(nom de la personne ayant pris connaissance

Transcription

NOVATICE EDUCATION
poste de travail
Version : 2008
Le livre blanc « tice »
dans le domaine de l'éducation
Visa : Christophe Terrassoux
Date :
Visa : Romain Marie
Date :
Novatice Education 2008 – Livre blanc des “tice” dans l'education v1.0.doc
Date : 07/06/2008
Page : 1
Ce document est réalisé à titre d'information par Jean-François BELLANGER. Ce document n'engage pas l'éducation nationale ni sa hiérarchie !
Historique des versions
Indice
Date
Rédacteur
Création / Modification
Page(s)
1.0
07/06/2008
J-F. Bellanger
Création
Toutes
Mandriva Education 2008 – Spécifications Logiciels Détaillées v1.0.doc
Date : 07/06/2008
Page : 2
SOMMAIRE
NOVATICE EDUCATION...........................................................................................................................1
POSTE DE TRAVAIL.................................................................................................................................1
VERSION : 2008........................................................................................................................................1
1. INTRODUCTION.....................................................................................................................................4
2. FONCTIONNEMENT ACTUEL DES « EPLE ».......................................................................................5
2.1 LES DIFFÉRENTS ACTEURS DANS L'ÉDUCATION.................................................................................................5
2.2 LA SUPERVISION......................................................................................................................................5
2.2.1 Principe de supervision rectorale................................................................................................5
2.2.2 Principe de supervision régionale................................................................................................6
2.2.3 Tableau descriptif des fonctionnalités de chaque modules :.......................................................6
2.2.4 Supervision du serveur edutice :.................................................................................................7
2.3 L'IDENTIFICATION DES UTILISATEURS..............................................................................................................8
2.3.1 Logiciel courant dans l'éducation nationale et l'enseignement supérieur....................................8
2.3.2 Spécifications réseau et configuration automatique....................................................................9
2.3.3 Comptes et mots de passe..........................................................................................................9
2.4 UTILISATIONS DES LECTEURS.....................................................................................................................10
2.4.1 Préambule.................................................................................................................................10
2.4.2 Les lecteurs amovibles locaux...................................................................................................10
2.4.3 Les lecteurs réseaux.................................................................................................................10
2.5 PARE-FEU LINUX...................................................................................................................................10
2.5.1 Filtrage du peer to peer avec « ipp2p »....................................................................................10
2.5.2 Filtrage applicatif avec « Nufw »...............................................................................................10
2.5.3 Filtrage plus fin et performant avec « ebtables »......................................................................10
2.6 MISE À JOUR AUTOMATIQUE DE SÉCURITÉ, CORRECTIVES ET ÉVOLUTIVES..............................................................10
2.7 CONNECTIONS ANONYMES SUR INTERNET.....................................................................................................10
