2. Référentiel technique systèmes-réseaux
Transcription
2. Référentiel technique systèmes-réseaux
LE NUMERIQUE DANS LES LYCEES REFERENTIEL TECHNIQUE A L’USAGE DES COORDINATEURS INFORMATIQUES PARTIE « SYSTEME ET RESEAU » Version 2012-2013 Rectorat Académie de Nantes 4 chemin Houssinière 44 000 Nantes DRAAF - SRFD 12 rue Menou 44 000 Nantes Région des Pays de la Loire 1 rue de la Loire 44 000 Nantes Référentiel régional du numérique -------------------SOMMAIRE -------------------Introduction .............................................................................................................................................. 4 1.1. Objectifs .................................................................................................................................................... 4 1.2. Révision du document............................................................................................................................... 4 2. Architecture réseau ................................................................................................................................. 5 2.1. Principes d’architecture ............................................................................................................................. 5 1. 2.1.1. 2.1.2. 2.1.3. 2.1.4. 2.1.5. 2.1.6. 2.1.7. 2.1.8. 2.1.9. 2.1.10. Architecture logique .................................................................................................................................... 5 Description des zones ................................................................................................................................ 6 Règles de confinement inter-zones ............................................................................................................ 7 Architecture physique ................................................................................................................................. 7 Adressage IP .............................................................................................................................................. 7 Segmentation du réseau ............................................................................................................................. 8 Spécificité du tertiaire ................................................................................................................................. 8 Utilisation du WIFI ....................................................................................................................................... 9 Télémaintenance ........................................................................................................................................ 9 Gestion technique de bâtiment (GTB) ...................................................................................................... 10 2.2. Composants réseau ................................................................................................................................ 11 2.3. Mutualisation des ressources : architecture « Agriates II » ..................................................................... 12 3. Architecture système ............................................................................................................................. 13 3.1. Service de sécurisation et d’accès au réseau ......................................................................................... 13 3.1.1. 3.1.2. Caractéristiques techniques ..................................................................................................................... 13 Paramétrages du pare-feu ........................................................................................................................ 14 3.2. Service d'authentification, d'annuaire et de stockage.............................................................................. 16 3.2.1. 3.2.2. Serveur administratif ................................................................................................................................. 16 Espace de stockage ................................................................................................................................. 16 3.3. Service pour assurer la continuité et la qualité de service ...................................................................... 17 3.3.1. 3.3.2. 3.3.3. Service de sauvegarde ............................................................................................................................. 17 Service de gestion des journaux .................................................................................................................... 18 Service de supervision et d'exploitation de l'infrastructure............................................................................. 