Académique Documents
Professionnel Documents
Culture Documents
SOMMAIRE
B Un système multi-compte
Petit voyage au cœur de Mac OS X, ses utilisateurs, B Autorisations et permissions
ses applications et ses documents. B Contrôlez vos applications
B Les extensions de fichiers
MOTS-CLÉS
B Comptes d’utilisateurs
B Authentification
B Autorisations
B Utilisateurs et groupes
B root
B Application
B Installation
B Désinstallation
B Extensions de noms
Figure 7–1
La préférence système Utilisateurs
et groupes affiche les différents comptes
disponibles et permet d’en créer
ou d’en supprimer si nécessaire.
Figure 7–2
Petite astuce : ajoutez des applications à
lancer à l’ouverture de session en les glissant
directement à partir du Dock vers la liste, tout
en enfonçant la touche Commande.
MISE EN GARDE généralement connu sous le nom de root, mais s’intitule également
Des dangers du compte root System Administrator dans la terminologie Apple. Ce compte dispose
Le compte root ne connaît aucune limite : il est le
d’un accès illimité à l’ordinateur, et lance la plupart des processus indis-
véritable maître de votre Mac. Ce qui nous amène pensables au démarrage du système. Il dispose du numéro d’identifica-
à une des règles de base de Mac OS X : il ne faut tion utilisateur 0 (zéro).
jamais travailler avec le compte root.
Si la tentation est effectivement grande de profiter Par défaut, le compte root est inaccessible via l’interface graphique. Il
de Mac OS X avec une liberté maximale, cela faut l’activer manuellement via l’application Utilitaire d’annuaire (dans
implique aussi un risque plus grand de commettre /Système/Bibliothèque/CoreServices).
une opération pouvant détruire jusqu’à la totalité
du système d’exploitation.
1 Cliquez sur le cadenas.
Ajoutons que du point de vue de la sécurité, le 2 Tapez votre nom et mot de passe administrateur.
compte root est le compte le plus sensible aux 3 Cliquez sur Édition>Activer l’utilisateur root.
attaques à distance, en plus d’être le compte que
les crackers visent en priorité pour tenter d’accéder 4 Tapez un mot de passe pour ce compte et validez-le.
à un système. Par conséquent, évitez au maximum
de l’activer. Votre serviteur n’a jamais activé le
compte root sur son poste depuis des années, et
cela ne l’a jamais empêché de travailler.
Figure 7–4
Théoriquement, vous n’aurez jamais
besoin d’aller activer le compte root
APPROFONDIR
Root, un compte vraiment à part
Fermez la session : une option Autre est apparue en bas de la fenêtre
Le compte root présente d’autres particularités : d’ouverture de session. Cliquez dessus, tapez le nom root et son mot de
• Son dossier de départ se situe dans /var/ passe : la session graphique en root est ouverte.
root/.
• S’il est activé, il n’apparaît jamais dans la liste Pour prévenir toute catastrophe, Apple a préféré désactiver l’accès via
des comptes disponibles au démarrage du l’interface graphique au compte root. Heureusement, il est toujours pos-
poste : il faut cliquer sur Autre et taper son
sible de gérer Mac OS X grâce à un autre type de compte.
nom et son mot de passe.
• Lorsque vous utilisez le compte root dans le Ter-
minal, la commande ls affiche automatique- L’administrateur
ment tous les fichiers invisibles.
• Par ailleurs, toujours dans le Terminal, le Le premier compte que vous créez sous Mac OS X via l’assistant est un
prompt change et devient un # si vous utilisez compte d’administrateur. Son accès au système de fichiers est limité : il
le compte root. n’a pas le droit de modifier le contenu de la majorité des dossiers invisi-
Il peut modifier les autorisations de n’importe quel bles, ou de réaliser des modifications dans le dossier /System, pour ne
fichier, peut générer des fichiers partout, mais éga-
lement les supprimer. D’où son côté dangereux :
citer que quelques exemples.
une commande mal tapée sous root peut avoir des Cependant, un peu à la manière de Clark Kent, l’administrateur a la capa-
effets désastreux sur l’ensemble des données d’un cité de prendre les droits du super-administrateur quand cela est néces-
ou plusieurs disques.
ATTENTION
Le cadenas ne se referme pas tout seul
Si vous souhaitez taper votre nom et mot de
passe administrateur pour déverrouiller l’accès à
une préférence système verrouillée dans une ses-
sion d’utilisateur standard, pensez à recliquer sur
le cadenas ou à fermer la fenêtre Préférences
Système avant de quitter le poste. Dans le cas
contraire, vous laisseriez l’accès libre à toutes les
préférences système verrouillées du poste !