2.8 ANTIVIRUS CLAMAV, KLAMAV ET HAVP.......................................................................................................11
2.9 SPÉCIFICATIONS DE NAVIGATION SUR INTERNET AVEC « QUAGGA » ....................................................................11
2.9.1 Filtrage par port, plage, réseau.................................................................................................11
2.10 GESTION DES RÉSEAUX NOVELL AVEC « MARS-NWE »...................................................................................11
2.11 GESTION DES ESPACES UTILISATEURS « QUOTA »........................................................................................11
2.12 GESTION DES ZONES « DNS »..............................................................................................................12
2.13 FÉDÉRATION D'IDENTITÉ (SAML 2.0) « SHIBBDETH ».....................................................................................12
3. GESTION PAR GROUPE D'UTILISATEUR.........................................................................................13
3.1 LDAP – IDENTIFIER LES UTILISATEURS PAR FONCTION......................................................................................13
3.2 PROFIL – PROPOSER UN PROFIL ADAPTÉ AUX DIFFÉRENTS GROUPES UTILISATEURS.................................................13
3.3 DOCUMENTATION ET DIFFUSION..................................................................................................................13
4. RECETTE DES FONCTIONNALITES...................................................................................................14
Date : 07/06/2008
Page : 3
1.INTRODUCTION
Ce document constitue un recueil de données sur l'évolution potentielle des nouvelles technologies
et du système d'information dans l'enseignement primaire, secondaire et supérieur.
La difficulté majeur dans la description de tout type d'évolution vient du fait que l'on doit se projeter
dans un avenir à moyen voir long terme. Dans le domaine des « tice » la projection se fait sur 10
ans. Quel sera le besoin dans 10 ans ?
La mise à niveau d'un nombre important d'établissement se fait sur plusieurs années. Chaque
établissement est équipé par lot successif. Le temps nécessaire est donc important et le coût
faramineux. Il est donc évident que tout doit concorder. Ce tromper sur la définition du besoin
aurait des conséquences désastreuses. D'où la grande prudence des responsables rectoraux et
des collectivités.
L'inconnu la plus importante est l'évolution des différents personnels au sein de la fonction public.
Les lois de décentralisation changent beaucoup les rapports de force des différents acteurs.
Quand la région devient le principal financeur des lycées, qu'elle récupère à sa charge la dotation
en équipement de ces mêmes établissements puis se retrouve gestionnaire des emplois « atoss »,
elle prend une importance capitale. Sa conduite est obligatoirement modifiée !
Ce dossier « livre blanc » est destiné à tous les intervenants techniques internes et externes (chefs
de projet, entreprise, développeur...).
Date : 07/06/2008
Page : 4
2.Fonctionnement actuel des « eple »
2.1Les différents acteurs dans l'éducation
Ces informations sont données à titre indicatif. Elle peuvent sur certain point comporter des
informations officieuses qui peuvent évoluer dans le futur sans pouvoir le prévoir aujourd'hui. Je
ne peux donc pas être tenu responsable d'une éventuelle modification futur ne relevant pas de
mes compétences.
Nom du service
Nombres
Ministère de l'éducation national
1
Les rectorats
27
Inspection académique
96
Les crid
100
Les régions
26
Les départements
100
Les communes
Les universités
Les lycées
Les collèges
Les écoles
Les écoles adaptées, ime...
2625
7010
56158
80
Etablissement privé sous contrat
9012
CDDP
100
CRDP
CNDP
Greta, Cnam...
26
1
Écoles d'infirmière, militaires, agricoles...
Les centres d'apprentissages...
Fonction
Administration responsable des examens, des
programmes et d'un certain type de personnel
Administration responsable de faire appliquer les textes
dans les établissement de son académie
Administration ayant principalement en charge la
gestion de l'enseignement primaire et petite section
Centre de Ressources Informatiques Départemental