18 3.4. Système d’exploitation des serveurs et logiciels associés ...................................................................... 18 3.5. Service en ligne, espace numérique de travail E-LYCO ......................................................................... 20 3.5.1. 3.5.2. 3.5.2.1. 3.5.2.2. 3.5.3. 3.5.3.1. 3.5.3.2. 3.5.3.3. 3.5.4. 3.5.4.1. 3.5.4.2. 3.5.4.3. 3.5.4.4. 3.5.5. 3.5.6. 3.5.6.1. 3.5.6.2. 4. Définition d’un ENT : ................................................................................................................................. 20 Le projet e-lyco : ....................................................................................................................................... 20 Contexte ................................................................................................................................................... 20 Objectifs .................................................................................................................................................... 20 Trois niveaux de portails ........................................................................................................................... 20 Le portail général : .................................................................................................................................... 21 Le portail Régional : .................................................................................................................................. 21 Le portail d’établissement : ....................................................................................................................... 21 Documentation .......................................................................................................................................... 21 Le kit de déploiement e-lyco : ................................................................................................................... 21 La documentation fonctionnelle pour les usages : .................................................................................... 22 Les connecteurs ....................................................................................................................................... 23 Le SDET (Schéma Directeur des ENT) .................................................................................................... 23 Création des comptes ............................................................................................................................... 24 Assistance et formations ........................................................................................................................... 25 Organisation de l’assistance : ................................................................................................................... 25 Formations, accompagnement : ............................................................................................................... 25 Postes de travail et périphériques ........................................................................................... 27 4.1. 4.2. 4.3. 4.4. 4.5. 4.6. Définition des types de postes de travail ................................................................................................. 27 Quotas de postes par établissement ....................................................................................................... 28 Acquisition d’ordinateurs portables ou mini-portables ............................................................................. 28 Politique en matière d’impression ........................................................................................................... 28 Scanners A3............................................................................................................................................ 29 Vidéo projecteurs .................................................................................................................................... 29 Version V2012-2013 page 2/38 Référentiel régional du numérique 5. 6. 7. Salle medialangue - Salles multimédias .................................................................................. 30 Dossier de site ........................................................................................................................... 30 Politique de renouvellement et recyclage ............................................................................... 31 7.1. Politique de renouvellement .................................................................................................................... 31 7.2. Recyclage des équipements ................................................................................................................... 