Figure 7–5 Cette fenêtre indique que vous devez taper un nom Fermer la fenêtre Préférences Système suffit
et mot de passe d’un compte d’administrateur valide sur le poste. pour les verrouiller à nouveau.
L’utilisateur standard
Un utilisateur standard dispose d’un accès limité au système. Il ne peut pas
modifier les réglages de la machine, ne peut que consulter le contenu de la
plupart des dossiers, et peut écrire dans son dossier de départ ainsi que le
dossier /Utilisateurs/Partagé. Il est donc restreint dans ses possibilités
de modification du système d’exploitation, sauf s’il arrive à prendre des
droits d’administrateur. Travailler sous un compte utilisateur standard
limite les risques de mauvaises manipulations, d’erreurs humaines, etc.
Même sur sa propre machine ! Par conséquent, il n’est pas forcément idiot
de créer un compte d’utilisateur standard supplémentaire, et de n’utiliser le
compte administrateur que pour les tâches… d’administration.
Pour créer un compte d’utilisateur, opérez comme pour le compte
d’administrateur, mais sélectionnez simplement Standard dans le menu
Nouveau compte à l’étape 5.
Les autorisations
Pour tout système Unix et a fortiori pour Mac OS X, les autorisations
font partie des bases du système, chaque fichier disposant d’attributs
déterminant en particulier qui peut accéder à un fichier, et ce qu’il est
capable de faire avec. Quand on sait qu’une bonne partie des problèmes
de Mac OS X sont liés à des histoires d’autorisations, on comprend vite
DÉFINITION POSIX l’intérêt de savoir les manier subtilement
POSIX (pour Portable Operating System Inter-
face) désigne une norme visant à standardiser
quelque peu les myriades de systèmes Unix du
Les permissions POSIX : des droits simples, mais limités
marché. Un système certifié POSIX a donc des Les classes de permissions POSIX sont les autorisations de base appli-
points communs bien identifiés avec les autres sys- quées à un fichier ou un dossier. On distingue trois classes : le posses-
tèmes POSIX du marché.
seur, le groupe et les autres.
Le possesseur
Le possesseur d’un fichier désigne le compte utilisateur qui a le droit de
DIFFÉRENCE Comptes utilisateurs modifier les autorisations sur un fichier.
et comptes système Manipuler les identifiants peut s’avérer intéressant, voire indispensable
Les systèmes Unix disposent de comptes réservés à dans certains cas. Par exemple, imaginons que vous ayez créé un utilisa-
certaines tâches. Ainsi, sous Mac OS X, les teur, puis supprimé son compte sans supprimer son dossier de départ.
comptes utilisateurs dotés d’un UID inférieur à 100
sont des comptes système, réservés à des tâches
Vous créez ensuite un nouveau compte, mais souhaitez que l’utilisateur
spécifiques. Il n’est pas possible d’ouvrir de session exploite le dossier de départ abandonné. Modifiez donc le UID, et
graphique avec ces comptes, mis à part root, si changez l’emplacement du dossier de départ comme indiqué plus loin
vous l’avez activé dans l’interface graphique ou pour qu’il corresponde à celui de l’ancien compte. Le nouveau compte
avec la commande dsenableroot.
deviendra automatiquement le possesseur des anciens fichiers.
Figure 7–6
Les paramètres avancés d’un compte
sont facilement modifiables. Restez
quand même prudent…
Certains paramètres du compte utilisateur, comme le UID ou l’emplace- AVANCÉ Déplacer son dossier de départ
ment du dossier de départ de l’utilisateur, peuvent être facilement modifiés. sur un autre volume
1 Ouvrez la préférence système Utilisateurs et groupes. Après avoir copié votre dossier de départ sur un
autre volume, cliquez sur le bouton Choisir du
2 Authentifiez-vous.
champ Répertoire de départ pour sélectionner
3 Effectuez un Contrôle + clic ou clic droit sur le nom du compte à la copie du dossier, validez puis fermez immédiate-
modifier. ment la session et ouvrez-la à nouveau pour
prendre en compte la modification.
4 Sélectionnez Options avancées.
5 Modifiez les réglages de votre choix, et validez.
Enfin, si vous souhaitez qu’un utilisateur dispose d’alias supplémentaires
pour son nom, par exemple, pour pouvoir utiliser « gg » à la place de
Le groupe
Un groupe est un ensemble d’utilisateurs disposant de droits d’accès particu-
liers à un fichier ou un dossier : des administrateurs, un secrétariat, des créa-
tifs… Là aussi, on rencontre des groupes réservés appelés groupes système,
dont l’identifiant (ou GID, pour Group Identifier) est inférieur à 100.