C'est le principal financeur des lycées (subvention,
achats de matériels, personnels « atoss » etc...)
C'est le principal financeur des collèges (subvention,
achats de matériels, personnels « atoss » etc...)
C'est le principal financeur des écoles élémentaires
(subvention, achats de matériels et fournitures etc...)
Elles prennent en charges 2 275 000 étudiants
Ils prennent en charge 1 512 900 lycéens
Ils prennent en charge 3 248 500 collégiens
Ils prennent en charge 6 626 500 écoliers
Institut prenant en charge les élèves en difficultés
Des établissements à financement privé mais
subventionné par des fonds publics après accords
Centre Départemental de Documentation Pédagogique
(essentiellement lié aux écoles et collèges pour les
besoins matériels)
Centre Régional de Documentation Pédagogique
Centre National de Documentation Pédagogique
Établissement de formation pour adulte
Écoles d'enseignements spécialisées (prytanée
militaire, APHP...)
Cfa, afp, les compagnons etc...
2.2La supervision
2.2.1Principe de supervision rectorale
Les rectorats utilisent aujourd'hui les produits « EOLE » développés par « le cietad » à Dijon. Tous
cela tourne autour de 4 modules : amon, sphynx, zephir, sentinelle. Mais il existe d'autres produits
Date : 07/06/2008
Page : 5
hors gamme eole qui sont également supervisés. Prenons l'exemple du slis avec son module slim
développé par l'académie de Grenoble.
Il faut signaler qu'un nouveau module slim 4.1 est en cour de développement. Il sera
particulièrement révolutionnaire car son concept lui permettra de superviser tous les produits
basés sur debian (développé ou non par Grenoble) !
C'est un énorme progrès qui ne passe pas inaperçu puisque à terme on peut imaginer superviser
son serveur fabriquer artisanalement (sous debian) ou c'est poste de travail (pourvu qu'ils soient
sous debian). Un seul serveur pour tous, c'est fortement incitatif, mais loin encore de la réalité !
C'est en tout cas à n'en pas douté une piste sérieuse sur laquelle Mandriva devrait se pencher
rapidement !!! Pouvoir superviser edutice, ucopia, CS4 et tout ce qui est à base de module
mandriva...
2.2.2Principe de supervision régionale
La région ne s'est impliqué que très récemment dans la restructuration complète des lycées. Elle
est donc en pleine phase de construction et la supervision est un objectif à moyen terme (20092010). Elle ne s'intéresse pas aux modules de l'éducation nationale car ils ont un défaut majeur, il
ne possède aucun support et aucune garantie. En effet ces modules sont conçu par un pôle de
compétence de l'éducation nationale mais le déploiement et la maintenance est à la charge des
rectorats via les « Crid ». Ce sont des personnels que la région ne possède pas. De la même
manière le développement incombe à ces différents pôles qui travail en collaboration au sein de
l'éducation nationale mais pas avec des éléments extérieurs. Le dernier problème est la pérennité
des ces pôles qui dépendent du ministère. Qu'adviendra t-il de ces modules si l'état décentralise
un peu plus la partie pédagogique de ces établissements ?
En revanche ces modules possèdent un certain nombre d'avantage, ils sont mis gratuitement à
disposition de tous le monde. Ils répondent exactement au besoin de ce type d'architecture WAN
qui caractérise les eple, ce qu'aucune société est capable de proposer actuellement.
2.2.3Tableau descriptif des fonctionnalités de chaque module :
Logiciel
Nagios
Cacti
Oreon
Centreon
RDD tools
Ntop
Netmet
Jasmine
Cartographie
Glpi
Ocs NG
Zephir
Sentinelle
Slim
Description de l'outil
Commentaires
Module de supervision libre et gratuit ne dépendant pas de l'éducation nationale
Outil de supervision des serveurs
Très utilisé en lycées et universités avec centreon
Outil de gestion
Utilisé dans les universités
Outil de supervision des éléments actifs
Couplé à l'application centreon
Frontend de gestion des modules oreon-weathermap Très utilisé en lycées et universités
Outil de gestion des performance machine (linux)
Outil de gestion de mesure réseau
Outil de métrologie des réseaux métropolitains
Très utilisé dans l'enseignement supérieur
Outil de supervision des serveurs cups «(impression) Commence à être utilisé dans les universités
Outil de gestion géographique des postes (lan)