31 Version V2012-2013 page 3/38 Référentiel régional du numérique 1. INTRODUCTION 1.1. Objectifs Le présent document présente les principes d’architecture réseau et système qui seront communs à tous les lycées de la Région des Pays de la Loire et les règles d’acquisition des équipements informatiques et audiovisuels. Ce référentiel régional constitue la base pour les acquisitions d’équipements informatiques et audiovisuels pour toute demande de renouvellement ou de nouvelle acquisition. 1.2. Révision du document L’ensemble des pré-requis, recommandations, techniques et logiques doivent évoluer, d’une part avec les évolutions des pratiques pédagogiques et des usages des utilisateurs et d’autre part avec les évolutions des technologies de communication. Ce document sera mis à jour sur la base d’une révision bisannuelle ou dans le cadre d’un élément majeur (nouvelles technologies, nouvelles directives pédagogiques). Version V2012-2013 page 4/38 Référentiel régional du numérique 2. ARCHITECTURE RESEAU 2.1. Principes d’architecture 2.1.1. Architecture logique Généralités Le réseau d'un établissement est un réseau global mutualisant les moyens d'accès administratifs et pédagogiques et utilisant le protocole IP pour le dialogue entre les équipements. Il est régi par une politique de sécurité locale respectant la politique académique et nationale, sous la responsabilité de la Personne Juridiquement Responsable (PJR) représentée par le Chef d'Etablissement. La mise en place de réseaux physiquement séparés du réseau global d’établissement est cependant autorisée, pour des enseignements de Sections de Techniciens Supérieurs (STS) particuliers. Le réseau global se décline en quatre zones au minimum, séparées par une passerelle de sécurité. Ces zones peuvent elles-mêmes être segmentées en plusieurs sous-zones en fonction de leur mise en œuvre technique. Il est organisé autour d'un équipement fédérateur, relié à des commutateurs d'extrémité selon une topologie de type « étoile » à deux niveaux de hiérarchie. Il doit être capable de segmenter et d'isoler les populations selon plusieurs zones dites « de confiance ». Le commutateur fédérateur peut assurer les fonctions de routage et de filtrage entre les sous-zones au sein de la partie pédagogique L’accès Internet de l’établissement est centralisé sur un seul point de connexion protégé par la passerelle de sécurité. Celle-ci doit assurer les fonctions de pare-feu, filtrage d'URL et routage inter zone. La passerelle peut se décomposer en briques indépendantes et cohérentes qui assureront ces fonctions. L’architecture logique est la suivante : Version V2012-2013 page 5/38 Référentiel régional du numérique Robustesse de l’accès Internet Pour bénéficier d'une disponibilité constante de l'accès Internet et face à la diversité des cas de figure à traiter, il est préférable d'opter pour des abonnements disposant d'une garantie de temps d'intervention (GTI) et une garantie de temps de rétablissement (GTR) compatibles avec les exigences des usages pédagogiques et administratifs. Ce besoin de haute disponibilité ne doit pas être confondu avec la répartition de charge des accès sortants qui n'est pas préconisée en raison de son incompatibilité avec certaines applications (par exemple les accès du réseau administratif aux applications nationales). 2.1.2. Description des zones L’organisation des zones est la suivante : La zone I (Internet) doit être l'unique point d'accès à Internet pour le site concerné, mutualisant administration et pédagogie. La zone E (DMZ privée) est la zone où se trouvent les ressources de l'établissement à visibilité locale (partagée entre les zones P, A ou Z) ou académique. La zone P (Pédagogie) est la zone intranet dite d'enseignement de l'établissement accessible par toute personne de l'EPLE dont les élèves. La zone A (Administratif) est la zone intranet accessible à tous les agents de l’établissement au sein de l'EPLE (ou ayants droits désignés par le chef d'établissement). Version V2012-2013 page 6/38 Référentiel régional du numérique La zone Z (DMZ publique) est la zone optionnelle de transit des utilisateurs qui arrivent d'Internet et qui désirent accéder à des services offerts par l'établissement scolaire via des relais applicatifs. La visibilité des ressources est nationale ou internationale. Les zones A, E et P doivent être présentes dans le LAN de l'EPLE. La zone Z est facultative. 2.1.3. Règles de confinement inter-zones Par son statut, le chef d'établissement exerce une responsabilité sur l'ensemble des ressources et de la sécurité au sein de toutes les zones décrites. Les règles de filtrage réseau régies par la passerelle de sécurité devront respecter le tableau suivant : De \ vers Zone A Zone A Zone P Zone E Zone Z Zone I Autorisé Autorisé Autorisé Autorisé Contrôlé Autorisé Autorisé Autorisé Contrôlé Zone P Interdit Zone E Interdit Contrôlé Zone Z Interdit Interdit (*) Contrôlé Zone I Interdit Interdit Interdit Contrôlé Contrôlé (*) signifie que des dérogations, sous la responsabilité du chef d'établissement, doivent se faire en coordination avec les services rectoraux. 