Figure 7–7
Créez des groupes pour rassembler les
utilisateurs par affinité, niveau de sécurité…
APPROFONDIR Des groupes très spéciaux Il n’est pas très compliqué de créer un nouveau groupe.
Mac OS X inclut par défaut de nombreux groupes 1 Allez dans la préférence système Utilisateurs et groupes.
qu’il serait inutile de décrire, d’autant que certains 2 Cliquez sur le bouton +.
sont redondants avec des comptes utilisateurs
éponymes. Trois groupes attirent cependant 3 Choisissez Groupe dans le menu Nouveau compte.
l’attention : 4 Cochez les comptes à ajouter dans le groupe nouvellement créé.
• staff (GID 20) : groupe par défaut pour tous les
utilisateurs ; Les autres
• wheel (GID 0) : groupe système : tout utilisa-
teur présent dans ce groupe devient super- Dans un système Unix, les autres ne sont ni possesseur d’un fichier, ni
administrateur. Normalement, il n’y a qu’un membre du groupe attribué au fichier. Cela signifie qu’un utilisateur qui
compte dans wheel, et il doit être root. Tout essaie d’utiliser un fichier dont il n’est pas le possesseur ni membre du
compte ajouté dans ce groupe pourra prendre
les autorisations de root. Pour des raisons de groupe associé se voit attribué les droits « autres » sur ce fichier.
sécurité, il est fortement déconseillé de modi- Les autorisations de type POSIX sont ancestrales, presque aussi vieilles
fier ce groupe ;
• admin (GID 80) : les membres de ce groupe
qu’Unix. Mais avec le temps, elles ont aussi prouvé leurs limites : imaginez
ont les droits d’administration du système. par exemple donner accès à un dossier à un groupe d’administrateurs en
lecture et écriture, à un autre groupe en lecture seule, tout en interdisant à
tous les autres utilisateurs l’accès au dossier ? Avec POSIX, c’est mission
impossible… Heureusement, la situation a évolué depuis quelques années.
Nom Description
Modifier les autorisations L’utilisateur peut modifier les autorisations standards.
Prendre la propriété L’utilisateur peut se définir comme le possesseur d’un fichier ou d’un dossier.
Lire les attributs L’utilisateur peut voir les attributs de fichier ou de dossier (par exemple, le nom, la date
et la taille).
Lire les attributs étendus L’utilisateur peut voir les attributs de fichier ou de dossier ajoutés par des développeurs tiers.
Répertorier le contenu du dossier (lire les données) L’utilisateur peut répertorier le contenu d’un dossier et lire les fichiers.
Parcourir le dossier (exécuter le fichier) L’utilisateur peut ouvrir des sous-dossiers et exécuter un programme.
Lire les autorisations L’utilisateur peut voir les autorisations standards du fichier ou du dossier à l’aide de l’option
Lire les informations ou des commandes du Terminal.
Écrire les attributs L’utilisateur peut modifier les autorisations standards du fichier ou du dossier.
Écrire les attributs étendus L’utilisateur peut modifier les autres autorisations du fichier ou du dossier.
Créer les fichiers (écrire les données) L’utilisateur peut créer et modifier des fichiers.
Créer le dossier (ajouter les données) L’utilisateur peut créer des sous-dossiers et ajouter des données à des fichiers.
Supprimer L’utilisateur peut supprimer un fichier ou un dossier.
Supprimer les sous-dossiers/fichiers L’utilisateur peut supprimer des sous-dossiers et des fichiers.
Appliquer à ce dossier Appliquer les autorisations uniquement à ce dossier et pas à ses sous-dossiers.
Appliquer aux dossiers enfants Appliquer les autorisations uniquement aux sous-dossiers et pas au dossier conteneur.
Appliquer aux fichiers enfants Appliquer les autorisations aux fichiers de ce dossier, mais pas aux sous-dossiers
eux-mêmes.
Appliquer à tous les descendants Appliquer les autorisations à tous les dossiers et fichiers contenus dans le dossier conteneur.
Figure 7–8
Si les ACE sont bien visibles sur les dossiers
admin et admineyrolles, le Finder
ne les affiche pas, mais les respecte.
Figure 7–9
La fenêtre d’informations n’est pas
des plus ergonomiques, mais elle suffira
dans 80 % des cas. Si vous vous sentez
une âme d’administrateur, adoptez
la ligne de commande.
