Lycées privés
Transcription
Lycées privés
Uradel / Sirec 14 rue Saumuroise BP 610 49010 ANGERS CEDEX 01 Région des Pays de la Loire 1 rue de la Loire 44 000 Nantes Référentiel régional du numérique -------------------SOMMAIRE -------------------- 1. Introduction ................................................................................................................................. 3 1.1. Objectifs ............................................................................................................................... 3 2. Architecture réseau .................................................................................................................... 4 2.1. Principes d’architecture ........................................................................................................ 4 2.1.1. Architecture logique ................................................................................................ 4 2.1.2. Description des zones............................................................................................. 5 2.1.3. Règles de confinement inter-zones......................................................................... 6 2.1.4. Architecture physique ............................................................................................. 6 2.1.5. Adressage IP .......................................................................................................... 6 2.1.6. Segmentation du réseau ......................................................................................... 6 3. Architecture système.................................................................................................................. 7 3.1. Service d'authentification, d'annuaire et de stockage........................................................... 7 3.1.1. Serveur administratif ............................................................................................... 7 3.1.2. Serveur pédagogique .............................................................................................. 8 3.2. Service pour assurer la continuité et la qualité de service ................................................... 8 3.2.1 Service de gestion des journaux ................................................................................. 8 Version V2012-2013 page 2/8 Référentiel régional du numérique 1. INTRODUCTION 1.1. Objectifs Un objectif du référentiel technique des lycées des Pays de la Loire est de définir une architecture (et son évolution) commune à tous les établissements de la région. Cependant, les établissements de l'Enseignement Catholique rencontrent des contraintes techniques et organisationnelles parfois différentes de celles de l'Enseignement Public (pas d'accès direct aux ressources des réseaux RACINE et AGRIATES, pas d'utilisation généralisée des différents modules du projet Eole ...). Ces particularités sont détaillées dans ce document en partant du principe que les points non cités sont détaillés dans le Référentiel Technique Région. Ce document technique est à destination des administrateurs réseau en tant que guide des bonnes pratiques. Version V2012-2013 page 3/8 Référentiel régional du numérique 2. ARCHITECTURE RESEAU 2.1. Principes d’architecture 2.1.1. Architecture logique Généralités Le réseau d'un établissement est un réseau global mutualisant les moyens d'accès administratifs et pédagogiques et utilisant le protocole IP pour le dialogue entre les équipements. Il est régi par une politique de sécurité locale respectant la politique académique et nationale, sous la responsabilité de la Personne Juridiquement Responsable (PJR) représentée par le Chef d'Etablissement. La mise en place de réseaux physiquement séparés du réseau global d’établissement est cependant autorisée, pour des enseignements de Sections de Techniciens Supérieurs (STS) particuliers. Le réseau global se décline en plusieurs zones, séparées par une passerelle de sécurité. Ces zones peuvent elles mêmes être segmentées en plusieurs sous-zones en fonction de leur mise en œuvre technique. L’accès Internet de l’établissement est centralisé sur un seul point de connexion protégé par la passerelle de sécurité. Celle-ci doit assurer les fonctions de pare-feu, filtrage d'URL et routage inter zone. La passerelle peut se décomposer en briques indépendantes et cohérentes qui assureront ces fonctions. On peut préconiser des matériels de routage de type Netasq, Cisco Asa, Sonicwall … Le filtrage internet peut être assuré par des solutions de type Comedu (Squid …), NetSource, Ipcop, Pfsense … Le commutateur fédérateur doit assurer les fonctions de routage et de filtrage entre les sous-zones. Version V2012-2013 page 4/8 Référentiel régional du numérique 2.1.2. Description des zones L’organisation des zones est la suivante : o La zone I (Internet) doit être l'unique point d'accès à Internet pour le site concerné, mutualisant administration et pédagogie. o La zone Iv (Invitée) est