2.1.4. Architecture physique L’ensemble des spécifications détaillées de mise en œuvre et d’implémentation du réseau physique de l’établissement ainsi que la topologie des points d’accès sont décrits dans partie « câblage » du référentiel de la Région Pays de la Loire. 2.1.5. Adressage IP La mise en œuvre du plan d’adressage, le positionnement des ressources informatiques ainsi que l’adressage des VLAN sont décrits dans le document de préconisation académique « DPA_CTRE_Plan adressage-2010 » disponible sur http://ctre.ac-nantes.fr (rubrique architecture IP). Le plan d’adressage IP du Rectorat définit les classes d’adresses RFC1918 mises à disposition de l’établissement pour assurer la communication des zones A, P, Z, E et I. Des classes d'adresses IP distinctes sont attribuées à chaque établissement afin d'identifier une ressource de manière unique au niveau académique. Les classes d'adresses ont été prévues pour desservir autant de postes informatiques que le nombre d'élèves et d'enseignants. Elles sont de la forme : • 10.<numéro de département>.<numéro chronologique>.0/24 pour les postes administratifs • 10.1<numéro de département>.<numéro chronologique>.0/24 pour les serveurs • 172.X.Y.0/masque pour les postes pédagogiques • 192.168.220 à 192.168.239 pour identifier des ressources à portée locale, non routables au niveau académique Version V2012-2013 page 7/38 Référentiel régional du numérique 2.1.6. Segmentation du réseau Le réseau global d'établissement est segmenté en sous-réseaux par la technologie des Vlans. Le document de préconisation académique « DPA_CTRE_Plan adressage-2010 » disponible sur http://ctre.ac-nantes.fr (rubrique architecture IP) définit d'une part les sous-réseaux présents a minima dans l'établissement, et d'autre part les règles de filtrage des adresses IP (ou des plages réseaux) régies par le ou les commutateurs fédérateurs. Le pare-feu devant router et filtrer les zones A I Z et E, les Vlans qui en découlent doivent être définis au niveau 2. Le schéma suivant montre un exemple de répartition des Vlan dans une architecture classique. Il est susceptible d'évoluer. 2.1.7. Spécificité du tertiaire Les équipements propres au secteur tertiaire seront dans un sous-réseau (VLAN) tertiaire pour faciliter l’intégration des applications métier et pour offrir la souplesse nécessaire à la prise en compte de l’évolution des besoins d’enseignement. En effet, les pratiques d’enseignement intègrent de plus en plus de simulations et d’analyse du système d’information et nécessitent une gestion décentralisée des droits d’accès. Par ailleurs, le tertiaire dispose d’applications pédagogiques spécifiques telles que : - des systèmes de gestion de bases de données (SQL Server, MySQL, PostgreSQL) ; - des applications métier (type CEGID, MS-CRM, SugarCRM, openERP…) ; - d'environnement de travail collaboratif (type OVIDENTIA) ; Version V2012-2013 page 8/38 Référentiel régional du numérique - d'outils pédagogiques (AthénéoGRE, livret de compétences informatiques et bureautiques en STS Assistant de manager, par exemple). Ces services seront installés sur des serveurs physiques ou virtuels qui seront placés soit dans le vlan tertiaire s'ils ne sont accessibles que de celui-ci, soit dans les VLAN serveur ou DMZ, s'ils sont accessibles depuis l'internet. L'ensemble des comptes et des ressources propres au secteur tertiaire seront gérés au niveau d'un domaine tertiaire, sous-domaine du domaine de l'établissement ; ce sous-domaine est nécessaire pour permettre l’application des stratégies de domaine requises par les applications métier. Ce serveur sera situé sur le VLAN serveur (ci-joint l'architecture logique en annexe 1). 2.1.8. Utilisation du WIFI Au regard des risques de sécurité inhérents à la technologie, la mise en œuvre du wifi doit s'effectuer dans les conditions de sécurité adaptées à l'accès au système d'information de l'établissement ou aux ressources des réseaux RACINE et AGRIATES (cercles de confiance intranet inter académiques et intranet académique). Conformément aux recommandations du Ministère de l’Education Nationale1, l’utilisation de la technologie sans fil wifi est soumise aux principes suivants : • toute installation de réseau wifi susceptible d’ouvrir des accès aux ressources internes du système d’information académique doit être signalé par l’établissement à l'Ingénieur Sécurité Racine (ISR) de l’académie, auquel il appartiendra de faire contrôler que les conditions