être étendu pour permettre la création d’utilisateurs, de groupes ou d’ordinateurs. Pour plus de détails, consultez les sections “Utilisation de préréglages pour créer des comptes” à la page 73 et “Utilisation du Gestionnaire de groupe de travail pour importer des utilisateurs et des groupes” à la page 243. Création de comptes d’utilisateur LDAPv3 en lecture/écriture Vous pouvez créer un compte d’utilisateur sur un serveur LDAPv3 non Apple s’il a été configuré pour un accès en écriture. Pour créer un compte d’utilisateur LDAPv3 : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour employer le serveur LDAP pour les comptes d’utilisateur. Le guide d’administration Open Directory propose des informations sur les attributs standards des comptes d’utilisateur et des instructions sur le mappage des attributs. Pour en savoir plus sur les éléments du compte d’utilisateur qui peuvent nécessiter un mappage, consultez l’Annexe A, “Importation et exportation d’informations de compte”. 3 Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine LDAPv3 dans lequel vous souhaitez faire résider le compte d’utilisateur. 4 Pour être authentifié, cliquez sur le cadenas. 5 Choisissez Serveur > Nouvel utilisateur ou cliquez sur Nouvel utilisateur dans la barre d’outils. 6 Spécifiez des réglages pour l’utilisateur dans les onglets fournis. Pour plus de détails, lisez la section “Travail avec des réglages élémentaires pour utilisateurs” à la page 74 jusqu’à “Travail avec des réglages d’impression pour utilisateurs” à la page 93. Pour créer un utilisateur, vous pouvez également utiliser un préréglage ou un fichier d’importation. Pour plus de détails, consultez les sections “Utilisation de préréglages pour créer des comptes” à la page 73 et “Utilisation du Gestionnaire de groupe de travail pour importer des utilisateurs et des groupes” à la page 243. Modification des informations de compte d’utilisateur Le Gestionnaire de groupe de travail permet de modifier un compte d’utilisateur qui réside dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire. F0170.book Page 68 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 69 Pour apporter des modifications à un compte d’utilisateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. 3 Pour obtenir des instructions, reportez-vous au guide d’administration Open Directory. Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine dans lequel réside le compte d’utilisateur. 4 Pour être authentifié, cliquez sur le cadenas. 5 Cliquez sur le bouton Utilisateurs et sélectionnez l’utilisateur. 6 Modifiez les réglages de l’utilisateur dans les onglets fournis. Pour plus de détails, lisez la section “Travail avec des réglages élémentaires pour utilisateurs” à la page 74 jusqu’à “Travail avec des réglages d’impression pour utilisateurs” à la page 93. Modification simultanée de plusieurs utilisateurs Vous pouvez utiliser le Gestionnaire de groupe de travail pour apporter simultanément les mêmes modifications à plusieurs comptes d’utilisateur qui résident dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire. Pour modifier plusieurs utilisateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez les comptes d’utilisateur à modifier. Cliquez sur l’icône en forme de globe située sous la barre d’outils, choisissez le domaine de répertoire, puis cliquez sur chaque utilisateur tout en maintenant la touche Commande enfoncée. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez pour afficher la sous-fenêtre à utiliser, puis procédez à vos modifications dans les champs que le Gestionnaire de groupe de travail vous autorise à mettre à jour. Modification des comptes dans un maître Open Directory Vous pouvez modifier les comptes du répertoire LDAP d’un Open Directory si vous êtes autorisé à administrer le maître de domaine de répertoire mais pas le serveur lui-même. L’option “L’utilisateur peut administrer ce domaine de répertoire” de la sous-fenêtre Élémentaire de Comptes, dans Gestionnaire de groupe de travail, doit être cochée. F0170.book Page 69 Monday, May 2, 2005 12:37 PM70 Chapitre 4 Configuration des comptes d’utilisateur Si vous ne disposez pas de cette autorisation, vous devez vous authentifier auprès du domaine de répertoire via le compte d’administrateur de répertoire créé dans Mac OS X Server lorsque vous spécifiez que votre serveur est un répertoire maître dans l’utilitaire Admin Serveur. L’identifiant d’utilisateur UID, le nom d’utilisateur et le mot de passe du compte d’administrateur de répertoire (par défaut, l’identifiant d’utilisateur modifiable est 1000 et le nom d’utilisateur, “diradmin”) sont définis par l’administrateur du serveur lors de la création du répertoire. Pour modifier des comptes : 1 Utilisez un ordinateur administrateur configuré (via la sous-fenêtre Services de Format de répertoire) pour accéder au serveur hébergeant le maître Open Directory. 2 Ouvrez le Gestionnaire de groupe de travail sur l’ordinateur administrateur. 3 Une fois la fenêtre d’ouverture de session affichée, choisissez Serveur > Afficher les répertoires. 4 Cliquez sur l’icône en forme de petit globe située au-dessus de la liste des comptes et choisissez Autre dans le menu local. 5 Ouvrez le domaine de répertoire à administrer et cliquez sur le cadenas pour être authentifié en tant qu’administrateur du domaine. Ces instructions sont valables pour un seul et unique administrateur de domaine. Si plusieurs comptes d’administrateur de domaine ont été créés dans le domaine de répertoire, vous pouvez utiliser indifféremment l’un de ces comptes pour déverrouiller le répertoire. Utilisation de comptes d’utilisateur en lecture seule Vous pouvez utiliser le Gestionnaire de groupe de travail pour consulter des informations sur les comptes d’utilisateur stockés dans des domaines de répertoire en lecture seule. Les domaines de répertoires en lecture seule incluent les domaines LDAPv2, les domaines LDAPv3 non configurés pour l’accès en écriture et les fichiers de configuration BSD Pour travailler avec un compte d’utilisateur de type “lecture seule” : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire de Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire dans lequel réside le compte. Pour plus d’informations sur l’utilisation de Format de répertoire pour configurer des connexions serveur, reportez-vous au guide d’administration Open Directory. Pour en savoir plus sur les éléments du compte d’utilisateur qui nécessitent un mappage, consultez l’Annexe A, “Importation et exportation d’informations de compte”. 3 Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine de répertoire dans lequel réside le compte d’utilisateur. 4 Utilisez les onglets fournis pour passer en revue les réglages du compte de l’utilisateur. F0170.book Page 70 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 71 Pour plus de détails, lisez la section “Travail avec des réglages élémentaires pour utilisateurs” à la page 74 jusqu’à “Travail avec des réglages d’impression pour utilisateurs” à la page 93. Définition d’un utilisateur invité Vous pouvez configurer certains services en vue de gérer les utilisateurs “anonymes”. Il s’agit des utilisateurs qui ne peuvent être authentifiés car ils ne disposent pas d’un nom d’utilisateur ou d’un mot de passe valides. Les services suivants peuvent être configurés pour gérer les utilisateurs anonymes : • Services Windows (voir le guide des services Windows pour toute information sur la configuration de l’accès en invité) • Service de fichiers Apple (voir le guide d’administration des services de fichiers pour toute information sur la configuration de l’accès en invité) • Service FTP (voir le guide d’administration des services de fichiers pour toute information sur la configuration de l’accès en invité) • Service Web (voir le guide d’administration des technologies Web pour toute information sur la configuration de l’accès en invité) L’accès des utilisateurs qui se connectent de manière anonyme à un serveur est limité aux fichiers, dossiers et sites Web dont les autorisations sont réglées sur Tous. Il existe un autre type d’utilisateurs invités : les utilisateurs gérés que vous pouvez définir pour permettre une configuration simplifiée d’ordinateurs publics (ou kiosques informatiques). Pour plus d’informations sur ce type d’utilisateurs, consultez le chapitre 9, “Gestion des préférences”, à la page 157. Suppression d’un compte d’utilisateur Le Gestionnaire de groupe de travail permet de supprimer un compte d’utilisateur stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour supprimer un compte d’utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte d’utilisateur à supprimer. Pour trouver le compte, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur. 3 Pour être authentifié, cliquez sur le cadenas. 4 Choisissez Serveur > Effacer l’utilisateur sélectionné ou cliquez sur l’icône Supprimer de la barre d’outils. Avertissement : cette action est irréversible. F0170.book Page 71 Monday, May 2, 2005 12:37 PM72 Chapitre 4 Configuration des comptes d’utilisateur Désactivation d’un compte d’utilisateur Pour désactiver un compte d’utilisateur, vous pouvez : • Décocher l’option “L’utilisateur peut se connecter” dans la sous-fenêtre Élémentaire du Gestionnaire de groupe de travail. • Supprimer le compte. • Remplacer le mot de passe d’utilisateur par une valeur inconnue. • Définir une stratégie de mot de passe qui désactive l’ouverture de session (pour un compte d’utilisateur disposant d’un mot de passe de type Open Directory). Utilisation de préréglages pour les comptes d’utilisateur Les préréglages fonctionnent comme des modèles vous permettant de définir les attributs automatiquement appliqués aux nouveaux comptes d’utilisateur et de groupe. Création d’un préréglage pour des comptes d’utilisateur Vous pouvez créer un ou plusieurs préréglages à choisir lors de la création de nouveaux comptes d’utilisateur dans un domaine de répertoire particulier. Pour créer un préréglage pour des comptes d’utilisateurs : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur à partir duquel vous créez les comptes d’utilisateur. Assurez-vous que le serveur a été configuré pour accéder au domaine de répertoire Mac OS X ou LDAPv3 non Apple sur lequel le préréglage sera utilisé pour créer de nouveaux comptes. Pour passer d’un domaine à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. 2 Cliquez sur Comptes. 3 Pour créer un préréglage à l’aide de données stockées dans un compte d’utilisateur existant, ouvrez le compte. Pour créer un préréglage à l’aide d’un compte d’utilisateur vide, créez un compte d’utilisateur. 4 Remplissez les champs avec les valeurs que vous souhaitez voir héritées par les nouveaux comptes d’utilisateur. Supprimez les valeurs que vous ne souhaitez pas inclure dans les préréglages si vous prenez comme point de départ un compte existant. Les attributs suivants peuvent être définis dans un préréglage de compte d’utilisateur :réglages de mot de passe, autorisations d’administrateur, réglages de répertoire de départ, quotas, shell par défaut, identifiant de groupe principal, liste des membres du groupe, commentaire, réglages d’ouverture de session, réglages d’impression et réglages de courrier. 5 Cliquez sur Préférences, configurez les réglages que vous souhaitez inclure dans le préréglage, puis puis cliquez sur Comptes. Après avoir configuré les préférences d’un préréglage, vous devez retourner aux réglages de Comptes pour enregistrer le préréglage. F0170.book Page 72 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 73 6 Choisissez Enregistrer le préréglage dans le menu local Préréglages, tapez un nom pour le préréglage, puis cliquez sur OK. Le préréglage est enregistré dans le domaine de répertoire actuel. Utilisation de préréglages pour créer des comptes Les préréglages constituent un moyen rapide pour appliquer des réglages à un nouveau compte. Après avoir appliqué le préréglage, vous pouvez si nécessaire continuer à modifier les réglages du nouveau compte. Pour créer un compte à l’aide d’un préréglage : 1 Ouvrez le Gestionnaire de groupe de travail sur un serveur configuré pour accéder au domaine de répertoire Mac OS X ou LDAPv3 non Apple dans lequel le préréglage sera utilisé pour créer le nouveau compte. 2 Cliquez sur Comptes. 3 Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine de répertoire dans lequel vous souhaitez faire résider le nouveau compte. 4 Pour être authentifié, cliquez sur le cadenas. 5 Choisissez un élément dans le menu local Préréglages. Si vous comptez importer un fichier, choisissez un préréglage dans la zone de dialogue des options d’importation. 6 Créez un compte de manière interactive ou à l’aide d’un fichier d’importation. Si un réglage est spécifié à la fois dans le préréglage et dans le fichier d’importation, la valeur dans le fichier est utilisée. Si un réglage est spécifié dans le préréglage mais pas dans le fichier d’importation, la valeur du préréglage est utilisée. 7 Si nécessaire, ajoutez ou mettez à jour des valeurs d’attribut de manière interactive ou à l’aide d’un fichier d’importation. Renommer des préréglages Attribuez un nom à vos préréglages pour vous aider à vous souvenir des réglages modèles ou à identifier le type de compte d’utilisateur, de compte de groupe ou de liste d’ordinateurs auquel ce préréglage convient le mieux. Il est possible de renommer les préréglages si nécessaire. Pour renommer un préréglage : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur où le préréglage a été défini. 2 Cliquez sur Comptes. 3 Choisissez Renommer le préréglage dans le menu local Préréglages. 4 Saisissez le nouveau nom et cliquez sur OK. F0170.book Page 73 Monday, May 2, 2005 12:37 PM74 Chapitre 4 Configuration des comptes d’utilisateur Modification de préréglages Lorsque vous modifiez un préréglage, les comptes existants qu’il a contribué à créer ne sont pas mis à jour pour refléter vos modifications. Pour modifier un préréglage : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur où le préréglage a été défini. 2 Cliquez sur Comptes. 3 Choisissez un élément dans le menu local Préréglages. 4 Après avoir terminé vos modifications, choisissez Enregistrer le préréglage dans le menu local Préréglages. Vous pouvez également modifier un préréglage tout en l’utilisant pour créer un compte : il vous suffit alors de changer tout champ défini par le préréglage, puis de l’enregistrer. Suppression de préréglages Vous pouvez supprimer les préréglages dont vous n’avez plus besoin. Pour supprimer un préréglage : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur où le préréglage a été défini. 2 Cliquez sur Comptes. 3 Choisissez Supprimer le préréglage dans le menu local Préréglages. 4 Sélectionnez le préréglage à supprimer, puis cliquez sur Supprimer. Travail avec des réglages élémentaires pour utilisateurs Les réglages élémentaires sont un ensemble d’attributs devant être définis pour tous les utilisateurs. Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Élémentaire de la fenêtre du compte d’utilisateur pour utiliser des réglages élémentaires. Définition de noms complets d’utilisateurs Le nom d’utilisateur correspond au nom complet d’un utilisateur, comme par exemple Jeanne Dubois ou Dr Pierre Martin (il est parfois appelé nom réel). Les utilisateurs peuvent se connecter à l’aide du nom d’utilisateur ou du nom abrégé associés à leur compte. Les noms complets d’utilisateur sont sensibles à la casse dans la fenêtre d’ouverture de session, de sorte que l’ouverture de session échoue si un utilisateur tape MARIE DUPONT au lieu de Marie Dupont. Les noms d’utilisateur ne sont toutefois pas sensibles à la casse lorsqu’ils sont utilisés pour authentifier un utilisateur afin de lui accorder l’accès à un serveur de fichiers ou pour ouvrir une session à partir de clients Mac OS 9 Gestionnaire Macintosh. F0170.book Page 74 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 75 Un nom complet d’utilisateur ne peut pas contenir plus de 255 octets. Comme les noms complets d’utilisateur gèrent plusieurs jeux de caractères, le nombre maximal de caractères peut varier de 255 caractères romains à 85 caractères (pour les jeux de caractères qui occupent jusqu’à 3 octets). Le Gestionnaire de groupe de travail permet de modifier le nom d’utilisateur d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les noms d’utilisateur de tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour travailler avec le nom d’utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte à utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Dans le champ Nom de la sous-fenêtre Élémentaire, vérifiez le nom d’utilisateur et modifiez-le si nécessaire. La valeur initiale du nom d’utilisateur correspond à “Sans titre ”. Après la modification du nom, le Gestionnaire de groupe de travail ne vérifie pas si celui-ci est unique. Évitez d’attribuer le même nom à plusieurs utilisateurs. Bien que le Gestionnaire de groupe de travail ne vous permette pas d’attribuer le même nom à plusieurs utilisateurs d’un domaine particulier ou de tout domaine qui se trouve dans le chemin de recherche (politique de recherche) du serveur que vous utilisez, il n’a aucun moyen de détecter la présence éventuelle de doublons dans les autres domaines. Définition de noms abrégés d’utilisateurs Un nom abrégé correspond à la version abrégée d’un utilisateur, comme par exemple ebrown ou arnoldsmith. Les utilisateurs peuvent se connecter à l’aide du nom abrégé ou du nom d’utilisateur associé à leur compte. Le nom abrégé est utilisé par Mac OS X pour les répertoires de départ et les groupes : • Lorsque Mac OS X crée automatiquement un répertoire de départ (local ou AFP en réseau) pour un utilisateur, il lui donne le nom abrégé de l’utilisateur. Pour plus d’informations sur les répertoires de départ, consultez le chapitre 7, “Configuration des répertoires de départ”. F0170.book Page 75 Monday, May 2, 2005 12:37 PM76 Chapitre 4 Configuration des comptes d’utilisateur • Lorsque Mac OS X vérifie si un utilisateur appartient à un groupe autorisé à accéder à un fichier particulier, il utilise des noms abrégés pour retrouver les identifiants d’utilisateur des membres du groupe. Pour obtenir un exemple, reportez-vous à la section “Mesures de prévention contre les doublons de noms abrégés” à la page 79. Vous pouvez associer jusqu’à 16 noms abrégés à un compte d’utilisateur. Ces noms abrégés peuvent par exemple servir d’alias pour les comptes de courrier. Le premier nom abrégé étant le nom utilisé pour les répertoires de départ et les listes des membres du groupe, ne l’attribuez pas à nouveau après avoir enregistré le compte d’utilisateur. Un nom abrégé d’utilisateur peut contenir jusqu’à 255 caractères romains. Toutefois, pour les clients qui utilisent Mac OS X 10.1.5 et versions antérieures, le premier nom abrégé d’utilisateur ne peut contenir plus de 8 caractères. N’utilisez que les caractères ci-après pour le premier nom abrégé d’utilisateur (les noms abrégés suivants peuvent contenir n’importe quel caractère romain) : • de a à z • de a à z • de 0 à 9 • _ (trait de soulignement) Les noms abrégés contiennent généralement huit caractères au maximum. Le Gestionnaire de groupe de travail permet de modifier le nom abrégé d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les noms abrégés de tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour travailler avec un nom abrégé d’utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour sélectionner le compte, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez le compte d’utilisateur. 3 Pour être authentifié, cliquez sur le cadenas. 4 Dans le champ Noms abrégés de la sous-fenêtre Élémentaire, vérifiez les noms abrégés ou modifiez-les si nécessaire. La valeur initiale du nom abrégé correspond à “Sans titre”. Si vous spécifiez plusieurs noms abrégés, ils doivent être sur des lignes différentes. F0170.book Page 76 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 77 Évitez d’attribuer le même nom abrégé à plusieurs utilisateurs. Bien que le Gestionnaire de groupe de travail ne vous permette pas d’attribuer le même nom abrégé à plusieurs utilisateurs d’un domaine particulier ou de tout domaine qui se trouve dans le chemin de recherche (politique de recherche) du serveur que vous utilisez, il n’a aucun moyen de détecter la présence éventuelle de doublons dans les autres domaines. Une fois le compte d’utilisateur enregistré, vous ne pouvez plus modifier le premier nom abrégé, mais vous pouvez en revanche modifier les autres dans une liste de noms abrégés. Choix de noms abrégés permanents Lorsque vous créez des groupes, Mac OS X identifie les utilisateurs qui en font partie par leur premier nom abrégé, qui ne peut être modifié. Si vous devez absolument modifier un nom abrégé, vous pouvez créer pour l’utilisateur un compte (dans le même domaine de répertoire) qui contient le nouveau nom abrégé mais conserve toutes les autres informations (identifiant d’utilisateur, groupe principal, répertoire de départ, etc.). Vous pouvez ensuite désactiver l’ouverture de session pour l’ancien compte d’utilisateur. Désormais, l’utilisateur peut se connecter à l’aide du nom modifié, tout en continuant à disposer du même accès aux fichiers et autres ressources de réseaux qu’auparavant. (Pour plus d’informations sur la désactivation d’un compte de connexion, consultez la section “Désactivation d’un compte d’utilisateur” à la page 72.) Eviter les doublons de noms Si des comptes d’utilisateur différents portent le même nom (nom d’utilisateur ou nom abrégé) sur un ordinateur Mac OS X, la fenêtre d’ouverture de session affichera la liste des utilisateurs afin que vous puissiez choisir. Il s’agit d’une nouvelle fonctionnalité de Mac OS X 10.4 qui n’est pas prise en charge par les versions antérieures. F0170.book Page 77 Monday, May 2, 2005 12:37 PM78 Chapitre 4 Configuration des comptes d’utilisateur Prenons l’exemple de trois domaines de répertoire partagés après la création de leurs utilisateurs. Tony Smith a un compte dans le domaine Étudiants et Tom Smith un compte dans le domaine racine. Aux deux comptes sont associés le nom abrégé “tsmith” et le mot de passe “smitty”. Lorsque Tony ouvre une session sur son ordinateur avec le nom d’utilisateur “tsmith” et le mot de passe “smitty”, la fenêtre d’ouverture de session affiche les deux utilisateurs dont les comptes disposent des mêmes nom abrégé et mot de passe (Tony Smith et Tom Smith). Si Tony sélectionne le nom de Tom, il peut se connecter en tant que Tom et accéder aux fichiers de Tom, ce qui n’est pas l’effet recherché. À présent, admettons que Tony et Tom ont le même nom abrégé mais des mots de passe différents. / Étudiants Faculté Ordinateur de Tony Tony Smith (tsmith,smitty) Tom Smith (tsmith,smitty) Ordinateur de Tom / Étudiants Faculté Ordinateur de Tony Tony Smith (tsmith, tony) Tom Smith (tsmith,smitty) Ordinateur de Tom F0170.book Page 78 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 79 Si Tom tente d’ouvrir une session sur l’ordinateur de Tony à l’aide du nom abrégé “tsmith” et de son propre mot de passe (smitty), Mac OS X trouve “tsmith” dans les deux domaines et propose à Tom de choisir le nom d’utilisateur sous lequel il souhaite être authentifié. Sa seule option est de s’authentifier auprès de son enregistrement d’utilisateur dans le domaine root, avec son propre mot de passe. Si Tony dispose, dans son domaine de répertoire local, d’un enregistrement d’utilisateur comprenant les mêmes nom et mot de passe que son enregistrement dans le domaine Étudiants, il peut toujours choisir l’identifiant d’utilisateur sous lequel il souhaite se connecter. Le domaine local de Tony devrait offrir une combinaison nom/mot de passe le distinguant de l’enregistrement du domaine Étudiants. Si le domaine Étudiants n’est pas accessible (lorsque Tony travaille chez lui, par exemple), il ne peut s’y connecter que si son compte est configuré comme un compte mobile. Dans ce cas, il peut utiliser les fichiers de son ordinateur créés sous l’utilisateur mobile. Tony pourra toujours choisir dans la fenêtre d’ouverture de session le nom d’utilisateur sous lequel il souhaite s’authentifier si son identifiant d’utilisateur est le même dans le domaine local et dans le domaine Étudiants. Les doublons de noms abrégés peuvent avoir des effets indésirables dans les enregistrements de groupe (voir section suivante). Mesures de prévention contre les doublons de noms abrégés Les noms abrégés étant utilisés pour trouver les identifiants d’utilisateur des membres de groupe, si des noms abrégés sont dupliqués, l’accès aux fichiers peut être accordé à des groupes auxquels vous ne souhaitiez pas autoriser l’accès. F0170.book Page 79 Monday, May 2, 2005 12:37 PM80 Chapitre 4 Configuration des comptes d’utilisateur Reportez-vous à l’exemple de Tony et Tom Smith, qui sont tous deux dotés du même nom abrégé. Supposons que l’administrateur ait créé un groupe dans le domaine racine auquel tous les étudiants appartiennent. Le groupe - Touslesétudiants - a un identifiant de groupe de 2017. Maintenant, supposons qu’un fichier, MonDoc, soit situé sur un ordinateur accessible à Tony et Tom. Le fichier a pour propriétaire un utilisateur dont l’identifiant est 127. Il dispose d’autorisations d’accès en lecture seule pour Touslesétudiants. Tony, et non Tom, a été ajouté au groupe Touslesétudiants, mais comme la liste des membres d’un groupe est constituée de noms abrégés plutôt que d’identifiants d’utilisateur et que le nom abrégé tsmith est répertorié comme membre de Touslesétudiants, Tony et Tom seront tous deux membres effectifs de Touslesétudiants. Si Tom tente d’accéder à MonDoc, Mac OS X détermine que les autorisations de possesseur ne s’appliquent pas à Tom et poursuit pour vérifier si les autorisations de groupe peuvent être appliquées à Tom. Mac OS X recherche dans la hiérarchie d’ouverture de session les enregistrements d’utilisateur dont les noms abrégés correspondent à ceux associés à Touslesétudiants. L’enregistrement d’utilisateur de Tom est trouvé (nom abrégé tsmith), car il est situé dans la hiérarchie d’ouverture de session, et l’identifiant d’utilisateur de l’enregistrement est comparé à l’identifiant d’ouverture de session de Tom. Etant donné qu’ils se correspondent, Tom est autorisé à lire MonDoc, même s’il n’est pas membre de Touslesétudiants. / Étudiants Faculté Ordinateur de Tony Tony Smith (tsmith,smitty, UID 3000) Tom Smith (tsmith,smitty, UID 2000) Touslesétudiants (tsmith, GID 2017) Ordinateur de Tom MonDoc Possesseur 127 : lecture et écriture Groupe 2017 : lecture seulement Autres : aucun F0170.book Page 80 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 81 Définition d’identifiants d’utilisateur Un identifiant d’utilisateur est un chiffre qui permet d’identifier un utilisateur de manière unique. Les ordinateurs Mac OS X utilisent l’identifiant d’utilisateur pour assurer le suivi des répertoires et fichiers que possède un utilisateur. Lorsqu’un utilisateur crée un répertoire ou un fichier, l’identifiant d’utilisateur est stocké en tant qu’identifiant du créateur. Un utilisateur doté de cet identifiant dispose par défaut d’autorisations en lecture et écriture pour le répertoire ou le fichier créé. L’identifiant doit consister en une chaîne unique de chiffres compris entre 500 et 2 147 483 648. L’affectation du même identifiant à différents utilisateurs est risquée car deux utilisateurs dotés du même identifiant disposent des mêmes autorisations d’accès aux répertoires et aux fichiers. L’identifiant d’utilisateur 0 est réservé à l’utilisateur root. Les identifiants inférieurs à 100 sont réservés au système ; les utilisateurs portant ces identifiants ne peuvent être supprimés ou modifiés, sauf pour changer le mot de passe de l’utilisateur root. En règle générale, vous ne devez plus modifier les identifiants d’utilisateur une fois qu’ils ont été attribués et que les utilisateurs ont commencé à créer des fichiers et des répertoires sur un réseau. Vous pourriez cependant être amené à transgresser cette règle si vous fusionnez des utilisateurs créés sur des serveurs différents en un seul serveur ou groupe de serveurs. Il se peut alors qu’un même identifiant d’utilisateur ait été associé à un autre utilisateur sur le serveur précédent. Lorsque vous créez un compte d’utilisateur dans un domaine de répertoire partagé quelconque, le Gestionnaire de groupe de travail affecte automatiquement un identifiant d’utilisateur. La valeur attribuée correspond à un identifiant inutilisé (1 025 ou plus) dans le chemin de recherche du serveur. (Les nouveaux utilisateurs créés à l’aide de la sous-fenêtre des préférences de comptes des ordinateurs Mac OS X reçoivent des identifiants qui commencent à 501.) Le Gestionnaire de groupe de travail permet de modifier l’identifiant d’un compte stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour examiner l’identifiant d’utilisateur dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour changer un identifiant d’utilisateur dans le Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour sélectionner un compte, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte d’utilisateur, puis sélectionnez l’utilisateur. F0170.book Page 81 Monday, May 2, 2005 12:37 PM82 Chapitre 4 Configuration des comptes d’utilisateur 3 Pour être authentifié, cliquez sur le cadenas. 4 Dans la sous-fenêtre Élémentaire, spécifiez une valeur dans le champ “Id. d’utilisateur”. Cette valeur doit être unique dans la politique de recherche (chemin de recherche) des ordinateurs auxquels l’utilisateur se connectera. Définition de mots de passe Pour plus d’informations sur la définition des mots de passe, consultez le guide d’administration Open Directory. Réglage des options de mot de passe pour les utilisateurs importés Lorsque vous exportez des utilisateurs à l’aide de Gestionnaire de groupe de travail, les informations des mots de passe ne sont pas exportées. Pour définir des mots de passe, vous pouvez soit modifier le fichier d’exportation avant de l’importer, soit définir des mots de passe après l’importation. Il est également possible de créer manuellement un fichier d’importation délimité par du texte et d’y insérer des mots de passe. Pour apprendre comment utiliser des fichiers d’importation, reportez-vous à l’annexe A. Pour définir des options de mot de passe après l’importation : 1 Importez les utilisateurs à l’aide du Gestionnaire de groupe de travail ou de l’outil de ligne de commande dsimport. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 3 Ouvrez le répertoire contenant les utilisateurs importés. 4 Sélectionnez les utilisateurs dont vous souhaitez définir les options de mot de passe. 5 Cliquez sur Avancé. 6 Assurez-vous que le Type du mot de passe est réglé sur Open Directory, cliquez sur Options, définissez les options de mot de passe et cliquez sur OK. 7 Cliquez sur Enregistrer. Pour en savoir plus sur l’importation des utilisateurs, consultez l’annexe A. Pour plus d’informations sur les mots de passe Open Directory, reportez-vous au guide d’administration Open Directory. Attribution de droits d’administrateur pour un serveur Un utilisateur disposant d’autorisations d’administration de serveur peut contrôler la plupart des réglages de configuration du serveur et utiliser des applications, telles qu’Admin Serveur, qui requièrent que l’utilisateur soit membre du groupe d’administration du serveur. F0170.book Page 82 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 83 Le Gestionnaire de groupe de travail permet d’attribuer des autorisations d’administrateur de serveur au répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les autorisations d’administrateur de serveur de tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour définir des autorisations d’administrateur de serveur dans le Gestionnaire de groupe de travail : 1 Connectez-vous au Gestionnaire de groupe de travail en spécifiant le nom ou l’adresse IP du serveur pour lequel vous souhaitez attribuer des autorisations d’administration. 2 Cliquez sur Comptes. 3 Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine de répertoire dans lequel réside le compte d’utilisateur. 4 Pour être authentifié, cliquez sur le cadenas. 5 Dans la sous-fenêtre Élémentaire, sélectionnez l’option “L’utilisateur peut administrer le serveur” afin d’accorder des autorisations d’administration de serveur. Attributions de droits d’administrateur pour un domaine de répertoire Un utilisateur disposant d’autorisations d’administration pour un domaine de répertoire Apple peut, à l’aide du Gestionnaire de groupe de travail, modifier les comptes d’utilisateur, les comptes de groupe et les listes d’ordinateurs stockés dans ce domaine. Les modifications que peut apporter l’utilisateur sont limitées à celles que vous spécifiez. Le Gestionnaire de groupe de travail permet d’attribuer des autorisations d’administration de domaine de répertoire à un compte stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir ces autorisations dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour définir des autorisations d’administration de domaine de répertoire dans le Gestionnaire de groupe de travail : 1 Assurez-vous que l’utilisateur possède un compte dans le répertoire de domaine. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 3 Sélectionnez le compte d’utilisateur. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte d’utilisateur, puis sélectionnez le compte. 4 Pour être authentifié, cliquez sur le cadenas. 5 Dans la sous-fenêtre Élémentaire, sélectionnez l’option L’utilisateur peut administrer ce domaine de répertoire. F0170.book Page 83 Monday, May 2, 2005 12:37 PM84 Chapitre 4 Configuration des comptes d’utilisateur 6 Pour spécifier ce que l’utilisateur pourra administrer dans le domaine, cliquez sur Autorisations. Par défaut, l’utilisateur ne dispose pas d’autorisations de domaine de répertoire. 7 Cliquez sur le bouton Utilisateurs, Groupes ou Listes d’ordinateurs et effectuez vos réglages. Si vous ne cochez aucune case (telle que L’administrateur peut modifier les préférences d’utilisateur), l’utilisateur pourra voir les informations de compte ou les préférences dans le Gestionnaire de groupe de travail, mais il ne pourra pas les modifier. Pour ajouter un élément à la zone des éléments “ci-dessous” (située à droite), faites-le glisser à partir de la liste Disponible (située à gauche). Pour supprimer un élément, sélectionnez-le, puis appuyez sur la touche de suppression du clavier. GUID Disponible depuis Mac OS X 10.4, l’identifiant universel appelé identifiant unique global (GUID) fournit à l’utilisateur et au groupe une identité pour les autorisations ACL. Le GUID associe également un utilisateur à des abonnements de groupe et de groupe imbriqué. Vous trouverez des informations sur les GUID et leurs implications à l’Annexe B. Travail avec des réglages avancés pour utilisateurs Les réglages avancés comprennent les réglages d’ouverture de session, les mots de passe, la politique de validation de mot de passe et un champ de commentaire. Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Avancé située dans la fenêtre du compte d’utilisateur pour utiliser des réglages avancés. Définition de réglages d’ouverture de session En spécifiant des réglages d’ouverture de session pour l’utilisateur, vous pouvez : • Contrôler si l’utilisateur peut être authentifié à l’aide du compte. • Autoriser ou empêcher un utilisateur géré de se connecter simultanément à plusieurs ordinateurs gérés. • Indiquer si l’utilisateur d’un ordinateur géré peut ou doit sélectionner un groupe de travail lors de l’ouverture de session ou si vous souhaitez éviter d’afficher les groupes de travail lorsque l’utilisateur ouvre sa session. • Identifier le shell par défaut, tel que /bin/csh ou /bin/bash (valeur par défaut), employé par l’utilisateur pour les interactions de ligne de commande avec Mac OS X. Ce shell est utilisé par l’application Terminal de l’ordinateur sur lequel l’utilisateur s’est connecté, mais la préférence de Terminal vous permet de l’écraser. Le shell par défaut est utilisé par SSH (Secure Shell) ou Telnet lorsque l’utilisateur se connecte à un ordinateur Mac OS X distant. F0170.book Page 84 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 85 Le Gestionnaire de groupe de travail permet de définir les réglages de connexion d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les réglages de connexion de tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour utiliser des réglages de connexion à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Avancé. 5 Sélectionnez Autoriser les ouvertures de session simultanées pour permettre à un utilisateur de se connecter à plusieurs ordinateurs gérés à la fois. Remarque : les ouvertures de session simultanées sont généralement déconseillées. Il est préférable de les réserver à l’équipe technique, aux professeurs ou à d’autres utilisateurs disposant d’autorisations d’administrateur. (Les utilisateurs qui disposent d’un répertoire de départ réseau stockent leurs préférences d’applications et leurs documents dans cet emplacement. Les ouvertures de session simultanées risquent de modifier ces éléments ; de nombreuses applications ne permettent pas ce type de modifications lorsqu’elles sont ouvertes.) Vous ne pouvez pas désactiver les ouvertures de session simultanées pour les utilisateurs disposant de répertoires de départ NFS. 6 Pour spécifier le shell par défaut de l’utilisateur lors de sa connexion sur un ordinateur Mac OS X computer, choisissez un shell dans le menu local Shell d’accès. Remarque : il existe dans Terminal une préférence qui permet à utilisateur de redéfinir le shell par défaut. Pour introduire un shell ne figurant pas dans la liste, cliquez sur Personnalisé. Pour s’assurer qu’un utilisateur ne peut pas accéder au serveur à distance via une ligne de commande, choisissez Aucun. F0170.book Page 85 Monday, May 2, 2005 12:37 PM86 Chapitre 4 Configuration des comptes d’utilisateur Définition d’un type de mot de passe Pour plus d’informations sur la configuration et la gestion des mots de passe, consultez le guide d’administration Open Directory. Création d’une liste maîtresse de mots-clés Vous pouvez définir des mots-clés qui permettent le tri et la recherche rapides d’utilisateurs. L’utilisation de mots-clés peut simplifier des tâches telles que créer des groupes ou modifier plusieurs utilisateurs. Avant de commencer à ajouter des mots-clés aux enregistrements d’utilisateur, vous devez créer une liste maîtresse de mots-clés. La liste de mots-clés affichées dans le panneau Avancé d’un utilisateur sélectionné ne s’applique qu’à cet utilisateur. Pour modifier la liste maîtresse de mots-clés : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Avancé. 5 Cliquez sur le bouton Modifier (crayon) pour afficher la liste maîtresse de mots-clés. La liste maîtresse présente tous les termes utilisables comme mots-clés. Vous pouvez y accéder et la modifier à partir de n’importe quel compte d’utilisateur sélectionné. 6 Pour ajouter un mot-clé à la liste, cliquez sur (+) et saisissez le mot-clé dans le champ. 7 Pour supprimer un mot-clé de la liste et de tous les enregistrements d’utilisateur où il apparaît, sélectionnez-le, choisissez Supprimer les mots-clés effacés des utilisateurs, puis cliquez sur (–). Pour supprimer un mot-clé uniquement de la liste, assurez-vous que l’option “Supprimer les mots-clés effacés des utilisateurs” n’est pas activée, sélectionnez le mot-clé à supprimer, puis cliquez sur (–). 8 Une fois que vous avez terminé de modifier la liste maîtresse, cliquez sur OK. F0170.book Page 86 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 87 Application de mots-clés aux comptes d’utilisateur Il est impossible d’ajouter des mots-clés à plusieurs utilisateurs à la fois, mais vous pouvez toutefois, si nécessaire, supprimer un mot-clé de tous les utilisateurs marqués par ce mot-clé. Pour manipuler les mots-clés d’un compte d’utilisateur individuel : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Avancé. 5 Pour ajouter un mot-clé au compte sélectionné, cliquez sur (+) pour afficher la liste des mots-clés disponibles. Sélectionnez un ou plusieurs termes dans la liste, puis cliquez sur OK. 6 Pour supprimer le mot-clé d’un utilisateur spécifique, sélectionnez le terme à supprimer et cliquez sur (–). 7 Une fois que vous avez terminé d’ajouter ou de supprimer des mots-clés pour l’utilisateur sélectionné, cliquez sur Enregistrer. Modification de commentaires Vous pouvez sauvegarder un commentaire dans le compte d’un utilisateur afin de fournir des informations susceptibles d’aider à l’administration de cet utilisateur. Les commentaires peuvent comporter jusqu’à 32 676 caractères. Le Gestionnaire de groupe de travail permet de définir le commentaire d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les commentaires dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour utiliser des commentaires à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Avancé. 5 Modifiez ou passer en revue le contenu du champ Commentaire. F0170.book Page 87 Monday, May 2, 2005 12:37 PM88 Chapitre 4 Configuration des comptes d’utilisateur Travail avec les réglages de groupe pour utilisateurs Les réglages de groupe identifient les groupes dont un utilisateur est membre. Dans Gestionnaire de groupe de travail, utilisez la sous-fenêtre Groupes située dans la fenêtre du compte d’utilisateur pour utiliser les réglages de groupe. Pour obtenir des informations sur l’administration de groupes, consultez le chapitre 5, “Configuration des comptes de groupe”. Définition du groupe principal d’un utilisateur Un utilisateur appartient par défaut à un groupe principal. Vous pouvez faire appartenir le groupe principal à un autre groupe ou imbriquer des groupes dans le groupe principal. Cependant, les préférences définies pour le groupe principal remplacent les préférences définies pour ses groupes imbriqués ou parents. L’identifiant du groupe principal est utilisé par le système de fichiers lorsque l’utilisateur accède à un fichier dont il n’est pas le possesseur. Le système de fichiers vérifie les autorisations de groupe du fichier et, si l’identifiant du groupe principal de l’utilisateur correspond à l’identifiant du groupe associé au fichier, l’utilisateur hérite des autorisations d’accès du groupe. Le groupe principal constitue la manière la plus rapide de déterminer si un utilisateur dispose d’autorisations de groupe pour un fichier. L’identifiant du groupe principal doit être une chaîne de chiffres unique. Sa valeur par défaut est 20 (identifiant du groupe staff), mais vous pouvez la modifier. Sa valeur maximale est 2.147.483.648. Le Gestionnaire de groupe de travail permet de définir l’identifiant de groupe principal d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les informations de groupe principal dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour travailler avec un identifiant de groupe principal à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes. F0170.book Page 88 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 89 5 Modifiez ou passez en revue le contenu du champ Id. du groupe principal. Le Gestionnaire de groupe de travail affiche les noms complet et abrégé du groupe après la saisie d’un identifiant de groupe principal si le groupe existe et s’il est accessible dans le chemin de recherche du serveur auquel vous êtes connecté. Ajout d’un utilisateur à des groupes Ajoutez des utilisateurs à des groupes si vous souhaitez que plusieurs utilisateurs bénéficient des mêmes autorisations d’accès aux fichiers ou si vous souhaitez gérer leurs préférences Mac OS X au moyen de groupes de travail ou de listes d’ordinateurs. Cela pourrait servir, par exemple, à interdire l’accès d’une imprimante à un groupe d’étudiants ou à donner à une équipe de contrôle de la qualité l’accès aux rapports internes de différents groupes. Le Gestionnaire de groupe de travail permet d’ajouter un utilisateur à un groupe si les comptes de l’utilisateur et du groupe se trouvent dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Si le répertoire est implémenté via NFS, tenez compte du fait que l’architecture NFS limite les groupes à 16. Remarque : un utilisateur peut appartenir à un nombre de groupes illimité. Pour ajouter un utilisateur à un groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte d’utilisateur que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes. 5 Cliquez sur le bouton Ajouter (+) pour ouvrir un tiroir dans lequel sont affichés les groupes définis dans le domaine de répertoire avec lequel vous travaillez. (Pour insérer des groupes système dans la liste, choisissez Préférences dans le menu Gestionnaire de groupe de travail, puis sélectionnez Afficher utilisateurs et groupes système.) 6 Sélectionnez le groupe, puis faites-le glisser dans la liste Autres groupes de la sousfenêtre Groupes. Vous pouvez également ajouter des utilisateurs à un groupe via le panneau Membres des comptes de groupe. Remarque : si un utilisateur est membre direct de plusieurs groupes, l’obtention des préférences gérées d’un groupe autre que le groupe principal ne pourra avoir lieu qu’à l’ouverture de session. F0170.book Page 89 Monday, May 2, 2005 12:37 PM90 Chapitre 4 Configuration des comptes d’utilisateur Suppression d’un utilisateur dans un groupe Le Gestionnaire de groupe de travail permet de supprimer un utilisateur d’un groupe si les comptes de l’utilisateur et du groupe se trouvent dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour supprimer un utilisateur dans un groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes. 5 Sélectionnez le ou les groupes dans lesquels vous souhaitez supprimer l’utilisateur, puis cliquez sur le bouton Supprimer (–). Vous pouvez également ajouter des utilisateurs à un groupe via le panneau Membres des comptes de groupe. Vérification des différentes appartenances de groupe d’un utilisateur Vous pouvez employer le Gestionnaire de groupe de travail pour revoir les groupes auxquels un utilisateur appartient, si le compte de ce dernier réside dans un domaine de répertoire accessible à partir du serveur que vous utilisez. Pour revoir les appartenances de groupes à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes. Le groupe principal auquel l’utilisateur appartient s’affiche et les autres groupes d’appartenance sont répertoriés dans la liste Autres groupes. F0170.book Page 90 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 91 Utilisation des réglages de répertoires de départ des utilisateurs Les réglages de répertoires de départ décrivent les attributs de répertoires de départ d’un utilisateur. Pour obtenir des informations sur l’utilisation et la configuration de répertoires de départ, lisez le chapitre 7, “Configuration des répertoires de départ”. Utilisation des réglages de courrier des utilisateurs Vous pouvez créer un compte de messagerie Mac OS X Server pour un utilisateur en spécifiant des réglages de courrier dans le compte de cet utilisateur. Pour utiliser le compte, l’utilisateur doit configurer un client de courrier pour l’identification du nom d’utilisateur, du mot de passe, du service et du protocole de courrier que vous avez spécifiés dans les réglages du courrier. Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Courrier située dans la fenêtre du compte d’utilisateur pour définir les réglages de courrier de l’utilisateur. Pour obtenir des informations sur la configuration et la gestion du service de courrier Mac OS X Server, lisez le guide d’administration du service de courrier. Désactivation du service de courrier d’un utilisateur Le Gestionnaire de groupe de travail permet de désactiver le service de courrier des utilisateurs dont les comptes sont stockés dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Pour désactiver le service de courrier d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Courrier. 5 Sélectionnez Aucun. F0170.book Page 91 Monday, May 2, 2005 12:37 PM92 Chapitre 4 Configuration des comptes d’utilisateur Activation des options de compte de service de courrier Le Gestionnaire de groupe de travail permet d’activer le service de courrier et de définir des options de courrier pour un utilisateur dont le compte est stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les réglages de courrier des comptes stockés dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour utiliser des options de compte de service de courrier d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Courrier. 5 Pour permettre à l’utilisateur d’utiliser le service de courrier, sélectionnez Activé. 6 Saisissez un nom ou une adresse de serveur de courrier valide dans les champs Serveur de courrier pour le nom DNS ou l’adresse IP du serveur vers lequel les messages de l’utilisateur seront dirigés. Le Gestionnaire de groupe de travail ne vérifie pas ces informations. 7 Saisissez une valeur dans le champ Quota de courrier pour spécifier le nombre maximal de méga-octets autorisés pour la boite à lettres de l’utilisateur. La valeur 0 (zéro) ou un champ vide signifient qu’aucun quota n’est appliqué. Lorsque l’espace réservé aux messages de l’utilisateur approche ou dépasse le quota de courrier spécifié, le service de courrier affiche une invite afin que l’utilisateur supprime des messages pour libérer de l’espace. Le message affiche les informations de quota en kilo-octets (Ko) ou en méga-octets (Mo). 8 Sélectionnez un réglage d’Accès au courrier pour identifier le protocole utilisé pour le compte de courrier de l’utilisateur. Post Office Protocol (POP) et/ou Internet Message Access Protocol (IMAP). 