Eh oui, en tant qu’utilisateur standard, vous ne pouvez pas modifier le ASTUCE Annuler les modifications
possesseur de vos propres fichiers dans le Finder… Il faut absolument effectuées sur les permissions
qu’un compte administrateur autorise le changement des permissions, Si vous faites une grosse erreur, par exemple si
une limitation qui ne touche pas d’autres outils comme BatchMod vous attribuez des autorisations loufoques à un
(macchampion.com/arbysoft). Sur Lion, vous pouvez modifier les autorisations fichier et ne savez plus quelles sont les autorisa-
tions d’origine, cliquez sur l’icône représentant un
attribuées sur ses fichiers, et par exemple, les mettre en lecture et écriture engrenage dans la fenêtre d’informations et cli-
pour tous. quez sur Annuler les modifications .
ASTUCE Un package en .pkg intègre tous les fichiers à installer. Lorsque vous ins-
Suivre le déroulement d’une installation tallez un package, l’utilitaire Programme d’installation (qui se trouve
Lorsque vous avez lancé l’installation d’un pac- désormais dans /Système/Bibliothèque/CoreServices) se lance et pro-
kage, cliquez sur Fenêtre>Historique de pro- pose d’installer le logiciel. S’ensuivent différentes étapes : acceptation de
gramme d’installation et cliquez sur Afficher la licence logicielle, choix du volume d’installation et, éventuellement,
uniquement les erreurs, pour sélectionner à la
place Afficher erreurs et progression. C’est
liste des logiciels à installer ou non, dans le cas où vous installez un
une astuce pratique lorsqu’un logiciel d’installa- métapackage, c’est-à-dire, un package (au format .mpkg) regroupant plu-
tion a l’air de stagner. sieurs installations.
Un package mal conçu peut endommager définitivement un poste : ainsi, une mise à jour d’iTunes 2
avait la fâcheuse tendance de supprimer le contenu de disques externes dans certains cas, en raison
d’un script d’installation mal conçu… Évitez donc d’installer un package tout fraîchement sorti et
attendez les premiers retours des « adopteurs précoces » (early adopters) sur les forums avant de
vous lancer, en consultant les forums de sites comme www.macgeneration.com,
www.mac4ever.org, www.macbidouille.com ou encore www.macplus.net. Le site
www.macintounch.com est aussi une très bonne source d’informations.
Désinstaller manuellement
Même si cela peut paraître très étonnant, désinstaller à la main est une des VOUS VENEZ DE WINDOWS Où sont les clés
solutions les plus efficaces. Rappelez-vous, l’installation d’un logiciel se de la base de registres ?
limite très souvent à déplacer un bundle dans le dossier /Applications. Il n’y a pas de base de registres sous Mac OS X.
Par conséquent, la désinstallation se limite également à déplacer l’icône de Avantage au Mac !
l’application à la Corbeille et à vider cette dernière.
Pourquoi l’élimination manuelle des éléments n’est-elle finalement pas si
mauvaise ? Simplement parce que les différents composants installés par les ASTUCE
Spotlight, assistant de suppression
applications placent rarement beaucoup d’éléments en dehors de leur dossier
d’installation. La plupart des éléments installés en dehors de l’application Pour améliorer encore les résultats de la recherche
elle-même sont inactifs, n’étant utilisés que lorsque l’application est lancée. des éléments installés par l’application, n’hésitez
pas à vous appuyer sur Spotlight : saisissez le nom
Il faut donc penser à supprimer la ou les préférences de l’application dans le de l’application ou de son éditeur, et Spotlight ren-
dossier ~/Bibliothèque/Préférences, ou encore tout contenu portant le verra une grande partie des fichiers en relation
avec cette application sur le disque dur.
nom de l’application dans les dossiers Bibliothèque/Application Support
et Bibliothèque/Caches/. Cherchez aussi des éléments dans le dossier
son contenu, mais lance un élément intégré dans son contenu. Ainsi,
quand vous double-cliquez sur l’icône de TextEdit, vous double-cliquez
en réalité sur un dossier TextEdit.app, et c’est un fichier binaire
TextEdit, stocké dans le dossier MacOS du bundle, qui est lancé. Apple
vous laisse même la possibilité d’accéder au contenu de ce bundle : il
suffit d’effectuer un clic droit sur l’icône du logiciel dans le Finder (pas
dans le Dock !) et de sélectionner Afficher le contenu du paquet.