Utilisé dans l'académie de Nantes (développeur)
Outil de gestion de parc informatique (avec ocsng)
Très utilisé en collèges, lycées et uuniversités
Outil de remontée d'information des postes clients
Très utilisé en collèges, lycées et universités
Module de supervision de l'éducation nationale :
Serveur de déploiement de configuration « eole »
Présent dans toutes les académies
Serveur de cartographie « wan » de « eole »
Présent dans + de 60% des académies
Serveur de configuration distante « slis » et « se3 »
Présent dans ¾ des académies équipés de slis
Date : 07/06/2008
Page : 6
2.2.4Supervision du serveur edutice :
Le serveur edutice comme tous les serveurs prend une position de plus en plus critique au fur et
à mesure qu'il est déployé dans un environnement dit de « production ». Dans le cas contraire, soit limite
la portée que ce serveur à sur le système d'information, soit on finit par le remplacer par un système
équivalent apportant toutes les fonctionnalités que 'on attend de ce type d'équipement. Quels sont ces
outils qui permettent à un administrateur de considérer qu'il peut faire confiance à son serveur et réagir
en cas d'incident :
- Supervision système
− Matériel
− Processeur
− Mémoire
− Espace disque
− Arrays raid (si disponible)
− flux
− réseaux
− débit support de stockage <---> carte mère ou fille
− sauvegarde
- Supervision alimentation
− Onduleur
− Etat des batteries
− Taux de charge
− Secteur ou batterie
− Type d'onduleur
− Etat de fonctionnement
− Historique de fonctionnement
- Supervision de sécurité
− Antivirus
− Virus détectés (heure, date, nombre de fois...)
− Emplacement du virus (thunderbird, proxy, samba...)
− Action éffectués (quarantaine, nettoyage, identifiés...)
− Nom du virus (beagle....)
− Type de virus (trojan....)
− Sur quel compte il a été detecté
− Historique (journée, semaine, mois, année)
− Réseau
− Tentative sur port fermé, scann de port...
− Fréquence, date, heure
− Protocole d'attaque, N° de port
− Adresse de l'intrus
− Passer, stopé, inconnu
− Disque
− Erreur d'écriture
− Fréquence de latence importante
− Dépassement de 90% du spool
− Quantité de données écrites (minutes, heures, jours)
− Quantité de données échouées ou indéterminés (minutes, heures, jours)
− Clients
− Arpwatch (Adresse des clients IP et mac)
− Domaine (toto.proxadt-net.free.fr)
− Tentatives d'installation, de visite de sites interdits, de login échoué...)
− Temps de connexion sur le poste
− Internet
Date : 07/06/2008
Page : 7
− Enregistrement des sites visités
− Date, heures, identifiants
- Des sauvegardes
− Système
− Date, heure, durée
− Rapport d'execution
− Volume
− Données samba
− Rapports d'exécution
− Volume
− Base de données
− Rapport d'execution
− volume
- Supervision des alertes
− Emails
− Date, heures, durée
− Destinataires
− Contenu (tableau envoyé par email)
− Résultat de l'envoi (correct ou échoué)
− Température du système (Lm_sensors et Xsensors)
− Interface administrateur
− Types d'alertes (virus, alimentation etc....)
− Acquitement (Nom de la personne ayant pris connaissance du problème)
2.3L'identification des utilisateurs
La problématique dans l'éducation nationale est de gérer le grands nombre de compte à
renouveler chaque années. Il existe pour cela une base rectorale appelé « sts web sconet ». Les
serveurs pédagogique s'appuient sur cette base pour créer les comptes. La loi de cadrage « S2I2E » dit
que l'on doit utiliser le principe de l'annuaire ! Edutice va donc se connecter sur l'annuaire ldap ou active
directory pour identifier ces utilisateurs. Mais ce n'est pas le seul souci. Il y a un grand nombre de
matières différentes découpées en vlan. C'est fastidieux à maintenir. On va donc s'orienter vers les vlans
dynamiques. Pour que cela, il faudra envisager l'intégration de « vmps » et de « radius » permettant de
répondre à la problématique de la norme 802.1x .
2.3.1Logiciel courant dans l'éducation nationale et l'enseignement supérieur
Certains logiciels deviennent indispensable dans le milieu éducatif, par exemple :
• Les logiciels de TNI (tableau numérique interactif)
• Les logiciels de présentation (manslide, freemind...)
• Les logiciels de vie scolaire (garennes, triade...)
• Les logiciels de vpn ssl (ssl explorer)