9 Les fonctions suivantes ne sont gérées que pour les comptes de courrier résidant sur un serveur qui utilise un logiciel Mac OS X Server antérieur à la version 10.3. Sélectionnez un réglage Options pour déterminer les caractéristiques de boîte de courrier entrant pour les comptes accédant au courrier via POP et IMAP. Utiliser des boîtes POP et IMAP séparées crée des boîtes de réception distinctes pour le courrier POP et pour le courrier IMAP. L’option Afficher la boîte POP dans la liste de dossiers IMAP permet d’afficher un dossier IMAP appelé “boîte POP”. F0170.book Page 92 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 93 Sélectionnez Activer NotifyMail pour notifier automatiquement à l’application de courrier de l’utilisateur la réception de nouveaux messages. L’adresse IP à laquelle est envoyée la notification peut être soit la dernière adresse IP de connexion de l’utilisateur, soit une adresse que vous spécifiez. Faire suivre le courrier d’un utilisateur Le Gestionnaire de groupe de travail permet de configurer le transfert du courrier pour des utilisateurs dont les comptes sont stockés dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour faire suivre les messages d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Courrier. 5 Sélectionnez Faire suivre et saisissez l’adresse électronique de réacheminement dans le champ Faire suivre à. Veillez à saisir l’adresse correcte. Le Gestionnaire de groupe de travail ne vérifie pas l’existence de l’adresse. Travail avec des réglages d’impression pour utilisateurs Les réglages d’impression associés au compte d’un utilisateur définissent la possibilité pour cet utilisateur d’imprimer sur des files d’attente accessibles d’un Mac OS X Server, alors que le service d’impression impose des quotas d’impression. Le guide d’administration du service d’impression vous explique comment configurer des files d’attente d’impression appliquant des quotas. Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Quota d’impression située dans la fenêtre du compte d’utilisateur pour définir les quotas d’impression d’un utilisateur : • Pour désactiver l’accès d’un utilisateur aux files d’attente imposant des quotas d’impression, sélectionnez Aucun (option par défaut). • Pour permettre à un utilisateur de lancer des impressions vers toutes les files d’attente accessibles imposant des quotas, sélectionnez Toutes les files d’attente. • Pour permettre à un utilisateur de lancer des impressions vers des files d’attente spécifiques imposant des quotas, sélectionnez Par file d’attente. F0170.book Page 93 Monday, May 2, 2005 12:37 PM94 Chapitre 4 Configuration des comptes d’utilisateur Désactivation de l’accès d’un utilisateur aux files d’attente imposant des quotas Vous pouvez employer le Gestionnaire de groupe de travail pour empêcher un utilisateur de lancer des impressions vers une file d’attente accessible d’un Mac OS X imposant des quotas. Pour utiliser le Gestionnaire de groupe de travail, il faut que le compte de l’utilisateur soit stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour désactiver l’accès d’un utilisateur aux files d’attente imposant des quotas : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Quota d’impression. 5 Sélectionnez Aucun. Activation l’accès d’un utilisateur aux files d’attente imposant des quotas Vous pouvez utiliser le Gestionnaire de groupe de travail pour autoriser un utilisateur à lancer des impressions vers tout ou partie des files d’attente accessibles d’un Mac OS X imposant des quotas. Pour utiliser le Gestionnaire de groupe de travail, il faut que le compte de l’utilisateur soit stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour définir le quota d’impression d’un utilisateur pour les files d’attente imposant des quotas : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Quota d’impression. Pour configurer un quota à appliquer à toutes les files d’attente, suivez l’étape 5. Pour quelques files d’attente, suivez plutôt l’étape 6. 5 Cliquez sur Toutes les files d’attente, puis spécifiez le nombre maximal de pages que l’utilisateur doit pouvoir imprimer pendant un nombre de jours donné via une file d’attente quelconque imposant des quotas. F0170.book Page 94 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 95 6 Cliquez sur Par file d’attente, puis déroulez le menu local Nom de la file afin de sélectionner la file d’attente pour laquelle vous souhaitez définir un quota à l’attention des utilisateurs. Si la file d’attente que vous souhaitez rechercher ne figure pas dans le menu local “Nom de la file”, cliquez sur Ajouter pour entrer son nom, puis spécifiez, dans le champ Serveur d’impression, l’adresse IP ou le nom DNS du serveur sur lequel cette file d’attente est définie. Pour donner à l’utilisateur des droits d’impression illimités sur la file, cliquez sur “Impression illimitée”. Sinon, spécifiez le nombre maximal de pages qu’il peut imprimer pendant un nombre de jours donné. Cliquez sur Enregistrer. Suppression du quota d’impression d’un utilisateur pour une file spécifique Si vous ne voulez plus appliquer un quota d’impression à une file d’attente particulière, vous pouvez le supprimer pour des utilisateurs spécifiques. Pour supprimer le quota d’impression d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte d’utilisateur que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Quota d’impression. 5 Pour désactiver l’accès d’un utilisateur à une file d’attente, identifiez-la en utilisant le menu local Nom de la file ainsi que le champ Serveur d’impression. 6 Cliquez sur Supprimer. Réinitialisation du quota d’impression d’un utilisateur Il arrive parfois qu’un utilisateur ayant déjà dépassé son quota d’impression ait besoin d’imprimer des pages supplémentaires. Un administrateur peut, par exemple, avoir un manuel de 200 pages à imprimer alors que son quota ne lui en autorise que 150. Ou encore, un étudiant qui a dépassé son quota en imprimant un rapport peut devoir imprimer une copie révisée du rapport. Le Gestionnaire de groupe de travail vous permet de réinitialiser le quota d’impression d’un utilisateur et d’autoriser ce dernier à effectuer d’autres impressions. F0170.book Page 95 Monday, May 2, 2005 12:37 PM96 Chapitre 4 Configuration des comptes d’utilisateur Pour redémarrer le quota d’impression d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Quota d’impression. 5 Si l’utilisateur est configuré pour utiliser toutes les files d’attente gérant les quotas, cliquez sur Redémarrer Quota d’impression. Si les quotas d’impression d’un utilisateur sont propres à certaines files d’attente, déroulez le menu local Nom de la file et le champ Serveur d’impression afin d’identifier une file d’attente, puis cliquez sur Redémarrer Quota d’impression. Vous pouvez également augmenter le nombre de pages d’un utilisateur sans réinitialiser la période de quota, en modifiant le nombre de pages allouées à cet utilisateur. Ainsi, la période du quota demeure inchangée et n’est pas réinitialisée, mais le nombre de pages que l’utilisateur peut imprimer au cours de cette période est réévalué à la fois pour la période de quota en cours et pour les périodes futures. Pour augmenter ou diminuer la limite de pages d’un utilisateur, tapez une nouvelle valeur dans le champ “Limiter à ___ pages”, puis cliquez sur Enregistrer. Utilisation des réglages d’informations pour les utilisateurs Si le compte d’un utilisateur réside dans un domaine de répertoire LDAPv3, il peut contenir des informations qui peuvent être importées par le Carnet d’adresses. Les attributs de cette sous-fenêtre comprennent actuellement le numéro de téléphone, l’adresse de courrier électronique, ainsi que les adresses URL du journal Web et de la page Web. Remarque : il n’existe qu’un seul attribut de téléphone qui prend, par défaut, la valeur du numéro de téléphone de travail figurant dans le Carnet d’adresses. Pour utiliser les réglages d’informations : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. F0170.book Page 96 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 97 3 Pour obtenir des instructions, reportez-vous au guide d’administration Open Directory. Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine dans lequel réside le compte d’utilisateur. 4 Pour être authentifié, cliquez sur le cadenas. 5 Cliquez sur le bouton Utilisateurs et sélectionnez l’utilisateur. 6 Cliquez sur Informations, saisissez vos valeurs ou modifiez-les, puis cliquez sur Enregistrer. Choix de réglages pour les utilisateurs Windows Les ordinateurs utilisant le système d’exploitation Windows peuvent être intégrés à votre réseau Mac OS X Server. Vous pouvez utiliser la sous-fenêtre Windows du Gestionnaire de groupe de travail pour configurer des comptes d’utilisateur et sélectionner des réglages pour les individus qui doivent accéder à des ordinateurs Windows. Pour obtenir des informations détaillées sur l’utilisation des réglages destinés aux utilisateurs ayant accès à des ordinateurs Windows, consultez le guide d’administration des services Windows. F0170.book Page 97 Monday, May 2, 2005 12:37 PMF0170.book Page 98 Monday, May 2, 2005 12:37 PM5 99 5 Configuration des comptes de groupe Un compte de groupe permet de gérer facilement un ensemble d’utilisateurs aux besoins similaires. Ce chapitre explique comment configurer et gérer des comptes de groupe. À propos des comptes de groupe Les comptes de groupe stockent les identités des utilisateurs qui appartiennent à un groupe ainsi que des informations vous permettant de personnaliser l’environnement de travail des membres de ce groupe. Un groupe pour lequel sont définies des préférences est un groupe de travail. Un groupe principal correspond au groupe par défaut de l’utilisateur. Les groupes principaux peuvent accélérer la vérification effectuée par le système de fichiers Mac OS X lorsqu’un utilisateur accède à un fichier. Administration de comptes de groupe Cette section expose l’administration des comptes de groupe stockés dans divers types de domaines de répertoires. Emplacement de stockage des comptes de groupe Les comptes de groupe, ainsi que les comptes d’utilisateur et les listes d’ordinateurs, peuvent être stockés dans tout domaine Open Directory. Un domaine de répertoires peut résider sur un ordinateur Mac OS X (par exemple, le répertoire LDAP d’un maître Open Directory ou un domaine NetInfo) ou sur un serveur non Apple (par exemple, un serveur LDAP ou Active Directory). L’utilisation du Gestionnaire de groupe de travail vous permet de travailler avec des comptes dans tous les types de domaines de répertoires. Pour obtenir des informations complètes sur les différents types de domaines Open Directory, reportez-vous au guide d’administration Open Directory. F0170.book Page 99 Monday, May 2, 2005 12:37 PM100 Chapitre 5 Configuration des comptes de groupe Comptes de groupe prédéfinis Le tableau suivant fournit une description des comptes de groupe créés automatiquement lorsque vous installez Mac OS X Server. Pour une liste complète, ouvrez le Gestionnaire de groupe de travail et choisissez Présentation > Afficher les utilisateurs et groupes du système. Nom de groupe prédéfini Id. de groupe Utilisation admin 80 Le groupe auquel appartiennent les utilisateurs dotés d’autorisations d’administrateur. bin 7 Un groupe possédant tous les fichiers binaires. daemon 1 Groupe utilisé par les services système. dialer 68 Groupe permettant de contrôler l’accès aux modems sur un serveur. guest 31 kmem 2 Un groupe antérieur utilisé pour contrôler l’accès à la lecture de la mémoire noyau. mail 6 Le groupe utilisé par le passé pour accéder au courrier UNIX local. mysql 74 Le groupe que le serveur de base de données MySQL utilise pour ceux de ses processus qui traitent les requêtes. network 69 Ce groupe ne revêt aucune signification particulière. nobody -2 Groupe utilisé par les services système. nogroup -1 Groupe utilisé par les services système. operator 5 Ce groupe ne revêt aucune signification particulière. smmsp 25 Le groupe utilisé par sendmail. sshd 75 Le groupe utilisé pour les processus enfants sshd qui traitent des données réseau. staff 20 Le groupe par défaut dans lequel les utilisateurs UNIX sont traditionnellement placés. sys 3 Ce groupe ne revêt aucune signification particulière. tty 4 Un groupe possédant des fichiers spéciaux, tels que le fichier de périphérique associé à un utilisateur SSH ou Telnet. unknown 99 Le groupe utilisé lorsque le système ne reconnaît pas le disque dur. utmp 45 Le groupe contrôlant ce qui peut mettre à jour la liste du système des utilisateurs connectés. uucp 66 Le groupe utilisé pour contrôler l’accès aux fichiers d’attente UUCP. wheel 0 Un autre groupe (s’ajoutant au groupe admin) auquel les utilisateurs disposant d’autorisations d’administration appartiennent. www 70 Le groupe sans autorisation qu’Apache utilise pour ceux de ses processus qui traitent les requêtes. F0170.book Page 100 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 101 Création de comptes de groupe Mac OS X Server Pour créer un compte de groupe dans un domaine de répertoires, vous devez disposer d’autorisations d’administration pour ce dernier. Pour créer un compte de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. 3 Cliquez sur le globe au-dessus de la barre d’outils et ouvrez le domaine dans lequel vous souhaitez faire résider le compte de groupe. 4 Cliquez sur le verrou pour être authentifié comme administrateur de domaine de répertoires. 5 Cliquez sur la sous-fenêtre Groupes. 6 Cliquez sur Nouveau groupe, puis spécifiez les réglages du groupe dans les onglets affichés. Vous pouvez également utiliser un préréglage ou un fichier d’importation pour créer un nouveau groupe. Pour plus de détails, consultez la section “Création d’un préréglage pour des comptes de groupe” et l’Annexe A, “Importation et exportation d’informations de compte”. Création de comptes de groupe LDAPv3 en lecture/écriture Vous pouvez créer un compte de groupe sur un serveur LDAPv3 non Apple s’il a été configuré pour un accès en écriture. Pour créer un compte de groupe LDAPv3 : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoires de Mac OS X Server que vous utilisez ont été configurés de manière à utiliser le serveur LDAP des comptes de groupe. Pour obtenir des informations sur l’utilisation de Format de répertoire pour configurer une connexion LDAP, consultez le guide d’administration d’Open Directory. Pour obtenir des informations sur les éléments de compte de groupe qu’il faudra éventuellement mapper, consultez l’Annexe A, “Importation et exportation d’informations de compte”. 3 Cliquez sur le globe au-dessus de la barre d’outils et ouvrez le domaine LDAPv3 dans lequel vous souhaitez faire résider le compte de groupe. 4 Pour vous authentifier, cliquez sur le cadenas. 5 Choisissez Serveur > Nouveau groupe. 6 Spécifiez des réglages pour le groupe dans les onglets affichés. F0170.book Page 101 Monday, May 2, 2005 12:37 PM102 Chapitre 5 Configuration des comptes de groupe Pour plus de détails, consultez les sections “Travail avec des réglages de membres pour groupes” à la page 105 et “Travail avec les réglages du dossier de groupe” à la page 108. Vous pouvez également utiliser un préréglage ou un fichier d’importation pour créer un nouveau groupe. Pour plus de détails, consultez la section “Création d’un préréglage pour des comptes de groupe” ci-dessous et l’Annexe A, “Importation et exportation d’informations de compte”. Création d’un préréglage pour des comptes de groupe Les préréglages des comptes de groupe peuvent être utilisés pour appliquer des réglages prédéterminés à un nouveau compte de groupe. Pour créer un préréglage pour des comptes de groupe : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur à partir duquel vous créez les comptes de groupe. 2 Cliquer sur Comptes. 3 Assurez-vous que le serveur a été configuré pour accéder au domaine de répertoire Mac OS X ou LDAPv3 non Apple sur lequel le préréglage sera utilisé pour créer de nouveaux comptes. 4 Pour créer un préréglage à l’aide de données stockées dans un compte de groupe existant, ouvrez le compte. Pour créer un préréglage à l’aide d’un compte de groupe vide, créez un compte de groupe. 5 Remplissez les champs avec les valeurs que vous souhaitez voir héritées par les nouveaux groupes d’utilisateurs. Supprimez les valeurs que vous ne souhaitez pas inclure dans les préréglages si vous prenez comme point de départ un compte existant. 