à destination des invités en établissement qui souhaitent se connecter. Cette zone est coupée des autres et a uniquement accès à Internet. o La zone S (Serveur) est la zone où se trouvent les ressources de l'établissement à visibilité locale (partagée entre les zones P, A ou Z). o La zone P (Pédagogie) est la zone intranet dite d'enseignement de l'établissement accessible par toute personne de l'établissement, dont les élèves. o La zone A (Administratif) est la zone intranet accessible à tous les agents de l’établissement au sein de l'établissement (ou ayant droits désignés par le chef d'établissement). o La zone Z (DMZ publique) est la zone optionnelle de transit des utilisateurs qui arrivent d'Internet et qui désirent accéder à des services offerts par l'établissement scolaire via des relais applicatifs. La visibilité des ressources est nationale ou internationale. Version V2012-2013 page 5/8 Référentiel régional du numérique 2.1.3. Règles de confinement inter-zones Par son statut, le chef d'établissement exerce une responsabilité sur l'ensemble des ressources et de la sécurité au sein de toutes les zones décrites. Les règles de filtrage réseau régies par la passerelle de sécurité devront respecter le tableau suivant : De \ vers Zone S Serveur Zone S Serveur Zone A Zone A Zone P Zone Iv Zone Z Zone I Administrative Pédagogique Invitée DMZ publique Internet Autorisé Autorisé Contrôlé Autorisé Autorisé Autorisé Interdit Autorisé Autorisé Interdit Autorisé Autorisé Autorisé Contrôlé Autorisé Administrative Zone P Autorisé Interdit Pédagogique Zone Iv Interdit Interdit Contrôlé Invitée Zone Z Interdit Interdit Interdit (*) Interdit DMZ publique Zone I Interdit Interdit Interdit Interdit Contrôlé Contrôlé Internet (*) signifie que des dérogations, sous la responsabilité du chef d'établissement, doivent se faire en coordination avec les services rectoraux. 2.1.4. Architecture physique L’ensemble des spécifications détaillées de mise en œuvre et d’implémentation du réseau physique de l’établissement ainsi que la topologie des points d’accès sont décrits dans la partie « câblage » du référentiel de la Région Pays de la Loire. 2.1.5. Adressage IP La mise en œuvre du plan d’adressage, le positionnement des ressources informatiques ainsi que l’adressage des VLAN peuvent s’inspirer des préconisations disponibles sur http://www.profetice.org (Rubrique Gérer le réseau - 2nd degré / Architecture du réseau / Plan d’adressage IP). 2.1.6. Segmentation du réseau Le réseau global d'établissement est segmenté en sous-réseaux par la technologie des Vlans. Le pare-feu devant router et filtrer les zones I Z et Iv, les Vlans qui en découlent doivent être définis au niveau 2. Version V2012-2013 page 6/8 Référentiel régional du numérique Le schéma suivant montre un exemple de répartition des Vlan dans une architecture classique. Il est susceptible d'évoluer. L'adressage IP utilisé ne fait pas référence. 3. Architecture système 3.1. Service d'authentification, d'annuaire et de stockage Du fait de la responsabilité juridique liée à la fourniture d'accès au réseau et à Internet ainsi qu'au caractère personnel de certaines données, tout utilisateur doit être identifié et authentifié de façon unique avant d'accéder aux ressources, et cela à partir de n’importe quel poste de travail du réseau de l’établissement. Toute tentative d'accès doit être tracée ainsi que toute modification de l'annuaire. Chaque établissement devra disposer de serveurs pour partager les ressources et les logiciels liés à l’activité pédagogique ou administrative, cet espace venant compléter si besoin le stockage fourni par l'ENT. 3.1.1. Serveur administratif Par défaut, le serveur administratif est installé dans la salle serveur ou dans le répartiteur général selon l'organisation de celui-ci. Il héberge le logiciel privé de gestion des élèves (APLON, PROGINOV, MAGISTER, SNERI, STATIM, U.R.O.G.E.C …) ainsi que les applications de paie, comptabilité … Version V2012-2013 page 7/8 Référentiel régional du numérique 3.1.2. Serveur pédagogique Par défaut, le serveur pédagogique est installé dans la salle serveur ou dans le répartiteur général selon l'organisation de celui-ci. Il héberge le serveur de fichiers (Windows ou Linux) destinés aux élèves et aux enseignants. Sous Windows, un outil de gestion d'utilisateurs et stockages peut être utilisé (Iaca, Solstice, Koxo …). Sous Linux, il est préconisé d’utiliser les distributions orientées Education (Eole Scribe, Comedu, NetSource …). 3.2. Service pour assurer la continuité et la qualité de service 3.2.1 Service de gestion des journaux Le cadre législatif et réglementaire impose des règles en terme de traçabilité. Les événements tracés sont enregistrés dans des journaux (logs). Ils sont utilisés à des fins de supervision et d'exploitation et pour répondre à des exigences légales. Les lycées de l’Enseignement Catholique assurent localement la gestion et l'archivage de leurs journaux. Version V2012-2013 page 8/8