• Les logiciels de gestion de bibliothèque (PMB, bcdi...)
• Les logiciels de comptabilité (grisbi, open si (serveur)...)
• Les logiciels de conférence sonore (icecast...)
• Les logiciels de message instantanée (amsn, tomboys avec conduit...)
• Les logiciels de traitement du son (ardour)
• Les logiciels de traitement video (lives)
• Les serveurs de mail (sendmail, postfix...)
• Les frontend webmail (bongo, squirremel...)
• Les visio-conférences (vlvc...)
• Les anti-virus (clamav, Drweb, havp...)
Date : 07/06/2008
Page : 8
•
Les logiciels de sauvegardes (backuppc, partimage, udpcast...)
2.3.2Spécifications réseau et configuration automatique
Dans l'éducation nationale les réseaux ont toujours 3 cartes minimum... Pourquoi ? Une des
particularité des établissements scolaires (privés ou publics, collèges, lycées ou universités...) c'est
d'avoir besoin de 2 réseaux locaux « lan » pour fonctionner, le troisième étant le réseau « wan »
(internet). Une autre particularité est que : si le serveur est en tête de réseau il possédera minimum
3 cartes réseaux et 4 zones !
Expliquons cette situation atypique... Pour qu'un établissement fonctionne il faut 2 services. Un
service administratif (comptabilité, direction, infirmerie...) et un service pédagogique (enseignant,
cpe...). Les 2 services sont très différents et sensibles !!! Donc 2 réseaux séparés avec une autre
particularité c'est que l'administratif à le droit d'accéder au réseau pédagogique mais jamais
l'inverse !!! 3 réseaux mais 4 zones si le serveur est frontal. En effet si il est en tête il supporte
donc le réseau privé « vpn » vers le rectorat. Il a donc une zone internet, une zone administrative,
une zone pédagogique et une zone tunnel vpn.
Au delà du cas minimum, il y a un cas optionnel mais très fréquemment retrouvé qui est celui de la
DMZ. La encore il y a 2 cas ! Une DMZ Privé qui sert à créer une zone de sécurité pour les
serveurs (sauvegarde, ldap, samba, CDI...) et une DMZ Public qui sert à placer les serveurs ayant
un accès web par le biais d'une redirection de port ou d'un reverse proxie (web, notes, cahier de
texte...).
2.3.3Comptes et mots de passe
Voici la liste des comptes utilisateurs qui seront accessibles sur le poste :
Compte
Login
Droits sur la machine
Remarques
Administrateur
Administrateur
Utilisateur avec pouvoir
(Gestion des utilisateurs)
Utilisateur
(Voir annuaire)
Utilisateur
(modifications non sauvegardés)
Mots de passe associés :
Compte
Mot de passe
Administrateur
Accessible par l'intermédiaire de la clé usb créée sur la première machine
Utilisateur
Mot défini dans l'annuaire ldap ou dans un active directory
2.4Utilisations des lecteurs
2.4.1Préambule
Les lecteurs sont souvent un problème. En effet les utilisateurs passent difficilement d'un support à
un autre. Cela s'accentue quand le travail à une durée de vie et de réutilisation de plusieurs
années. Dans le cas de la MSH par exemple, les chercheurs peuvent travailler pendant 5 à 6 ans
sur le même sujets, donc ils utilisent encore des disquettes et des cdrom par exemple...
Date : 07/06/2008
Page : 9
2.4.2Les lecteurs amovibles locaux
La prise en charge des disquettes est donc un plus, en revanche la prise en charge des cdrom ou
dvdrom est indispensable. Ce besoin persistera encore longtemps !
2.4.3Les lecteurs réseaux
Les lecteurs réseaux sont bien sure composé du mappage des dossiers personnels mais aussi de
dossiers spécifiques dans certains cas. Par exemple commun ou une matière... cela peut aussi
être un lecteurs applicatifs comme le monde... (voir serveur SLCD de Nancy)
2.5Pare-feu Linux
2.5.1Filtrage du peer to peer avec « ipp2p »
La législation évoluant rapidement vers une interdiction massive. La bande passante étant encore
limité dans les établissements à l'aune des besoins, il évident que tous les établissements sont
confrontés au besoin de maîtriser les flux peer to peer. L'intégration d'un daemon spécifique
comme ipp2p est donc incontournable. (killp2p a été testé par le cietad et jugé peu fiable)
2.5.2Filtrage applicatif avec « Nufw »
Le pare-feu Nufw de chez « INL » permet de réaliser un filtrage sur des comptes au lieu des
classiques adresses IP. Cela se révèle être nettement plus judicieux puisque qu'une des