6 Cliquez sur Préférences, configurez les réglages que vous souhaitez inclure dans le préréglage, puis cliquez sur Comptes. Après avoir configuré les préférences d’un préréglage, vous devez retourner aux réglages de Comptes pour enregistrer le préréglage. 7 Choisissez Enregistrer le préréglage dans le menu local Préréglages, tapez un nom pour le préréglage, puis cliquez sur OK. Modification des informations d’un compte de groupe Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier un compte de groupe se trouvant dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans tout autre domaine de répertoires en lecture/écriture. Pour modifier un compte de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. F0170.book Page 102 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 103 3 Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine dans lequel le compte de groupe réside. 4 Pour vous authentifier, cliquez sur le cadenas. 5 Cliquez sur la sous-fenêtre Groupes, puis sélectionnez le groupe avec lequel vous souhaitez travailler. 6 Modifiez les réglages du groupe dans les onglets affichés. Pour plus de détails, consultez les sections “Travail avec des réglages de membres pour groupes” à la page 105 et “Travail avec les réglages du dossier de groupe” à la page 108. Création de groupes imbriqués Un groupe imbriqué est un groupe qui est membre d’un autre groupe. Chaque groupe peut avoir ses propres préférences gérées qui sont héritées par tous les utilisateurs membres de ce groupe. Si vous définissez des préférences pour un groupe ou pour un de ses groupes imbriqués, les préférences appliquées lorsqu’un membre du groupe se connecte sont celles qui sont définies pour le groupe de travail que l’utilisateur choisit après la connexion. Pour créer un compte de groupe imbriqué : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. 3 Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine dans lequel vous souhaitez faire résider le compte de groupe. 4 Pour vous authentifier, cliquez sur le cadenas. 5 Cliquez sur le bouton Groupes, puis créez un nouveau groupe. 6 Cliquez sur le bouton Ajouter (+) pour imbriquer le groupe dans le groupe sélectionné. Faites glisser le groupe depuis le tiroir vers la liste Membres. Tous les membres de ce groupe deviennent eux aussi des membres enfants du groupe parent. 7 Cliquer sur Enregistrer. Les groupes créés à l’aide des versions de serveur antérieures à la version 10.4 ne peuvent pas contenir de groupes imbriqués, à moins que vous ne les convertissiez conformément aux instructions de la section “Mise à niveau de groupes hérités”. Si vous faites une mise à niveau avec la version 10.4 à partir de la version 10.3 ou d’une version antérieure, les groupes restent des groupes hérités et continuent à fonctionner comme par le passé. Par contre, les groupes créés dans Mac OS X 10.4 sont considérés comme des groupes mis à niveau et peuvent contenir des groupes et d’autres objets imbriqués comme membres, ainsi que des enregistrements d’utilisateur. F0170.book Page 103 Monday, May 2, 2005 12:37 PM104 Chapitre 5 Configuration des comptes de groupe Mise à niveau de groupes hérités Lorsque vous procédez à une mise à niveau du serveur avec la version 10.4 ou que vous importez des groupes créés avant la version 10.4, les groupes existants ne peuvent pas contenir de groupes imbriqués, à moins que vous ne les convertissiez d’abord. Pour mettre à niveau un compte de groupe hérité : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. 3 Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine dans lequel le compte de groupe réside. 4 Pour vous authentifier, cliquez sur le cadenas. 5 Cliquez sur le bouton Groupes, puis sélectionnez le groupe hérité que vous souhaitez mettre à niveau. 6 Cliquez sur le bouton Mettre à niveau le groupe hérité. 7 Cliquer sur Enregistrer. Utilisation de comptes de groupe en lecture seule Le Gestionnaire de groupe de travail vous permet de consulter des informations sur les comptes de groupe stockés dans des domaines de répertoires en lecture seule. Les domaines de répertoires en lecture seule incluent les domaines LDAPv2, les domaines LDAPv3 non configurés pour l’accès en écriture et les fichiers de configuration BSD. Pour travailler avec un compte de groupe en lecture seule : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire de Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire dans lequel réside le compte. Pour obtenir des informations sur l’utilisation de Format de répertoire pour configurer des connexions serveur, consultez le guide d’administration d’Open Directory. Pour obtenir des informations sur les éléments de compte de groupe qu’il faudra mapper, consultez l’Annexe A, “Importation et exportation d’informations de compte”. 3 Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine de répertoires dans lequel le compte de groupe réside. 4 Servez-vous des onglets affichés pour observer les réglages de compte de groupe. Pour obtenir des détails, consultez la section “Travail avec des réglages de membres pour groupes” ci-dessous et “Travail avec les réglages du dossier de groupe” à la page 108. F0170.book Page 104 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 105 Travail avec des réglages de membres pour groupes Les réglages de membres incluent les noms d’un groupe, son identifiant et une liste des utilisateurs qui en sont membres. Dans le Gestionnaire de groupe de travail, la sous-fenêtre Membres située dans la fenêtre du compte de groupe vous permet d’utiliser les réglages de membres. Lorsque le nom d’un utilisateur apparaît en italique dans la liste Membres, le groupe correspond au groupe principal de l’utilisateur. Ajout d’utilisateurs à un groupe Ajoutez des utilisateurs à un groupe si vous souhaitez que plusieurs utilisateurs disposent des mêmes autorisations d’accès aux fichiers ou pour en faire des utilisateurs gérés. Lorsque vous créez un compte d’utilisateur et attribuez un groupe principal au nouvel utilisateur, ce dernier est automatiquement ajouté au groupe spécifié. Sinon, ajoutez vous-même des utilisateurs au groupe. Vous pouvez utiliser le Gestionnaire de groupe de travail pour ajouter des utilisateurs à un groupe si les comptes d’utilisateur et de groupe se trouvent dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo. Pour ajouter des utilisateurs à un groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquer sur Membres. 5 Cliquez sur le bouton Ajouter (+) pour ouvrir un tiroir répertoriant les utilisateurs définis dans le domaine de répertoires avec lequel vous travaillez. 6 Pour inclure les utilisateurs système dans la liste, choisissez Gestionnaire de groupe de travail > Préférences, puis sélectionnez l’option “Afficher utilisateurs et groupes système”. Assurez-vous que le compte de groupe réside bien dans un domaine de répertoires spécifié dans la politique de recherche (chemin de recherche) des ordinateurs auxquels l’utilisateur va se connecter. 7 Sélectionnez l’utilisateur, puis glissez-le dans la liste Membres de la sous-fenêtre Membres. F0170.book Page 105 Monday, May 2, 2005 12:37 PM106 Chapitre 5 Configuration des comptes de groupe Suppression d’utilisateurs d’un groupe Vous pouvez utiliser le Gestionnaire de groupe de travail pour supprimer un utilisateur d’un groupe ne correspondant pas au groupe principal de l’utilisateur si ce dernier et les comptes de groupe résident dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo. Pour supprimer un utilisateur dans un groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquer sur Membres. 5 Sélectionnez le ou les utilisateurs à supprimer du groupe, puis cliquez sur le bouton Supprimer (–). Attribution d’un nom à un groupe Un groupe possède deux noms : un nom complet et un nom abrégé. • Le nom de groupe complet (par exemple, Étudiants de la Faculté d’anglais) ne sert qu’à des fins d’affichage et ne doit pas dépasser 255 octets. Étant donné que les noms de groupe complets prennent en charge plusieurs jeux de caractères, ils peuvent contenir un maximum de 255 caractères romains (85 seulement pour les jeux dont les caractères occupent jusqu’à 3 octets). • Un nom de groupe abrégé peut contenir jusqu’à 255 caractères romains. Néanmoins, pour les clients qui utilisent Mac OS X version 10.1.5 et antérieure, le nom de groupe abrégé ne peut contenir au plus que 8 caractères. Dans un nom de groupe abrégé, n’utilisez que les caractères suivants : • de a à z • de a à z • de 0 à 9 • _ (trait de soulignement) Le nom abrégé, généralement constitué de huit caractères maximum, peut être utilisé par Mac OS X pour rechercher les identifiants d’utilisateurs membres d’un groupe afin de savoir si un utilisateur peut accéder à un fichier en tant que membre du groupe. Pour plus de détails, consultez l’Annexe B. F0170.book Page 106 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 107 Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier le nom d’un compte de groupe stocké dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans tout autre domaine de répertoires en lecture/écriture. Vous pouvez aussi utiliser le Gestionnaire de groupe de travail pour consulter les noms stockés dans tout domaine de répertoires accessible depuis le serveur que vous utilisez. Pour travailler avec des noms de groupes à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans le champ Nom ou Nom abrégé (dans la sous-fenêtre Membres), vérifiez ou modifiez les noms. Avant d’enregistrer un nouveau nom, le Gestionnaire de groupe de travail vérifie qu’il est unique. Définition d’un identifiant de groupe L’identifiant d’un groupe consiste en une chaîne de chiffres ASCII identifiant un groupe de façon unique. Sa valeur maximale est 2.147.483.648. Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier l’identifiant d’un compte de groupe stocké dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo ou pour revoir l’identifiant de groupe dans tout domaine de répertoires accessible du serveur que vous utilisez. L’identifiant de groupe est associé à des autorisations de groupe. Pour travailler avec un identifiant de groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans le champ ID du groupe (dans la sous-fenêtre Membres), vérifiez ou modifiez l’identifiant. Avant d’enregistrer un nouvel identifiant de groupe, le Gestionnaire de groupe de travail vérifie qu’il est unique dans le domaine de répertoires que vous utilisez. F0170.book Page 107 Monday, May 2, 2005 12:37 PM108 Chapitre 5 Configuration des comptes de groupe Travail avec les réglages du dossier de groupe Les dossiers de groupe permettent d’organiser les documents et applications qui présentent un intérêt particulier pour les membres d’un groupe et peuvent être utilisés par ces derniers pour échanger des informations entre eux. Les dossiers de groupe ne sont pas liés directement à la gestion de groupe de travail, mais il est possible d’améliorer la gestion des accès et des flux de travaux en utilisant des dossiers de groupe pour les clients dotés réglages de groupe de travail. Pour configurer un dossier de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes, puis sélectionnez un groupe. 5 Cliquez sur Dossier de groupe. 6 Pour configurer un dossier de groupe situé dans un sous-dossier de point de partage, cliquez sur le bouton Ajouter (+) ou Dupliquer (icône de copie). Pour obtenir des instructions, consultez la section “Création d’un dossier de groupe dans un sous-dossier d’un point de partage existant” à la page 112. Option Pas de dossier de groupe Vous pouvez utiliser le Gestionnaire de groupe de travail pour qu’un compte de groupe possédant un dossier de groupe n’en ait plus. Par défaut, un nouveau groupe ne dispose d’aucun répertoire de départ. Pour ne définir aucun dossier de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur la sous-fenêtre Groupes, puis sélectionnez un groupe. 5 Cliquez sur Dossier de groupe. 6 Sélectionnez (Aucun) dans la liste. F0170.book Page 108 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 109 Création d’un dossier de groupe dans un point de partage existant Vous pouvez créer un dossier de groupe soit pour un groupe à n’importe quel point de partage existant, soit dans le dossier /Groups (point de partage prédéfini). Pour configurer un dossier de groupe dans le dossier /Groups ou tout autre point de partage existant : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte de groupe, connectez-vous au serveur sur lequel il réside. Cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sous-fenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Dossier de groupe. 5 Pour ajouter un point de partage existant à la liste, cliquez sur Ajouter (+), puis saisissez les informations requises. Dans le champ URL, entrez l’URL complète du point de partage dans lequel doit résider le dossier de groupe. Par exemple, tapez AFP://monserveur.exemple.com/SchoolGroups pour identifier un point de partage AFP nommé SchoolGroups sur un serveur dont le nom DNS est “monserveur.exemple.com”. Si vous n’utilisez pas de DNS, remplacez le nom DNS du serveur hébergeant le dossier de groupe pas son adresse IP : “AFP://192.168.2.1/SchoolGroups”. Dans le champ Chemin, entrez le chemin du point de partage au dossier de groupe, en incluant ce dernier mais en excluant le point de partage. Ne placez pas de barre oblique (/) au début ni à la fin du chemin. Par exemple, si le point de partage est SchoolGroups et que le chemin complet menant au dossier de groupe est SchoolGroups/StudentGroups/SecondGrade, tapez StudentGroups/SecondGrade dans le champ Chemin. Remarque : configurer un point de partage de dossier de groupe pour disposer d’un enregistrement de montage réseau ne permet pas de monter automatiquement le dossier de groupe lorsqu’un membre du groupe se connecte. Vous pouvez fournir un accès aisé à un dossier de groupe en gérant les préférences de Dock ou d’ouverture de session pour le groupe. 6 Dans le champ Possesseur, entrez le nom de l’utilisateur auquel le dossier de groupe doit appartenir afin qu’il puisse intervenir en tant qu’administrateur du dossier de ce groupe. Cliquez sur le bouton Parcourir (…) pour choisir un propriétaire dans la liste des utilisateurs du domaine de répertoires activé. Le possesseur du dossier de groupe pourra y accéder en lecture/écriture. F0170.book Page 109 Monday, May 2, 2005 12:37 PM110 Chapitre 5 Configuration des comptes de groupe 7 Cliquer sur Enregistrer. 8 Pour créer le dossier, utilisez la commande CreateGroupFolder dans Terminal. Vous devez être connecté en tant qu’utilisateur root pour pouvoir utiliser cette commande. Pour en savoir plus, tapez “man CreateGroupFolder” dans Terminal pour afficher la page man de cette commande. Le dossier de groupe prend le nom abrégé du groupe auquel il est associé. Vous pouvez automatiser l’accès au dossier d’un membre du groupe quand celui-ci a ouvert une session : • Vous pouvez configurer les préférences du Dock pour rendre le dossier de groupe visible dans le Dock. Pour obtenir des instructions, consultez la section “Accès aisé aux dossiers de groupes” à la page 174. • Vous pouvez aussi configurer des préférences d’ouverture de session de sorte que les utilisateurs puissent cliquer sur Ordinateur dans le Finder et voir le point de partage du dossier de groupe et les dossiers de groupe qui s’y trouvent. Pour obtenir des instructions, consultez la section “Fourniture d’un accès aisé au point de partage de groupe” à la page 194. Lorsque vous utilisez ces préférences, assurez-vous que le groupe est défini dans un domaine partagé dans la politique de recherche de l’ordinateur du membre du groupe. Consultez le guide d’administration Open Directory pour obtenir des instructions sur la configuration de la politique de recherche d’un ordinateur. Si vous n’automatisez pas l’accès aux dossiers de groupe, les membres des groupes peuvent utiliser la commande Se connecter au serveur dans le menu Aller du Finder pour localiser le serveur où réside le dossier de groupe et y accéder. Création d’un dossier de groupe dans un nouveau point de partage Vous pouvez utiliser le Gestionnaire de groupe de travail pour créer un dossier de groupe dans un nouveau point de partage. Pour créer un dossier de groupe dans un nouveau point de partage : 1 Sur le serveur où vous souhaitez que réside le dossier de groupe, créez un dossier qui servira de point de partage à ce dossier de groupe. 2 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur de l’étape 1, puis cliquez sur Partage. 3 Cliquez sur Tout (au-dessus de la liste à gauche) et sélectionnez le dossier créé pour le point de partage. 