Vous pouvez alors naviguer dans le dossier et consulter les différentes APPROFONDIR Tirez la langue !
ressources de l’application. Dans le dossier Resources, vous découvrez la Dans les dossiers .lproj, vous trouvez des
plupart des briques logicielles qui construisent l’application, comme son fichiers de traduction (.strings), que vous
icône, les différents éléments graphiques de l’interface, les scripts, les pouvez éditer à la main pour corriger les petites
fichiers de langue (dans un dossier portant le nom de la langue et se ter- erreurs des développeurs. Les fichiers .nib (Next
Interface Builder) représentent les fichiers com-
minant par lproj, comme French.lproj). Ce dernier point est d’ailleurs posant l’interface graphique.
l’une des forces de Mac OS X : une application peut très facilement
intégrer plusieurs langues en standard.
Figure 7–11
Les opérations à cœur ouvert sur une application
sont à portée de menu contextuel.
Le Finder a nativement la possibilité d’afficher les fichiers invisibles, mais c’est une fonction
qui n’est pas activable via l’interface graphique. La commande defaults nous aide donc à
l’activer. Saisissez :
defaults read com.apple.Finder
La liste complète des préférences du Finder pour l’utilisateur courant du Terminal est affichée.
Pour lire une valeur particulière, ajoutez simplement son nom :
defaults read com.apple.Finder AppleShowAllFiles
Pour modifier la propriété AppleShowAllFiles, utilisez :
defaults write com.apple.Finder AppleShowAllFiles 1
Pour visualiser le résultat, il faudra probablement relancer l’application dont les préférences
ont été modifiées. Ici, le Finder :
osascript –e 'tell app « Finder » to quit'
À présent, si vous relancez le Finder en cliquant sur son icône dans le Dock, vous constaterez
avec surprise que tous les fichiers invisibles… sont bien visibles dans le Finder.
Pour revenir à un Finder plus discret, saisissez :
defaults write com.apple.Finder AppleShowAllFiles 0
Relancez ensuite le Finder.
vous rencontrez une erreur dans une application, l’astuce consiste sou- DIAGNOSTIC Créer un nouveau compte
vent à retirer les préférences du dossier ~/Bibliothèque/Préférences de Lorsque vous affrontez un problème lié à un compte
l’utilisateur actif et à relancer le logiciel fautif. Évidemment, tous les utilisateur, il est important de savoir si le problème
réglages ou presque seront à redéfinir. est limité à un compte utilisateur ou s’il concerne
l’ensemble des comptes du poste. Cela permet en
effet de localiser très rapidement la source du
ATTENTION Attaquer le bon domaine de préférences problème : dossier de départ de l’utilisateur ou
autre emplacement du disque dur... Avec cette idée
Les préférences sont gérées selon deux domaines différents : le domaine utilisateur et le domaine
derrière la tête, n’hésitez pas à créer un nouveau
administrateur. Cela ne vous rappelle rien ? Oui, il s’agit bien de nos différents types de comptes.
compte utilisateur vierge ce qui vous permettra de
Lorsque vous modifiez une valeur par defaults, vous changez une valeur du domaine local,
découvrir si le problème se reproduit ou non. S’il se
c’est-à-dire du domaine de l’utilisateur. Seul cet utilisateur sera affecté par cette modification.
répète, aucun doute à avoir : retirez le dossier Home
Pour modifier une valeur du domaine administrateur, il faut mettre à jour les préférences dans
de l’utilisateur de l’application et concentrez-vous
/Library/Preferences, en spécifiant le chemin complet, par exemple :
sur le reste du système (/Bibliothèque tout
defaults write /Library/Preferences/ com.apple.ARDAgent. d’abord). Dans le cas contraire, il faut analyser le
contenu du compte utilisateur, et c’est probable-
ment dans le dossier ~/Bibliothèque que se
Les fichiers de cache trouve la cause du problème.
Les fichiers de cache sont utilisés par le système et les différentes appli-
cations pour accéder plus rapidement à certaines informations. Ainsi, le
système de polices utilise des caches pour accélérer l’affichage des listes
de polices dans les menus. Mais dans la pratique, ils posent régulière-
ment problème, car il arrive qu’il y ait des incohérences entre le contenu
des caches et la réalité. Un cas courant est Microsoft Word, qui génère
un cache de polices à son lancement, mais perd régulièrement les pédales
en affichant des polices inexistantes…
En résumé
Mac OS X est un système efficace, cohérent et très puissant à condition de
ne pas faire n’importe quoi avec. Abstenez-vous donc de modifier trop
violemment les autorisations des fichiers et créez autant de comptes utili-
sateurs que de membres de votre famille, pour préserver votre tranquilité.