particularités des établissements éducatifs est d'avoir un poste pour plusieurs utilisateurs. Son
intégration dans les serveurs liés à l'éducation est en cour... Mandriva est le diffuseur officiel en
France de la solution et de son support.
2.5.3Filtrage plus fin et performant avec « ebtables »
Ebtables est un module permettant d'améliorer les performances et les possibilités de iptables. Il
se caractérise par la prise en charge de l'IPV6 et d'un filtrage plus fin sur l'IPV4 qui est
notamment pris en charge par IPP2P pour le filtrage des réseaux de partage. C'est un module qui
vient en complément de iptables et lui apporte un plus non négligeable.
2.6Mise à jour automatique de sécurités, correctives et évolutives
Les mises à jour automatiques doivent pouvoir être activés par défaut selon 3 catégories (liste
noirs des sites internet et de l'anti-virus, mises à jour de sécurité et de bugs et mises à jour
complètes). La solution la plus intéressante semble être un serveur de référence hébergé par
novatice. Tous les serveurs en production viennent se comparer à une heure donnée selon une
périodicité définie et se mettent à jour si une version plus récente est détectée. La mise à jour par
le truchement d'un DVD Rom doit rester une option possible pour l'administrateur.
2.7Connections anonymes sur internet
L'anonymiseur « Tor » peut se révéler utile lors de certaines périodes critiques. Exemple rentrer les
notes d'examen sur le site académique...
Date : 07/06/2008
Page : 10
2.8Antivirus Clamav, Klamav et Havp
L'antivirus est activé par défaut pour tous les groupes. Il y a 3 parties différentes pour ce qui
concerne l'anti-virus. La première est l'anti-virus de passerelle « Havp » installé sur le proxy, il
permet d'arrêter un nombre non négligeable de virus connu. Le deuxième point est l'anti-virus de
fichier pour samba « v-scan » permettant de détecté une infection avant qu'elle se propage sur le
reste des fichiers, des supports usb etc... Enfin, le troisième est l'intégration de Klamav sur la
partie client pour que l'utilisateur puisse scanner ces fichiers nouvellement apportés par le biais
d'un support amovible quelconque
2.9Spécifications de navigation sur Internet avec « quagga »
Le contenu internet s'enrichit de jour en jour d'image, de vidéo, de son... Le problème c'est que
bien souvent le débit internet ne suis pas dans les mêmes proportions chez les fournisseurs
surtout en dehors des grandes villes. Deuxième point noir, le réseau pédagogique est gérer par la
région mais l'accès passe par le réseau administratif qui dépend du rectorat. Un tunnel entre le
rectorat existe pour l'administratif mais n'est pas envisageable pour le pédagogique puisque qu'il
n'y a pas d'accès web arrivant directement sur le réseau pédagogique. La solution à ces 2
problèmes passe par « quagga » qui permet d'avoir 2 sorties vers l'extérieur et donc de faire du
load balancing avec équilibrage de charge tout en permettant l'initiation d'un tunnel sur la patte
réseau sortant sur le modem...
Indispensable à la supervision par exemple !
2.9.1Filtrage par port, plage, réseau...
•
•
•
•
•
•
Filtrage par port : Une interface graphique permettant d'ouvrir ou fermer un port sur une
interface spécifique (pare-feu ou routage).
Plage d'adresse : Une interface graphique permettant de créer plusieurs plage réseau gérée
indépendamment (filtrage, horaire de fermeture...)
Les heures d'ouvertures : C'est la possibilité de décider à quelle heure on ouvre le réseau et à
quelle heure on le ferme.
Le wake on lan : C'est la gestion de l'heure d'allumage et l'heure d'extinction des postes.
Le reverse proxy : C'est la capacité à rediriger un port à partir d'une interface réseau vers une
autre.
Pré-configuration du pare-feu : Il est intéressant pour les débutant ou les non-initiés d'avoir une
base sur et fonctionnelle. Si l'on reprend le cas du slis il propose une configuration appelé
« optimale ». C'est en faite la fermeture de tous les ports non utilisé par le serveur sur l'interface
réseau internet et la fermeture de tous les ports non utilisé ou couramment utilisé sur l'interface
locale.
2.10Gestion des réseaux novell avec « mars-nwe »
Les réseaux administratifs mais aussi des réseaux pédagogiques de certaines académies gardent