4 Dans la fenêtre générale, sélectionnez Partager cet élément et son contenu. F0170.book Page 110 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 111 5 Réglez les autorisations de Groupe sur Lecture et écriture et celles de Tous sur Lecture seule, puis renommez le groupe en tapant admin dans le champ Groupe. Ignorez les autorisations du propriétaire pour le moment. 6 Cliquer sur Enregistrer. 7 Cliquez sur Comptes, puis sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte de groupe, connectez-vous au serveur sur lequel il réside. Cliquer sur Comptes. Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine de répertoires dans lequel le compte de groupe réside. Cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 8 Pour vous authentifier, cliquez sur le cadenas. 9 Dans le champ Possesseur, entrez le nom de l’utilisateur auquel le dossier de groupe doit appartenir afin qu’il puisse intervenir en tant qu’administrateur du dossier de ce groupe. Cliquez sur le bouton Parcourir (…) pour choisir un propriétaire dans la liste des utilisateurs du domaine de répertoires activé. Le possesseur du dossier de groupe pourra y accéder en lecture/écriture. 10 Pour créer le dossier, utilisez la commande CreateGroupFolder dans Terminal. Vous devez être connecté en tant qu’utilisateur root pour pouvoir utiliser cette commande. Pour en savoir plus, tapez “man CreateGroupFolder” dans Terminal pour afficher la page man. Le dossier de groupe prend le nom abrégé du groupe auquel il est associé. Le dossier de groupe prend le nom abrégé du groupe auquel il est associé. Vous pouvez automatiser l’accès au dossier d’un membre du groupe quand celui-ci a ouvert une session : • Vous pouvez configurer les préférences du Dock pour rendre le dossier de groupe visible dans le Dock. Pour obtenir des instructions, consultez la section “Accès aisé aux dossiers de groupes” à la page 174. • Vous pouvez aussi configurer des préférences d’ouverture de session de sorte que les utilisateurs puissent cliquer sur Ordinateur dans le Finder et voir le point de partage du dossier de groupe et les dossiers de groupe qui s’y trouvent. Pour obtenir des instructions, consultez la section “Fourniture d’un accès aisé au point de partage de groupe” à la page 194. Lorsque vous utilisez ces préférences, assurez-vous que le groupe est défini dans un domaine partagé dans la politique de recherche de l’ordinateur du membre du groupe. Consultez le guide d’administration Open Directory pour obtenir des instructions sur la configuration de la politique de recherche d’un ordinateur. F0170.book Page 111 Monday, May 2, 2005 12:37 PM112 Chapitre 5 Configuration des comptes de groupe Si vous n’automatisez pas l’accès aux dossiers de groupe, les membres des groupes peuvent utiliser la commande Se connecter au serveur dans le menu Aller du Finder pour localiser le serveur où réside le dossier de groupe et y accéder. Création d’un dossier de groupe dans un sous-dossier d’un point de partage existant Dans le Gestionnaire de groupe de travail, vous pouvez créer des dossiers de groupe ne se trouvant pas immédiatement sous un point de partage. Par exemple, vous pouvez organiser des dossiers de groupe en plusieurs sous-dossiers au sein d’un point de partage que vous avez défini. Si Groups est le point de partage, vous pouvez placer les dossiers du groupe des étudiants dans /Groups/StudentGroups et ceux du groupe des professeurs dans /Groups/TeacherGroups. Le chemin complet d’un dossier de groupe pour des étudiants du second degré pourrait être /Groups/StudentGroups/SecondGrade. La procédure détaillée ici implique l’existence du point de partage. Si le point de partage n’existe pas, suivez les instructions décrites dans la section “Création d’un dossier de groupe dans un nouveau point de partage” à la page 110 sans créer le dossier à la dernière étape. Suivez ensuite les étapes ci-après. Pour configurer un dossier de groupe dans un sous-dossier d’un point de partage existant : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte de groupe, connectez-vous au serveur sur lequel il réside. Cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sous-fenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Dossier de groupe. 5 Cliquez sur le bouton Ajouter (+) pour ajouter un emplacement de dossier de groupe personnalisé ou sur Dupliquer (icône de copie) pour copier un emplacement existant. Pour supprimer un emplacement de dossier de groupe, sélectionnez-le, puis cliquez sur le bouton Supprimer (–). Vous ne pouvez supprimer que les emplacements ajoutés à l’aide du bouton Ajouter ou Dupliquer. 6 Dans le champ URL, entrez l’URL complète du point de partage dans lequel doit résider le dossier de groupe. Par exemple, entrez AFP://monserveur.exemple.com/SchoolGroups pour identifier un point de partage AFP nommé SchoolGroups sur un serveur dont le nom DNS est monserveur.exemple.com. Si vous n’utilisez pas de DNS, remplacez le nom DNS du serveur hébergeant le dossier de groupe pas son adresse IP :AFP://192.168.2.1/SchoolGroups. F0170.book Page 112 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 113 7 Dans le champ Chemin, entrez le chemin du point de partage au dossier de groupe, en incluant ce dernier mais en excluant le point de partage. Par exemple, si le point de partage est SchoolGroups et que le chemin complet menant au dossier de groupe est SchoolGroups/StudentGroups/SecondGrade, tapez StudentGroups/SecondGrade dans le champ Chemin. Ne placez pas de barre oblique (/) au début ni à la fin du chemin. 8 Cliquez sur OK. 9 Dans le champ Possesseur, entrez le nom de l’utilisateur auquel le dossier de groupe doit appartenir afin qu’il puisse intervenir en tant qu’administrateur du dossier de ce groupe. Cliquez sur le bouton Parcourir (…) pour choisir un propriétaire dans la liste des utilisateurs du domaine de répertoires activé. Le possesseur du dossier de groupe pourra y accéder en lecture/écriture. 10 Pour créer le dossier, utilisez la commande CreateGroupFolder dans Terminal. Vous devez être connecté en tant qu’utilisateur root pour pouvoir utiliser cette commande. Pour en savoir plus, tapez “man CreateGroupFolder” dans Terminal pour afficher la page man. Le dossier de groupe prend le nom abrégé du groupe auquel il est associé. 11 Configurez l’accès au dossier de groupe pour les utilisateurs qui ouvrent une session en tant que membres du groupe. • Vous pouvez automatiser l’accès au dossier d’un membre du groupe quand l’utilisateur se connecte. • Vous pouvez configurer les préférences du Dock pour rendre le dossier de groupe visible dans le Dock. Pour obtenir des instructions, consultez la section “Accès aisé aux dossiers de groupes” à la page 174. • Vous pouvez également configurer des préférences d’ouverture de session de sorte que les utilisateurs puissent cliquer sur Ordinateur dans le Finder pour voir le point de partage du dossier de groupe et les dossiers de groupe qui s’y trouvent. Pour obtenir des instructions, consultez la section “Fourniture d’un accès aisé au point de partage de groupe” à la page 194. Lorsque vous utilisez ces préférences, assurez-vous que le groupe est défini dans un domaine partagé dans la politique de recherche de l’ordinateur du membre du groupe. Consultez le guide d’administration Open Directory pour obtenir des instructions sur la configuration de la politique de recherche d’un ordinateur. Si vous n’automatisez pas l’accès aux dossiers de groupe, les membres des groupes peuvent utiliser la commande Se connecter au serveur dans le menu Aller du Finder pour localiser le serveur où réside le dossier de groupe et y accéder. F0170.book Page 113 Monday, May 2, 2005 12:37 PM114 Chapitre 5 Configuration des comptes de groupe Désignation d’un dossier de groupe destiné à plusieurs groupes Pour rendre un dossier de groupe accessible à plusieurs groupes, identifiez le dossier pour chaque groupe séparément. Pour configurer plusieurs groupes afin qu’ils utilisent le même dossier de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le premier compte de groupe devant utiliser le dossier. Pour sélectionner un compte de groupe, connectez-vous au serveur sur lequel il réside. Cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sous-fenêtre Groupes, puis sélectionnez le groupe. 3 Cliquez sur Dossier de groupe, sélectionnez le dossier que le groupe doit utiliser, puis cliquez sur Enregistrer. 4 Répétez l’opération pour chaque groupe devant utiliser le même dossier de groupe. Suppression de comptes de groupe Vous pouvez utiliser le Gestionnaire de groupe de travail pour supprimer un compte de groupe stocké dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans tout autre domaine de répertoires en lecture/écriture. Pour supprimer un compte de groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionner le compte de groupe que vous souhaitez supprimer. Pour sélectionner le compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Choisissez Serveur > Effacer le groupe sélectionné ou cliquez sur l’icône Supprimer dans la barre d’outils. Avertissement : cette action est irréversible. F0170.book Page 114 Monday, May 2, 2005 12:37 PM6 115 6 Configuration de listes d’ordinateurs Ce chapitre explique comment configurer et gérer des groupes d’ordinateurs. À propos des listes d’ordinateurs Une liste d’ordinateurs comprend un ou plusieurs ordinateurs possédant les mêmes réglages de préférences et disponibles pour des utilisateurs et des groupes particuliers. La création et la modification des listes d’ordinateurs s’effectue dans le Gestionnaire de groupe de travail. Il existe deux listes d’ordinateurs préconfigurées : Ordinateurs hôtes et Ordinateurs Windows. Ces deux listes, ainsi que les listes d’ordinateurs que vous configurez, apparaissent dans la partie gauche de la fenêtre du Gestionnaire de groupe de travail. Les réglages apparaissent dans les volets Liste, Accès et Cache situés dans la partie droite de la fenêtre. Avant de configurer une liste d’ordinateurs, déterminez les noms et les adresses des ordinateurs qui y figureront. On utilise généralement le nom d’ordinateur spécifié dans les préférences de partage des ordinateurs. Vous pouvez, si vous préférez, utiliser un nom descriptif que vous jugez plus approprié. L’adresse de l’ordinateur doit correspondre à l’adresse Ethernet intégrée, propre à chaque ordinateur. (L’adresse Ethernet, ou identifiant Ethernet, d’un ordinateur est aussi appelé adresse MAC). Vous pouvez naviguer à la recherche d’un ordinateur et le Gestionnaire de groupe de travail saisira l’adresse Ethernet et le nom de l’ordinateur à votre place. Un ordinateur client utilise ces données pour rechercher les informations de préférences lorsqu’un utilisateur se connecte. Remarque : pour les listes d’ordinateurs Windows, vous devez connaître le nom NetBIOS de chaque ordinateur client Windows. Tapez ce nom dans le champ Nom de l’ordinateur Windows. Vous ne devez pas connaître l’adresse Ethernet des ordinateurs clients Windows. F0170.book Page 115 Monday, May 2, 2005 12:37 PM116 Chapitre 6 Configuration de listes d’ordinateurs Lorsqu’un ordinateur client démarre, les services de répertoire vérifient s’il existe une liste d’ordinateurs contenant l’adresse Ethernet de cet ordinateur et utilisent les informations de préférences de cette liste d’ordinateurs. En l’absence d’un tel enregistrement, l’ordinateur client utilise les informations de préférences de la liste d’ordinateurs Ordinateurs hôtes. Pour modifier des listes d’ordinateurs ou des préférences de liste d’ordinateurs, vous devez disposer d’autorisations d’administration de domaine. Vous pouvez disposer d’autorisations d’administration pour toutes les listes d’ordinateurs ou pour une partie d’entre elles. Pour plus d’informations sur l’affectation d’autorisations d’administration, consultez le chapitre 4, “Configuration des comptes d’utilisateur”. Listes d’ordinateurs à usage spécial Le Gestionnaire de groupe de travail utilise, par défaut, un ensemble de listes d’ordinateurs préexistantes dédiées chacune à un usage spécial. Ces listes sont les suivantes : • Ordinateurs hôtes : les ordinateurs qui ne figurent dans aucune liste sont ajoutés automatiquement à la liste d’ordinateurs hôtes. Vous pouvez faire hériter des préférences pour les ordinateurs hôtes ou les définir individuellement. • Ordinateurs Windows : la liste Ordinateurs Windows est créée automatiquement dans le répertoire local du serveur et dans le répertoire LDAP d’un maître ou d’une réplique Open Directory. Les administrateurs ne peuvent ni créer ni supprimer une liste Ordinateurs Windows. Pour obtenir des informations et des instructions sur la gestion de la liste Ordinateurs Windows et sur la configuration de Mac OS X Server en tant que contrôleur de domaine principal ou secondaire (PDC ou BDC). • Tous les ordinateurs : cette liste contient tous les enregistrements d’ordinateur, qu’ils figurent déjà dans une liste ou non. Les ordinateurs qui figurent déjà sur l’une ou l’autre liste se trouvent également dans cette liste. Cette liste sert d’emplacement de référence pratique. Création d’une liste d’ordinateurs Une liste d’ordinateurs est un groupe d’ordinateurs dotés des mêmes réglages de préférences et accessibles pour les mêmes utilisateurs et groupes. Vous pouvez utiliser une liste d’ordinateurs pour affecter les mêmes autorisations et préférences à plusieurs ordinateurs. Vous pouvez ajouter jusqu’à 2 000 ordinateurs à une liste d’ordinateurs. Un ordinateur ne peut pas figurer sur plus d’une liste et vous ne pouvez pas ajouter des ordinateurs à la liste Ordinateurs hôtes. F0170.book Page 116 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 117 Pour configurer une liste d’ordinateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Cliquez sur le globe au-dessus de la liste des comptes et choisissez le domaine de répertoires dans lequel vous souhaitez stocker la nouvelle liste d’ordinateurs. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs (à gauche), puis sur Liste (à droite). 5 Choisissez Serveur > Nouvelle liste d’ordinateurs (ou cliquez sur Nouvelle liste d’ordinateurs dans la barre d’outils), puis tapez le nom de la liste d’ordinateurs. 6 Pour utiliser un préréglage, choisissez-en un dans le menu local Préréglages. 7 Pour ajouter un ordinateur à la liste, cliquez sur le bouton Ajouter (+), puis tapez l’adresse Ethernet et le nom de l’ordinateur. Ou bien, cliquez sur le bouton Parcourir (…), puis choisissez un ordinateur. Le Gestionnaire de groupe de travail saisira alors l’adresse Ethernet et le nom de l’ordinateur pour vous. L’adresse de l’ordinateur doit correspondre à l’adresse Ethernet intégrée unique, même si le client est connecté au réseau via AirPort. (L’adresse Ethernet, ou identifiant Ethernet, d’un ordinateur est aussi appelé adresse MAC). Si vous ajoutez un ordinateur manuellement, veillez à utiliser l’adresse Ethernet intégrée pour chaque client. 8 Ajoutez un commentaire (facultatif). Les commentaires sont utiles car ils permettent d’ajouter des informations sur l’emplacement d’un ordinateur, sa configuration (s’il s’agit par exemple d’un ordinateur configuré pour une personne ayant des besoins particuliers) ou les périphériques qui y sont connectés. Vous pouvez également utiliser les commentaires pour ajouter des informations d’identification, telles que le modèle ou le numéro de série de l’ordinateur. 9 Continuez à ajouter des ordinateurs jusqu’à ce que la liste soit complète. 10 Saisissez les informations requises dans les sous-fenêtres Accès et Cache. 11 Enregistrez la liste d’ordinateurs. Une fois que vous avez configuré une liste d’ordinateurs, vous pouvez, si vous le souhaitez, en gérer les préférences. Pour plus d’informations sur l’utilisation des préférences gérées, consultez la section “Définition de préférences” à la page 145 et le chapitre 9, “Gestion des préférences”. F0170.book Page 117 Monday, May 2, 2005 12:37 PM118 Chapitre 6 Configuration de listes d’ordinateurs Création d’un préréglage pour listes d’ordinateurs Vous pouvez sélectionner des réglages pour une liste d’ordinateurs et les enregistrer sous la forme d’un préréglage. Les préréglages fonctionnent comme des modèles ; ils permettent d’appliquer des réglages et des informations présélectionnés à une nouvelle liste d’ordinateurs. Grâce aux préréglages, vous pouvez configurer en toute simplicité plusieurs ordinateurs de façon similaire. L’utilisation des préréglages est limitée à la création de listes d’ordinateurs. Vous ne pouvez pas utiliser de préréglages pour modifier des listes d’ordinateurs existantes. Les réglages de la sous-fenêtre Liste sont spécifiques aux différentes listes d’ordinateurs et ne s’appliquent pas aux préréglages. Pour configurer un préréglage pour des listes d’ordinateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Cliquez sur le globe au-dessus de la liste des comptes et choisissez le domaine de répertoires dans lequel vous souhaitez créer une liste d’ordinateurs à l’aide de préréglages. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs (à gauche), puis sur Liste (à droite). 5 Pour créer un tout nouveau préréglage, créez d’abord une liste d’ordinateurs en cliquant sur Nouvelle liste d’ordinateurs. Pour créer un préréglage à l’aide de données figurant dans une liste d’ordinateurs existante, sélectionnez cette dernière (à gauche). 6 Saisissez les informations requises dans les sous-fenêtres Accès et Cache. 7 Dans le menu local Préréglages, choisissez Enregistrer préréglage. Une fois le préréglage créé, vous ne pouvez plus changer ses réglages, mais vous pouvez le supprimer ou le renommer. Pour modifier le nom d’un préréglage, sélectionnez le préréglage dans le menu local Préréglages, puis cliquez sur Renommer préréglage. Pour supprimer un préréglage, sélectionnez-le dans le menu local Préréglages, puis cliquez sur Supprimer préréglage. F0170.book Page 118 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 119 Utilisation d’un préréglage de liste d’ordinateurs Lorsque vous créez une nouvelle liste d’ordinateurs, vous pouvez sélectionner n’importe quel préréglage dans le menu local Préréglages pour appliquer les réglages initiaux. Il est possible de modifier ultérieurement les réglages de la liste d’ordinateurs avant d’enregistrer la liste. Une fois la liste d’ordinateurs enregistrée, vous ne pouvez plus utiliser le menu Préréglage pour cette liste (pour, par exemple, changer à nouveau de préréglage). Pour utiliser un préréglage pour des listes d’ordinateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Cliquez sur le globe au-dessus de la liste des comptes et choisissez le domaine de répertoires dans lequel vous souhaitez stocker la nouvelle liste d’ordinateurs. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs (à gauche), puis sur Liste (à droite). 5 Dans le menu local Préréglages, choisissez un préréglage. 6 Créez une nouvelle liste (cliquez sur Nouvelle liste d’ordinateurs). 7 Ajoutez ou mettez à jour les réglages nécessaires, puis enregistrez la liste. Ajout d’ordinateurs à une liste d’ordinateurs existante Il est facile ajouter plusieurs ordinateurs à une liste existante. Vous ne pouvez toutefois pas ajouter d’ordinateurs à la liste Ordinateurs hôtes, car cette dernière est prédéfinie pour contenir tous les ordinateurs qui ne figurent sur aucune autre liste d’ordinateurs. Pour ajouter des ordinateurs à une liste : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste d’ordinateurs. Pour sélectionner la liste, cliquez sur le globe au-dessus de la barre d’outils, choisissez le domaine de répertoires qui contient la liste, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Liste. 5 Pour utiliser un préréglage, choisissez-en un dans le menu local Préréglages. 6 Cliquez sur le bouton Ajouter (+) et saisissez les informations requises. Ou bien, cliquez sur le bouton Parcourir (…), puis sélectionnez l’ordinateur souhaité. Le Gestionnaire de groupe de travail saisira alors l’adresse Ethernet et le nom de l’ordinateur pour vous. L’adresse de l’ordinateur doit correspondre à l’adresse Ethernet intégrée, propre à chaque ordinateur. (L’adresse Ethernet, ou identifiant Ethernet, d’un ordinateur est aussi appelé adresse MAC). F0170.book Page 119 Monday, May 2, 2005 12:37 PM120 Chapitre 6 Configuration de listes d’ordinateurs 7 Ajoutez un commentaire (facultatif). Les commentaires sont utiles car ils permettent d’ajouter des informations supplémentaires concernant l’emplacement d’un ordinateur, sa configuration (s’il s’agit d’un ordinateur configuré pour une personne ayant des besoins particuliers) ou les périphériques qui y sont connectés. Vous pouvez également utiliser les commentaires pour ajouter des informations d’identification, telles que le modèle ou le numéro de série de l’ordinateur. 8 Cliquer sur Enregistrer. 9 Ajoutez des ordinateurs et des informations jusqu’à ce que votre liste soit complète. Modification d’informations sur un ordinateur Une fois que vous avez ajouté un ordinateur à une liste d’ordinateurs, vous pouvez modifier ses informations chaque fois que c’est nécessaire. Pour modifier les informations d’ordinateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste sur laquelle figure l’ordinateur. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient l’ordinateur à modifier, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans la sous-fenêtre Liste, sélectionnez l’ordinateur dont vous souhaitez modifier les informations, puis cliquez sur le bouton Modifier (crayon). Ou bien, double-cliquez sur l’adresse, la description ou le commentaire d’un ordinateur dans la liste pour modifier les informations directement dans la liste. 5 Modifiez les informations selon vos besoins, puis cliquez sur Enregistrer. Déplacement d’un ordinateur vers une autre liste d’ordinateurs Il peut s’avérer parfois nécessaire de regrouper les ordinateurs différemment. Il est facile de déplacer des ordinateurs d’une liste à l’autre. Remarque : un ordinateur ne peut figurer que sur une seule liste. Vous ne pouvez pas ajouter d’ordinateurs à la liste Ordinateurs hôtes. Pour transférer un ordinateur d’une liste à l’autre : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste sur laquelle l’ordinateur figure. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs à modifier, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. F0170.book Page 120 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 121 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans la sous-fenêtre Liste, sélectionnez l’ordinateur à déplacer, puis cliquez sur le bouton Modifier (crayon). 5 Sélectionnez une liste dans le menu local “Déplacer dans la liste”, puis cliquez sur OK. 6 Cliquer sur Enregistrer. Suppression d’ordinateurs d’une liste d’ordinateurs Une fois que vous avez supprimé un ordinateur d’une liste d’ordinateurs, ce dernier est géré à l’aide de la liste Ordinateurs hôtes. Pour supprimer un ordinateur d’une liste : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste sur laquelle l’ordinateur figure. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs à modifier, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans la sous-fenêtre Liste, sélectionnez un ou plusieurs ordinateurs. 5 Cliquez sur le bouton Supprimer (-), puis sur Enregistrer. Suppression d’une liste d’ordinateurs Si vous n’avez plus besoin des ordinateurs qui figurent dans une liste d’ordinateurs, vous pouvez supprimer la liste entière. Vous ne pouvez pas supprimer la liste Ordinateurs hôtes ni la liste Ordinateurs Windows. Pour supprimer une liste d’ordinateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs à supprimer, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Choisissez Serveur > Effacer la liste d’ordinateurs sélectionnée ou cliquez sur Supprimer dans la barre d’outils. Avertissement : cette action est irréversible. F0170.book Page 121 Monday, May 2, 2005 12:37 PM122 Chapitre 6 Configuration de listes d’ordinateurs Recherche de listes d’ordinateurs Le Gestionnaire de groupe de travail est doté d’une fonction de recherche permettant de localiser rapidement des listes d’ordinateurs spécifiques. Vous pouvez lancer la recherche au sein d’un domaine sélectionné et filtrer les résultats. Pour rechercher une liste d’ordinateurs : 1 Dans Gestionnaire de groupe de travail, cliquez sur Comptes, sur le bouton Listes d’ordinateurs (à gauche), puis sur Liste (à droite). 2 Pour restreindre votre recherche, cliquez sur le globe au-dessus de la liste des comptes et choisissez un domaine de répertoires : Local : pour rechercher des listes d’ordinateurs dans le domaine de répertoires local. Chemin de recherche : pour rechercher des listes d’ordinateurs dans tous les répertoires qui figurent dans le chemin de recherche du serveur (par exemple, monserveur.mondomaine.com). Autre : pour naviguer et sélectionner le domaine de répertoires dans lequel rechercher les listes d’ordinateurs. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Vous pouvez sélectionner un filtre supplémentaire dans le menu local situé en regard du champ de recherche. 5 Tapez des termes de recherche dans le champ correspondant. Gestion des ordinateurs invités Tout ordinateur inconnu (c’est-à-dire ne figurant sur aucune liste d’ordinateurs) qui se connecte à votre réseau et tente d’accéder à des services est traité comme un ordinateur “hôte”. Les réglages définis pour la liste Ordinateurs hôtes s’appliquent à ces ordinateurs inconnus ou “hôtes”. Une liste Ordinateurs hôtes est créée automatiquement pour le domaine de répertoire local d’un serveur. Si le serveur est un maître ou une réplique Open Directory, une liste Ordinateurs hôtes est également créée pour son domaine de répertoire LDAP. La liste Ordinateurs hôtes n’est pas recommandée pour gérer un grand nombre d’ordinateurs ; la plupart des ordinateurs devraient figurer sur les listes d’ordinateurs normales. Remarque : vous ne pouvez pas ajouter des ordinateurs à la liste Ordinateurs hôtes, déplacer des ordinateurs vers cette dernière ni modifier le nom de la liste. F0170.book Page 122 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 123 Pour configurer une liste d’ordinateurs hôtes : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Cliquez sur le globe au-dessus de la liste des comptes et choisissez le domaine de répertoires qui contient la liste Ordinateurs hôtes à modifier. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs (à gauche), puis sélectionnez Ordinateurs hôtes dans la liste. 5 Cliquez sur Liste (à droite), puis sélectionnez un réglage pour les préférences. Pour configurer des préférences gérées, sélectionnez “Définir ici les préférences de l’ordinateur hôte”. Si vous sélectionnez cette option, cliquez sur Enregistrer et passez à l’étape suivante. Pour que des ordinateurs hôtes aient les mêmes réglages de préférences gérées que le serveur parent (un serveur dont le répertoire LDAP ou le répertoire NetInfo partagé est répertorié dans la politique de recherche du serveur que vous configurez), sélectionnez “Hériter des préférences pour les ordinateurs hôtes”. Si vous sélectionnez cette option, cliquez sur Enregistrer (l’étape suivante n’est pas nécessaire). Remarque : vous devez soit créer des listes de comptes d’ordinateur uniques, soit avoir configuré les ordinateurs hôtes pour définir les préférences dans le chemin de recherche. Sinon, les réglages de gestion ne seront pas placés en mémoire cache sur l’ordinateur local. Les systèmes clients pourraient alors ne plus être gérés une fois déconnectés du réseau. 6 Si vous avez sélectionné Définir, cliquez sur Accès puis sélectionnez les réglages que vous voulez utiliser. Cliquez sur Cache, définissez une fréquence d’effacement de la mémoire cache des préférences, puis cliquez sur Enregistrer. Une fois la liste d’ordinateurs Ordinateurs hôtes configurée, vous pouvez gérer les préférences que vous souhaitez pour cette liste. Pour plus d’informations sur l’utilisation des préférences gérées, consultez la section “Définition de préférences” à la page 145 et le chapitre 9, “Gestion des préférences”. Si vous ne sélectionnez aucun réglage ni aucune préférence pour la liste d’ordinateurs Ordinateurs hôtes, cette dernière n’est pas gérée. Toutefois, si l’utilisateur d’un ordinateur dispose d’un compte d’utilisateur Mac OS X Server avec des préférences de groupe ou d’utilisateur gérés, ces réglages s’appliquent lorsque la personne se connecte avec ce compte d’utilisateur. Si l’utilisateur possède un compte d’administrateur dans le répertoire local de l’ordinateur client, l’utilisateur peut choisir de ne pas être géré à la connexion. Les utilisateurs non gérés peuvent recourir à la commande Aller au dossier pour accéder à un répertoire de départ situé sur le réseau. F0170.book Page 123 Monday, May 2, 2005 12:37 PM124 Chapitre 6 Configuration de listes d’ordinateurs Utilisation des réglages d’accès Les réglages du volet Accès vous permettent de rendre les ordinateurs d’une liste disponibles pour les utilisateurs de groupes. Vous pouvez soit n’autoriser que certains groupes à accéder aux ordinateurs d’une liste, soit autoriser tous les groupes (donc tous les utilisateurs) à accéder aux ordinateurs d’une liste. Vous pouvez également contrôler certains aspects de l’accès des utilisateurs locaux. Restriction de l’accès à des ordinateurs Il est possible de réserver l’accès de certains ordinateurs à des utilisateurs spécifiques. S’il existe par exemple deux ordinateurs équipés de matériel et de logiciels de montage vidéo, vous pouvez les réserver aux utilisateurs qui font de la production vidéo. Créez d’abord une liste d’ordinateurs avec ces ordinateurs, assurez-vous que les utilisateurs disposent de comptes d’utilisateur, ajoutez les utilisateurs à un groupe nommé “Production vidéo”, par exemple, et limlitez l’accès à la liste d’ordinateurs Production vidéo à ce groupe. Remarque : tout utilisateur disposant d’un compte d’administrateur dans le répertoire local d’un ordinateur client pourra toujours se connecter. Pour réserver un ensemble d’ordinateurs pour certains groupes : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste d’ordinateurs. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans la sous-fenêtre Liste, tapez des enregistrements d’ordinateur avec leurs identifiants Ethernet. Vous pouvez utiliser des listes pour restreindre la connexion à certains ordinateurs. Vous pouvez également utiliser la fonction de présentations de réseau pour effectuer cette tâche avec plus de souplesse. (Voir le chapitre 10.) 5 Cliquez sur Accès. 6 Sélectionnez l’option Limiter aux groupes ci-dessous. 7 Cliquez sur le bouton Ajouter (+), puis sélectionnez un ou plusieurs groupes dans le tiroir et faites-les glisser vers la liste de la sous-fenêtre Accès. Pour supprimer un groupe autorisé, sélectionnez-le, puis cliquez sur le bouton Supprimer (–). 8 Cliquer sur Enregistrer. Dans la fenêtre de connexion, seuls les utilisateurs du ou des groupes autorisés apparaîtront ou seront capables de se connecter. F0170.book Page 124 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 125 Mise d’ordinateurs à la disposition de tous les utilisateurs Vous pouvez mettre les ordinateurs d’une liste à la disposition de tout utilisateur provenant de l’un quelconque des groupes que vous avez définis. Pour mettre des ordinateurs à la disposition de tous les utilisateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste d’ordinateurs. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez une ou plusieurs listes d’ordinateurs. 5 Dans la sous-fenêtre Liste, cochez les enregistrements d’ordinateur souhaités ou saisissez-en un s’il n’en existe pas encore. 6 Cliquez sur la sous-fenêtre Accès. 7 Sélectionnez “Tous les groupes peuvent utiliser l’ordinateur” et “Autoriser les administrateurs d’ordinateur à désactiver la gestion”. 8 Cliquez sur la sous-fenêtre Cache et assurez-vous que le réglage de mise à jour de la mémoire cache des préférences est réglé sur une durée appropriée. Ne réglez pas l’actualisation de la mémoire cache sur 0, sinon la mémoire cache ne pourra pas être créée. Les ordinateurs ne seraient plus gérés une fois déconnectés du réseau. 9 Cliquer sur Enregistrer. Utilisation de comptes d’utilisateur locaux Un compte d’utilisateur local est un compte d’utilisateur défini dans le domaine de répertoire local d’un ordinateur client. Les comptes locaux servent aussi bien aux ordinateurs fixes que portables, qu’ils soient utilisés par une ou plusieurs personne(s). Toute personne dotée d’un compte d’administrateur local sur un ordinateur client peut créer des comptes d’utilisateur local via le volet Comptes dans les préférences Système. Les utilisateurs locaux sont authentifiés en local. Si vous comptez fournir des ordinateurs portables (iBook, par exemple) à plusieurs personnes, vous pouvez attribuer à chaque utilisateur la fonction d’administrateur local de l’ordinateur en sa possession. Un administrateur local dispose d’autorisations plus étendues qu’un utilisateur local ou réseau. Par exemple, un administrateur local peut ajouter des imprimantes, changer des réglages de réseau ou choisir de ne pas être géré. F0170.book Page 125 Monday, May 2, 2005 12:37 PM126 Chapitre 6 Configuration de listes d’ordinateurs La manière la plus simple de gérer les préférences des utilisateurs locaux d’un ordinateur particulier consiste à gérer les préférences de la liste d’ordinateurs à laquelle appartient l’ordinateur et de s’assurer que vous autorisez bien les utilisateurs qui ne disposent que de comptes locaux à utiliser les ordinateurs de la liste d’ordinateurs. Pour autoriser l’accès aux utilisateurs dotés de comptes locaux : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez une liste d’ordinateurs qui prend en charge les ordinateurs avec des utilisateurs locaux. Pour sélectionner une liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Accès. 