de sécurité requises sont remplies ; • toutes les bornes wifi doivent appartenir à un VLAN dédié « wifi » (les accès à ce VLAN devront être contrôlés par un dispositif de sécurité type pare-feu ou équivalent) ; • les postes de travail (et dans la mesure du possible les utilisateurs) devront être authentifiés et les échanges chiffrés. Les protocoles 802.11i/WPA2 associés à une authentification utilisateur de type EAP/RADIUS seront privilégiés ; • dans le cas d’accès à des ressources sensibles (RACINE), une authentification forte sera privilégiée. Cependant, il est de la responsabilité de l’ISR de proposer à la PJR du site la solution qu’il jugera adaptée aux besoins et au contexte. Afin de faciliter le choix du niveau de sécurité à mettre en œuvre, y compris pour les portails captifs, l’annexe 2 présente pour les deux domaines où l’emploi du wifi est parfaitement justifié (le traitement de la mobilité et l’interconnexion de structures) : 2.1.9. • une nomenclature des types de réseau wifi en fonction des mécanismes de sécurisation utilisés ; • les recommandations d’utilisation en fonction des données potentiellement accessibles. Télémaintenance Les accès pour l'administration à distance des équipements sont définis compte-tenu des exigences de disponibilité, intégrité, confidentialité et traçabilité de l'opération. Généralement un dispositif de télémaintenance au travers d'un accès sécurisé fourni par le Rectorat permet de répondre aux besoins de télémaintenance, les dispositifs type « LogMeIn » ou « TeamViewer » sont proscrits. 1 Note DPMA A3/MB 2006-0098 du 18/05/2006 : Mise en œuvre de bornes wifi ouvrant des accès aux ressources internes du système d’information Version V2012-2013 page 9/38 Référentiel régional du numérique 2.1.10. Gestion technique de bâtiment (GTB) La Gestion Technique du Bâtiment (GTB) désigne un système électronique permettant de gérer les équipements « techniques » d’un bâtiment tels que le chauffage, la climatisation, la ventilation, l'électricité. L’ensemble de ces systèmes est pilotable aujourd’hui par des logiciels installés sur des postes de contrôle locaux ou distants. L’accès à ces informations est sensible notamment en cas de modification de variables, c’est la raison pour laquelle il doit être contrôlé et protégé. Les préconisations d’implémentation de sondes et concentrateurs de GTB peuvent être consultées sur http://ctre.ac-nantes.fr (rubrique architecture IP). Elles prévoient que : - l’exposition des ressources de GTB sur la zone DMZ publique de l’établissement est proscrite ; l’ensemble des flux permettant l’administration distante de ces équipements de GTB doit emprunter d’une part le réseau ADRIATIC reliant la collectivité au point de concentration académique et d’autre part le réseau AGRIATES reliant le point de concentration aux réseaux d’établissements. Ainsi, il a été mis en place sur l'infrastructure du Conseil Régional un serveur de rebond permettant à l’ensemble des acteurs intervenant sur la maintenance des équipements de GTB comme des prestataires externes, une antenne locale du Conseil Régional ou le Conseil Régional lui-même, de pouvoir accéder à l’ensemble des logiciels pilotant les modules GTB installés dans les établissements en toute sécurité. Le Conseil Régional assure l’accès contrôlé et sécurisé à ce serveur de rebond aux antennes régionales et aux prestataires. Le schéma en annexe 2 synthétise les accès mis à disposition pour l’administration et la maintenance des équipements de supervision. Il doit être respecté par les soumissionnaires lors de la rédaction de cahiers des charges de construction et ou rénovation de bâtiments. Version V2012-2013 page 10/38 Référentiel régional du numérique 2.2. Composants réseau Quel que soit le mode de fourniture de l'équipement réseau (activation, renouvellement, achat sur fonds propres), celui-ci devra posséder des qualités éprouvées en terme de robustesse et d’évolutivité à 8 ans minimum. Les équipements de commutation proposés devront supporter les normes et standards en vigueur (notamment ceux approuvés par l'IEEE, l'IETF et l'ATM Forum) comme indiqué dans le tableau en annexe 2. Ses capacités seront dimensionnées pour commuter les flux de toutes les interfaces à leur débit maximal. On considère deux types de commutateur : • Le cœur de réseau ou commutateur fédérateur niveau 3. Le commutateur fédérateur regroupe l'ensemble des ressources serveur et la connexion des commutateurs d'extrémité. Le raccordement direct des terminaux de travail n'est pas autorisé. Cet équipement est installé dans le répartiteur général ; • Le commutateur d’extrémité niveau 2. Cet équipement sera installé dans les sous-répartiteurs et le répartiteur général si besoin. L’architecture matérielle du commutateur pourra être fixe ou modulaire et