les traces des réseaux novell. Ces le cas de l'académie de Poitiers ou de Lyon... Pour pouvoir
intégrer l'existant (base de tous systèmes voulant s'implanter sur de nouvelle zone) il faut prendre
en compte le protocole IPX. Le cietad l'a mis en place sur son serveur Horus a travers l'adjonction
du module « mars-nwe ». Le résultat est sans ambiguïté ! Ce daemon fonctionne très bien et
permet une transparence totale entre le réseau IP et IPX pour ce serveur. A envisager
sérieusement !
2.11Gestion des espaces utilisateurs « quota »
Date : 07/06/2008
Page : 11
Les utilisateurs sont nombreux dans un réseau pédagogique. Leurs besoins varies énormément
selon qu'ils sont en arts plastiques ou en filliaire scientifique, Qu'ils sont en audio ou vidéo ou en
littéraire etc...
L'espace disque accordé va donc varier ! Il est difficilement envisageable d'aligner tous le monde
sur le besoin le plus important même si le prix du disque est peu élevé actuellement. Il faudra
donc avoir la possibilité de fixer un quota à partir du quel un message informera l'utilisateur qu'il
est à 90% ou plus de son quota et une interdiction d'excéder le quota qui lui a été fixer en
refusant un enregistrement générant un dépassement de capacité attribuée.
2.12Gestion des zones « DNS »
•
•
•
•
Les réseaux administratifs mais aussi des réseaux pédagogiques de certaines académies
gardent les traces des réseaux novell. Ces le cas de l'académie de Poitiers ou de Lyon... Pour
pouvoir intégrer l'existant (base de tous systèmes voulant s'implanter sur de nouvelle zone) il faut
prendre en compte le protocole IPX. Le cietad l'a mis en place sur son serveur Horus a travers
l'adjonction du module « mars-nwe ». Le résultat est sans ambiguïté ! Ce daemon fonctionne très
bien et permet une transparence totale entre le réseau IP et IPX pour ce serveur. A envisager
sérieusement !
Déclaration de zones : Cela permet de déclaré différentes zone du réseau avec le serveurs
maître en terme de résolution de nom.
Déclaration de machines : C'est l'ajout de toutes les machines sous la zone d'influence du
serveur et donc la ou il est le serveur de nom.
Enregistrement dynamique : L'enregistrement de toutes les nouvelles machines se présentant
sur le réseau local du serveur.
DHCP avec réservation d'adresse : Il est important de pouvoir mettre en place un dhcp avec
réservation d'adresse, c'est à dire attribuer une adresse ip à une adresse mac. Le serveur DHCP
redonnera toujours cette adresse. On peut donc référencer la machine dans la zone dns puisque
elle reprend toujours la même adresse quand elle se présente dans le réseau (le problème est le
même pour le filtrage par plage d'adresse ip).
2.13Fédération d'identité (saml 2.0) « shibbdeth »
Les informations sont de plus en plus souvent réparties géographiquement, le problème est
d'assurer le suivi des authentification afin de ne pas compliquer l'accès des utilisateurs. La
gestion des authentifications partagées s'appelle de la fédération d'identité. Un logiciel développé
par des universités permet de prendre en charge les contraintes liées au protocole « saml 2,0 »
c'est « Shibbdeth ».
Prenons un exemple d'utilisation : le lycée d'Arnage à son site internet hébergé sur les serveur du
rectorat à Nantes (44) avec une adresse ....ac-nantes.fr. Quand un visiteur se loggue sur le site il
obtient un certain nombres d'informations sur le lycée. Si le visiteur est un parent d'élève il va
cliquer sur le lien adéquat qui va le renvoyer vers l'espace numérique de travail hébergé par le
lycée à Arnage (72) mais là il devra s'identifier à nouveau... Ce n'est pas transparent comme
fonctionnement ! C'est là que la fédération d'identité joue son rôle !!! Si le système est mis en
place, les informations d'identification son récupéré sur le serveur Nantais et transmise au
serveur Sarthois qui ouvre automatiquement l'accès.
Ce genre d'utilisation se généralise à grande vitesse et devient une brique à part entière du
système d'information.
Date : 07/06/2008
Page : 12
3.Gestion par groupe d'utilisateur
Les paramètres suivants sont des possibilités offertes par le système edutice sous réserve d'une
configuration des éléments extérieur adéquate. Novatice Technologie ne peut être tenu pour