5 Sélectionnez “Limiter aux groupes ci-dessous” pour déterminer les groupes de travail qui sont affichés lorsqu’un utilisateur local se connecte. Les comptes d’utilisateur locaux ne peuvent pas être réglés pour restreindre l’accès à des groupes de travail spécifiques. Si vous avez créé des groupes de travail qui doivent être limités à des comptes spécifiques, vous devez créer une liste de comptes d’ordinateur qui ne contient que les groupes de travail disposant d’un accès commun. Pour que la liste des groupes de travail disponibles s’affiche lors de la connexion de l’utilisateur, sélectionnez “Tous les groupes peuvent utiliser l’ordinateur”. Pour n’afficher que certains groupes de travail (dans le cas de comptes non locaux), sélectionnez “Limiter aux groupes ci-dessous”, puis faites glisser des groupes du tiroir vers la liste de la sous-fenêtre Accès. 6 Assurez-vous que l’option Autoriser les utilisateurs de comptes exclusivement locaux est sélectionnée. 7 Cliquer sur Enregistrer. F0170.book Page 126 Monday, May 2, 2005 12:37 PM7 127 7 Configuration des répertoires de départ Mac OS X utilise le répertoire de départ, un dossier réservé à l’usage exclusif d’un utilisateur, pour stocker des préférences système et des réglages gérés. Ce chapitre décrit les principes généraux de configuration et de gestion des répertoires de départ. À propos des répertoires de départ Vous pouvez configurer des répertoires de départ de manière à les rendre accessibles à l’aide soit du protocole AFP (Apple Filing Protocol), soit du système NFS (Network File System) : • Il est préférable d’utiliser le protocole AFP, car il offre une sécurité d’accès par authentification. L’utilisateur doit ouvrir une session avec un nom et un mot de passe valides pour pouvoir accéder aux fichiers. • L’accès aux fichiers NFS n’étant pas basé sur l’authentification des utilisateurs mais sur les adresses IP client, c’est un protocole généralement moins sûr que AFP. N’utilisez NFS que si vous avez besoin de fournir des répertoires de départ à de nombreux utilisateurs travaillant avec des stations de travail UNIX. Pour configurer le répertoire de départ d’un utilisateur dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Départ de la fenêtre Comptes. Vous pouvez aussi importer des réglages de répertoire de départ d’utilisateur à partir d’un fichier. Pour savoir comment travailler avec des fichiers d’importation, consultez la section “Importation et exportation d’informations de compte”. Il n’est pas nécessaire que le répertoire de départ d’un utilisateur soit stocké sur le même serveur que le domaine de répertoires contenant son compte d’utilisateur. D’ailleurs, répartir les domaines de répertoires et les répertoires de départ sur plusieurs serveurs peut vous aider à équilibrer la charge de travail entre différents serveurs. “Répartition de répertoires de départ sur plusieurs serveurs” à la page 129 décrit plusieurs de ces scénarios. F0170.book Page 127 Monday, May 2, 2005 12:37 PM128 Chapitre 7 Configuration des répertoires de départ Le répertoire de départ que vous désignez dans la sous-fenêtre Départ peut être utilisé lors de la connexion à partir d’une station de travail Windows ou d’un ordinateur Mac OS X. Cela peut s’avérer pratique pour les utilisateurs dont le compte réside sur un serveur qui fonctionne comme contrôleur de domaine principal Windows. Consultez le guide d’administration des services Windows pour plus d’informations sur la configuration des répertoires de départ pour les utilisateurs de stations de travail Windows. La longueur maximale de chemin de 89 caractères pour les répertoires de départ et les autres points de partage à montage automatique est réduite d’un nombre variable de caractères en fonction de la version de Mac OS X utilisée sur les clients : • 10.2 - 10.2.8 : (marge de 89-24) = 65 caractères max. • 10.3 - 10.3.4 : (marge de 89-38) = 51 caractères max. • 10.3.5 et les versions plus récentes de 10.3 : (marge de 89-24) = 65 caractères max. • 10.4 Tiger : (marge de 89-16) = 73 caractères max. Pour en savoir plus, consultez l’article du site Web d’assistance et de service Apple intitulé “Avoid Spaces and Long Names in Network Home Directory Name, Path”, à l’adresse docs.info.apple.com/article.html?artnum=107695. Évitez les espaces et les noms très longs dans les chemins d’accès aux répertoires de départ réseau Si le chemin absolu du client au répertoire de départ réseau sur le serveur contient des espaces ou plus de 89 caractères, certains types de clients ne peuvent pas se connecter. Un client utilisant, par exemple, le montage automatique avec un répertoire de départ AFP basé sur LDAP ne pourra probablement pas accéder à son répertoire de départ. Pour résoudre ou éviter le problème, assurez-vous que le chemin complet au répertoire de départ réseau ne contient pas d’espaces et ne comporte pas plus de 89 caractères. La barre oblique (/) compte comme caractère. F0170.book Page 128 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 129 Répartition de répertoires de départ sur plusieurs serveurs L’illustration ci-dessous montre un serveur Mac OS X Server destiné au stockage de comptes d’utilisateur et deux autres pour stocker des répertoires de départ AFP. Lorsqu’un utilisateur se connecte, il est authentifié à l’aide d’un compte stocké dans le domaine de répertoires partagé sur le serveur de comptes. L’emplacement du répertoire de départ de l’utilisateur, stocké dans le compte, sert à monter le répertoire de départ qui réside physiquement sur l’un des deux serveurs de répertoires de départ. Les étapes ci-dessous permettent de configurer ce scénario pour les répertoires de départ AFP : Étape 1 : Créez un domaine partagé pour les comptes d’utilisateur sur le serveur de comptes. La création d’un domaine de répertoires LDAP partagé s’effectue en configurant un maître Open Directory conformément aux instructions incluses dans le guide d’administration d’Open Directory. Étape 2 : Configurez un point de partage montable automatiquement pour les répertoires de départ sur chaque serveur. Pour obtenir des instructions sur la manière de configurer des points de partage montables automatiquement, consultez la section “Configuration d’un point de partage AFP montable automatiquement pour des répertoires de départ” à la page 137. Répertoires de départ A à M Serveurs Mac OS X Server Répertoires de départ N à Z Comptes d'utilisateurs F0170.book Page 129 Monday, May 2, 2005 12:37 PM130 Chapitre 7 Configuration des répertoires de départ Étape 3 : Créez les comptes d’utilisateur dans le domaine partagé sur le serveur de comptes. Ce chapitre décrit plus en avant la configuration des comptes de sorte que les répertoires de départ soient stockés dans l’un ou l’autre des points de partage montables automatiquement. Reportez-vous aux instructions de la section “Création de comptes d’utilisateur Mac OS X Server” à la page 67 pour savoir comment configurer les attributs des comptes d’utilisateur, ainsi que celles des sections ultérieures de ce chapitre pour obtenir des détails spécifiques sur la configuration des répertoires de départ. Étape 4 : Configurez les services de répertoire des ordinateurs clients afin que leur politique de recherche inclue le domaine de répertoire partagé sur le serveur de comptes. Consultez le guide d’administration Open Directory pour plus d’informations sur la configuration des politiques de recherche. Quand un utilisateur redémarre son ordinateur, puis ouvre une session en utilisant le compte du domaine partagé, le répertoire de départ est automatiquement créé (si ce n’est déjà fait) sur le serveur approprié et visible sur l’ordinateur de l’utilisateur. Remarque : les répertoires de départ ne sont créés automatiquement, lors de la connexion initiale d’un utilisateur, que sur les points de partage servis par un serveur AFP. Les répertoires de départ NFS doivent être créés manuellement. Spécification d’aucun répertoire de départ Vous pouvez utiliser le Gestionnaire de groupe de travail pour qu’un compte d’utilisateur doté d’un répertoire de départ n’en ait plus. Par défaut, les nouveaux utilisateurs ne disposent d’aucun répertoire de départ. Pour ne définir aucun répertoire de départ : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Ouvrez le domaine de répertoires dans lequel réside le compte d’utilisateur et authentifiez-vous comme administrateur du domaine. Pour ouvrir un domaine de répertoires, cliquez sur le globe au-dessus de la liste des comptes, puis faites votre choix dans le menu local. Pour vous authentifier, cliquez sur le cadenas. 3 Cliquez sur le bouton Utilisateurs, puis sélectionnez un ou plusieurs comptes d’utilisateur. 4 Cliquez sur Départ, puis sélectionnez (Aucun) dans la liste. 5 Cliquer sur Enregistrer. F0170.book Page 130 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 131 Création d’un répertoire de départ pour un utilisateur local sur un serveur Vous pouvez utiliser le Gestionnaire de groupe de travail pour définir des répertoires de départ aux utilisateurs dont les comptes sont stockés dans un domaine de répertoires local du serveur. Vous avez aussi la possibilité d’utiliser des comptes d’utilisateur locaux sur des serveurs autonomes (non accessibles à partir d’un réseau) et des comptes d’administrateur sur un serveur. Ces comptes sont destinés aux utilisateurs qui ouvrent une session directement sur le serveur. Ils ne sont pas destinés aux utilisateurs réseau. Les répertoires de départ des utilisateurs locaux doivent être stockés dans des points de partage AFP, sur le serveur dans lequel résident leurs comptes. Il n’est pas nécessaire que ces points de partage soient montables automatiquement (aucun enregistrement de montage de réseau n’est requis). Pour créer un répertoire de départ pour un compte d’utilisateur local : 1 Assurez-vous qu’un point de partage pour le répertoire de départ existe sur le serveur où réside le compte d’utilisateur local. Vous pouvez utiliser le point de partage prédéfini /Users ou tout autre point de partage AFP préalablement défini sur le serveur. Une autre solution consiste à établir votre propre point de partage. Pour utiliser un point de partage existant, passez à l’étape 4. Pour définir un nouveau point de partage, continuez avec les étapes 2 et 3. Étant donné le principe des quotas de disques de répertoires de départ, vous pouvez configurer les points de partage de répertoire de départ sur une partition différente des autres points de partage. Pour plus d’informations, consultez la section “Définition de quotas de disque” à la page 140. 2 À l’aide du Finder, créez, le cas échéant, le dossier que vous souhaitez utiliser comme point de partage. 3 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur sur lequel réside le compte d’utilisateur local, puis cliquez sur Partage pour configurer le dossier comme point de partage AFP. Cliquez sur Tous (à gauche au-dessus de la liste), puis sélectionnez le dossier. Cliquez sur Général et sélectionnez Partager cet élément et son contenu. Spécifiez les noms du possesseur du point de partage et du groupe en saisissant leur nom dans les champs correspondants ou en y faisant glisser les noms depuis le Finder qui s’ouvre après avoir cliqué sur Utilisateurs et groupes. Réglez les autorisations du Propriétaire sur Lecture et écriture et les autorisations du Groupe et de Tous sur Lecture seule. Cliquer sur Enregistrer. F0170.book Page 131 Monday, May 2, 2005 12:37 PM132 Chapitre 7 Configuration des répertoires de départ 4 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes, puis sélectionnez le compte d’utilisateur avec lequel vous souhaitez travailler. Pour sélectionner un compte d’utilisateur local, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires local, cliquez sur le bouton Utilisateurs, puis sélectionnez l’utilisateur dans la liste. 5 Cliquez sur le cadenas et authentifiez-vous en tant qu’administrateur du domaine de répertoires local. 6 Cliquez sur Départ pour configurer le répertoire de départ de l’utilisateur sélectionné. 7 Dans la liste des points de partage, sélectionnez celui que vous souhaitez utiliser. La liste affiche tous les points de partage AFP du serveur auquel vous êtes connecté. 8 Saisissez un quota de disque et spécifiez s’il s’agit de méga-octets (Mo) ou de gigaoctets (Go) (facultatif). 9 Cliquez sur Créer Départ puis sur Enregistrer. Si vous ne cliquez pas sur Créer Départ avant de cliquer sur Enregistrer, le répertoire de départ sera créé la prochaine fois que l’utilisateur redémarrera l’ordinateur client et se connectera à distance. Toutefois, seuls certains clients peuvent se connecter à des serveurs qui hébergent des points de partage dans le domaine local. Pour obtenir des instructions sur la configuration d’un point de partage pour des clients Mac OS X, consultez la section “Création d’un répertoire de départ de réseau” à la page 133. Le nom du répertoire du départ est identique au premier nom abrégé de l’utilisateur. 10 Assurez-vous que le service AFP est actif sur le serveur où réside le répertoire de départ de l’utilisateur local. Pour vérifier l’état du service AFP, ouvrez Admin Serveur et connectez-vous au serveur sur lequel réside le compte d’utilisateur local. Sélectionnez AFP dans la liste Ordinateurs et services, puis cliquez sur Vue d’ensemble. Si l’état indique que le service AFP est arrêté, choisissez Serveur > Démarrer le service ou cliquez sur Démarrer le service dans la barre d’outils. F0170.book Page 132 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 133 Création d’un répertoire de départ de réseau Dans le Gestionnaire de groupe de travail, vous pouvez configurer un répertoire de départ réseau pour un compte d’utilisateur stocké dans un domaine de répertoires partagé. Le répertoire de départ d’un utilisateur peut résider dans tout point de partage AFP ou NFS auquel peut accéder l’ordinateur de l’utilisateur. Le point de partage doit être montable automatiquement. Un point de partage montable automatiquement garantit que le répertoire de départ est automatiquement visible dans /Network/Servers quand l’utilisateur se connecte à un ordinateur Mac OS X configuré pour pouvoir accéder au domaine partagé. Il permet aussi à d’autres utilisateurs d’accéder au répertoire de départ à l’aide du raccourci ~nom-répertoire-départ. Vous pouvez utiliser le Gestionnaire de groupe de travail pour définir un répertoire de départ réseau pour un utilisateur dont le compte est stocké dans le répertoire LDAP d’un maître Open Directory ou dans un autre domaine de répertoires en lecture/écriture accessible depuis le serveur que vous utilisez. Vous pouvez aussi utiliser le Gestionnaire de groupe de travail pour consulter les informations relatives à un répertoire de départ dans tout domaine de répertoires accessible en lecture seule. Pour créer un répertoire de départ de réseau dans un point de partage AFP ou NFS : 1 Assurez-vous que le point de partage existe sur le serveur où vous souhaitez que réside le répertoire de départ et que celui-ci dispose d’un enregistrement de montage de réseau configuré pour les répertoires de départ. Pour obtenir des instructions, consultez la section “Configuration d’un point de partage AFP montable automatiquement pour des répertoires de départ” à la page 137 ou “Configuration d’un point de partage NFS ou SMB montable automatiquement pour des répertoires de départ” à la page 138. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes, puis sélectionnez le compte d’utilisateur avec lequel vous souhaitez travailler. Pour sélectionner un compte, connectez-vous au serveur sur lequel il réside. Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine de répertoires dans lequel le compte d’utilisateur réside. Cliquez sur le bouton Utilisateurs, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour vous authentifier, cliquez sur le cadenas.