pourra être composée, physiquement, d’un ou plusieurs équipements (stack). Les préconisations académiques relatives aux options de configuration sont décrites dans le document « DPA_CTRE_NPA_Equipements_actifs_N3 » disponible sur le site http://ctre.ac-nantes.fr (rubrique architecture IP). Celui-ci recense les bonnes pratiques en matière de configuration d'équipements actifs avec des exemples concrets d'implémentation en ligne de commande (pour les marques Cisco, Nortel et HP). Il est mis à jour selon une périodicité au moins équivalente à celle du présent référentiel. Les thèmes suivants sont abordés dans ce document : - la sauvegarde automatique de configuration sur un point central la configuration des interfaces, la gestion du spanning tree ou du multicast la configuration des access-list Ce document comporte un tableau de référence de firmware pour l'ensemble des équipements actifs des lycées Pays de la Loire. Il est conseillé aux coordinateurs informatiques de mettre à jour leurs équipements en suivant les procédures disponibles sur http://ctre.ac-nantes.fr - rubrique Architecture IP. En annexe de celui-ci sont présentées les configurations de référence de chaque type d'équipement actif. Celles-ci pourront être mises en œuvre sur de nouveaux équipements introduits dans le réseau physique des établissements ou pourront servir de cible à atteindre pour la configuration des équipements existants. Version V2012-2013 page 11/38 Référentiel régional du numérique 2.3. Mutualisation des ressources : architecture « Agriates II » La Région des Pays de la Loire et l'académie de Nantes travaillent au déploiement d'un nouveau type d'infrastructure informatique pour les lycées. Celui-ci est fondé sur le nouveau modèle d'architecture "AGRIATES 2" et s'appuie sur des infrastructures mutualisées, virtualisées et redondées sur un point de collecte régional situé au rectorat de Nantes. Ce nouveau service a vocation à être utilisé potentiellement par l'ensemble des lycées disposant d'un accès très haut débit Gigalis sur fibre optique (incluant l’accès aux services de réseaux privés virtuels). Plusieurs lycées de la Région bénéficient déjà de ce service depuis 2010, dans le cadre d’une phase pilote. Ce service, impliquant le déplacement du pare-feu de l’établissement en un point de concentration académique et son hébergement virtualisé sur des fermes de serveurs proposant également des services réseau mutualisés, offre de nombreux avantages. Sur le plan de la sécurité, il permet de consolider la politique de sécurité des systèmes d'information par une meilleure gestion et une meilleure maitrise grâce à son application sur un point central. Il autorise également la mise en œuvre d’outils évolués de sécurité, comme par exemple le contrôle de trafic ou la détection et la prévention d’intrusion, améliorant la résistance aux agressions extérieures. Sur le plan de la qualité du service, il apporte via la mutualisation et les technologies de virtualisation une forte tolérance aux pannes, de très hautes performances, une maintenance et une exploitation facilitées, ainsi qu’une capacité à évoluer progressivement au fur et à mesure des besoins tout en gardant la maitrise des coûts. Tous ces éléments contribuent à une amélioration de la qualité et de la continuité du service ainsi qu’à une meilleure réactivité face aux demandes des établissements en rapport avec des modifications de la politique de sécurité ou d’accès à de nouveaux services. Sur le plan des nouveaux usages, cette architecture permet une interconnexion directe avec les infrastructures académiques (puis avec les collectivités via le réseau ADRIA-TIC) et va donc également faciliter la prise en compte des services de téléphonie sur IP, de visioconférence ou vidéo à la demande. Elle permet également au travers de l’hébergement centralisé d’offrir des services réseaux mutualisés comme par exemple des services d’annuaire et d’authentification réseau, des services techniques IP (DNS, DHCP), la mise en ligne d’applications web, des espaces de stockage et des capacités de sauvegarde. Version V2012-2013 page 12/38 Référentiel régional du numérique 3. ARCHITECTURE SYSTEME Le principe d’architecture système retenu s'appuie sur quatre classes de services décrits dans les documents de référence du S2I2E. Ces services peuvent être pris en charge par un ou plusieurs serveurs, réels ou virtuels. - Services de sécurisation et d'accès au réseau - Services d'authentification, d'annuaire et de stockage utilisateurs - Services pour assurer la qualité et la continuité du fonctionnement De manière générale, l’ensemble des serveurs sera installé dans le répartiteur principal ou le local serveur s'il existe. Ils seront encastrés dans une baie 19 pouces et gérés pour certaines via un commutateur KVM. Si une