responsable si un dysfonctionnement du système venait d'une incapacité du serveur ldap
(indépendant) à fournir les informations nécessaire. Le serveur edutice n'étant pas le serveur ldap mais
juste un relais. Il en va de même pour samba !
3.1Ldap – Identifier les utilisateurs par fonction
Il existe dans le schéma ldap différentes options comme les langues, l'expiration des comptes
etc... et une option “shadows” qui permet de fixer des groupes d'utilisateurs. Par exemple, on
peut déclarer que sur un poste tous le monde peut se connecter si il appartient au groupe
“informatique”. Cela revient à dire que tous les comptes sont valides mais que pour se
connecter à un groupe de poste particulier ils devront en plus appartenir au groupe
“informatique”. C'est peut la même idée que la norme 802.1x mais prédéfini au lieu d'être
dynamique...
3.2Profil – Proposer un profil adapté aux différents groupes utilisateurs
Chaque utilisateur peut avoir des besoins néccéssitant une configuration très différentes.
L'exemple des êrsonnes étrangères qui ne peuvent travailler sur un système Français.
Il y a donc un impératif à fournir un environement différent. Dans le cas des langues ont peu
tricher en utilisant la fonction “country” contenu dans le schéma ldap mais celà n'est pas
toujours possible... Si l'on prend le cas de l'aspect visuel on a pas d'autres choix que de créer
des profils et de les affecter en fonction des utilisateurs.
3.3Documentation et diffusion
Pour pouvoir utiliser un système dans son ensemble on a besoins de savoir l'étendue de ces
possibilités. Il est donc important qu'un système soit bien documenté et que celle ci évolue en
même temps que le système lui même.
Un système très apprécié en terme de documentation est le classeur. Certaines sociétés
fournissent avec leurs logiciels un classeur avec des intercalaire séparant les différents
éléments de la documentation. A chaque mise à jour ils renvoient les fiches complémentaires,
ce qui permet à l'administrateur d'actualiser ces connaissances sans tout reprendre. Une
pochette plastique sur l'intérieur avant du classeur permet de ranger la feuille des identifiants,
numéro de hotline etc... Sur la dernière page un lot de feuille permet d'écrire la date et les
modifications effectués pour assurer le suivi.
Date : 07/06/2008
Page : 13
4.RECETTE DES FONCTIONNALITES
Visa : Christophe Terrassoux
Visa : Romain Marie
Observation :
Observation :
Date :
Date :
Fonctionnalités recettés !
Fonctionnement testé et validé
0 1 2 3 4 5 6 7 8 9
Validé
Connections sur un annuaire (ldap ou active directory)
Mise à jour du serveur (antivirus, sécurité etc...)
Load balancing avec répartition de charge
Dhcp avec réservation d'adresse
Déclaration des zones DNS
Réglages du pare-feu (peer to peer, personnalisé...)
Prise en charge des réseaux novell ( IPX )
Intégration backuppc, udpcast ou partimage...
Intégration de ipp2p et ebtables
Intégration de SSL Explorer (vpn ssl)
Gestion du wake on lan
Gestion de la sauvegarde du serveur
Prise en charge de Tor (anonymiseur)
Intégration d'un webmail avec un frontend
Intégration d'un ENT scolaire
Gestion de la fédération d'identité
Gestion du radius et vmps (802.1x)
Gestion des quota utilisateurs
Intégration d'un antivirus de proxy, de fichiers et utilisateurs
Gestion des onduleurs
Valider le fonctionnement de « cédéroms distribués » (type slcd)
Gestion de la supervision locale (munin, mrtg, rrdtools)
Intégration de logiciel (vlvc, amsn, manslide...)
Gestion des lecteurs (cdrom...)
Intégration du filtrage utilisateur (nfuw)
Gestion du reverse proxy et/ou renvoie de port
* La supervision d'un parc éclaté doit être faite par un serveur dédié appelé « serveur de supervision ».
Date : 07/06/2008
Page : 14

(nom de la personne ayant pris connaissance

Transcription

Documents pareils

description de poste contremaître de production

download mandriva

Formation Expériences Professionnelles Expériences

CV Perrin Nicolas - informaticien OpenSource

Aspirateur de site Web de WebHTTrack

Finalement, un logiciel de supervision pour tous les

download mandriva

Animation pédagogique S`initier au monde des langues vivantes au

Association Parole Expression 31200 TOULOUSE - Haute

La chute de la maison mandriva en pdf avec de jolies polices