plateforme de virtualisation est choisie, elle devra être qualifiée avec les systèmes d'exploitation de production et le matériel retenu. En outre, son fonctionnement devra être validé par le Rectorat pour les modules académiques. Les bonnes pratiques figurent dans le document « DPA_CTRE_Plan adressage-2010 » disponible sur http://ctre.ac-nantes.fr (rubrique architecture IP) et stipulent notamment : - Il peut y avoir un ou plusieurs vswitch sur un cluster de machines, chacun devant être connecté au cœur de réseau selon l'état de l'art, notamment si on agrège les ports (Etherchannel en fail-over ou load-balancing) ; - Le trunk entre le cluster de serveurs de virtualisation et le cœur de réseau ne devra pas véhiculer le Vlan admin. La configuration du mode « allowed vlan » est préconisée ; - Sur une machine virtuelle, l’interface réseau n’appartiendra qu’à un seul Vlan : le trunk 802.1Q n'est pas admis ; - Si l'OS virtuel dispose de plusieurs interfaces, il ne devra ni bridger ni router l'Ethernet entre elles ; - Dans le cas des cartes de migration à chaud (Ex vmotion) et de management, on peut fonctionner en mode trunk et etherchannel sous réserve de compatibilité ; - Le modèle EDUTICE (concentration de clients légers avec 2 interfaces réseau) est une exception à ces bonnes pratiques : sa configuration étant maitrisée, cela ne rentre pas en conflit avec la politique de sécurité. 3.1. Service de sécurisation et d’accès au réseau Les accès Internet des établissements publics sont sécurisés à l'aide d'un pare-feu issu du projet EOLE2 (AMON-NG). La configuration du pare-feu tiendra compte des évolutions vers les ENT et des contraintes liées aux applications administratives de l’Education Nationale. 3.1.1. Caractéristiques techniques Les caractéristiques techniques du serveur Amon sont les suivantes : - Processeur de dernière génération - Format 19 pouces avec alimentation redondante 2 EOLE Ensemble Ouvert Libre et Evolutif (http://eole.orion.education.fr) Version V2012-2013 page 13/38 Référentiel régional du numérique - 5 cartes réseau 100/1000 Mbit/s - 2 DD en RAID 1 - 2 USB, 3 PCI - lecteur de DVD-ROM - OS à base d'UBUNTU installé par le Rectorat Le pare-feu AMON assure les services de sécurisation et de filtrage réseau, d'administration et de contrôle décrits en annexe 2. 3.1.2. Paramétrages du pare-feu Les règles du pare-feu sont établies et modifiées par les équipes académiques conformément à la politique de sécurité du Ministère de l’Education Nationale. L’assemblage de ces règles constitue un modèle qui peut être appliqué à l’établissement. Il existe plusieurs modèles standards AMON-NG permettant de gérer les redirections de ports vers des serveurs situés en DMZ pour assurer : - les transferts de fichiers (FTP) ; - la messagerie (SMTP, POP3, IMAP4) ; - les services web (http) ; - les services de vie scolaire (Pronotes, Internotes) La personnalisation d’un modèle standard à la politique d’établissement doit être précédée d’une demande d’intervention et d’une validation des choix par les équipes académiques (notamment pour l’administration distante). Les paramètres modifiables sont listés ci-dessous : Paramètres modifiables Services à paramétrer sur AMON NG Modification par Etat par défaut Gestion des zones Règles de pare-feu (ajout ou suppression génériques de zones) Rectorat Actif, modifiable par les équipes académiques Gestion des services sur les DMZ Règles de pare-feu personnalisées Rectorat Inactif, nécessite une reconfiguration pour leur prise en compte Activation du filtrage d'URL par interface DansGuardian Rectorat Actif, modifiable par les équipes académiques Dialogue en direct (icq, chat) Règles optionnelles pour la zone P établissement Inactif, modifiable par interface web Messagerie (pop imap Règles optionnelles smtp) pour la zone P établissement Inactif, modifiable par interface web Version V2012-2013 page 14/38 Référentiel régional du numérique Paramètres modifiables Services à paramétrer sur AMON NG Modification par Etat par défaut Transfert de fichiers (ftp) Règles optionnelles pour la zone P établissement Inactif, modifiable par interface web Forums Règles optionnelles pour la zone P établissement Inactif, modifiable par interface web Tous les protocoles sauf web Règles optionnelles pour la zone P établissement Inactif, modifiable par interface web Echanges peer to peer Règles optionnelles toutes zones établissement Actif, modifiable par interface web Poste de travail (adresse IP) Règles optionnelles toutes zones établissement Inactif, modifiable par interface web Interface ou port IP Règles optionnelles établissement Inactif, modifiable par interface web Amon-NG supporte des politiques de filtrage indépendantes qui peuvent être gérées par différents administrateurs selon leurs habilitations. La configuration d'un filtre pour une zone donnée (A, P, Z, E etc.) peut inclure : 1. des catégories de sites visités (thématiques) 2. des listes personnalisées 3. un filtrage syntaxique 4. des types MIME 5. des extensions Un filtre peut être associé à des machines ou des utilisateurs en fonction des plages horaires. Sous la responsabilité du chef d’établissement, la politique de filtrage des URL sera définie par le « Comité TICE » en fonction des spécificités des disciplines et appliquée par l’administrateur du réseau global d’établissement en coordination avec les administrateurs de domaine. Type de restriction Machine Amon Filtrage d'URL évolué Règles optionnelles Version V2012-2013 Responsabilité établissement Etat par défaut Actif sur la base des listes de Toulouse. Possibilité de personnaliser via l'interface web et de déléguer par profil d'habilitation page 15/38 Référentiel régional du numérique 3.2. Service d'authentification, d'annuaire et de stockage Du fait de la responsabilité juridique liée à la fourniture d'accès au réseau et à Internet ainsi qu'au caractère personnel de certaines données, tout utilisateur doit être identifié et authentifié de façon unique avant d'accéder aux ressources, et cela à partir de n’importe quel poste de travail du réseau de l’établissement. Toute tentative d'accès doit être tracée ainsi que toute modification de l'annuaire. Le service d'annuaire doit être alimenté à partir du système d'information notamment au travers des outils académiques (SCONET, annuaire fédérateur ...). Chaque établissement devra disposer de serveurs pour partager les ressources et les logiciels liés à l’activité pédagogique ou administrative, cet espace venant compléter si besoin le stockage fourni par l'ENT. 3.2.1. Serveur administratif Le serveur de ressources sous Linux (HORUS), issu du projet EOLE du pôle de compétence du Ministère de l'Education Nationale, est préconisé pour les applications client/serveur de gestion administratives ou financières. Par défaut, le serveur administratif sera installé dans le répartiteur général. Une demande d’emplacement différente sera étudiée au cas par cas en accord avec l’établissement. Les caractéristiques techniques sont les suivantes : Serveurs administratifs Horus Caractéristiques techniques o o o o o o o Processeur de dernière génération, taille mémoire adaptée Format 19 pouces avec alimentation redondante 2 cartes réseau 100/1000 Mbit/s 2 DD Go en RAID 1 2 USB, 3 PCI lecteur de DVD-ROM OS à base d'UBUNTU installé par le Rectorat 3.2.2. Espace de stockage Le service de stockage doit offrir les mécanismes et les procédures permettant de mettre à disposition des utilisateurs des espaces personnels sécurisés et partagés associés à des quotas définis par le Comité TICE. Elèves et Professeurs doivent posséder un compte ainsi qu'un répertoire personnel. A titre indicatif, le calcul de l’espace disque nécessaire peut se faire selon la base suivante, sachant que ce calcul peut évoluer en fonction des usages pédagogiques de l’établissement : - 500 Mo par élève de seconde, première et terminale de l’enseignement général 5 Go par élève des sections industrielles, du tertiaire et de BTS 1 Go par étudiant de classes préparatoires 5 Go par professeur 100 Mo par agent technique territorial Version V2012-2013 page 16/38 Référentiel régional du numérique Les caractéristiques minimales de ces serveurs (susceptibles de gérer les documents de travail, les outils systèmes et les applications) sont les suivantes : Stockage mutualisé o o o o o o o o Processeur fréquence de dernière génération 1 carte réseau 1 carte Fiber Chanel ou ICSI Mémoire RAM de 24 Go évolutive à 48 Go 2 DD 146 Go en RAID 1 2 USB, 3 PCI Lecteur de DVD Système d’exploitation à préciser (linux ou Windows) 3.3. Service pour assurer la continuité et la qualité de service Plusieurs modules doivent être présents dans l'infrastructure de l'établissement parmi lesquels : • • • la sauvegarde la gestion des journaux la supervision et l'exploitation de l'infrastructure 3.3.1. Service de sauvegarde Le service de sauvegarde doit offrir les mécanismes et les procédures (fréquence, volumes, supports, lieux) permettant de sauvegarder et de restaurer les données des utilisateurs et les données techniques sensibles. Il doit permettre de s'interfacer avec les technologies SAN. Pour le pare-feu, la sauvegarde est effectuée sur un serveur académique. Le serveur Horus peut disposer d'une sauvegarde sur disque USB externe ou sur un NAS dédié à la partie administrative. Dans ce cas il devra être installé uniquement sur le réseau administratif comme défini dans le document d’implémentation d’architecture IP. Pour la base de comptes élèves, une réplication doit exister sur un serveur secondaire. Pour le serveur administratif, les serveurs applicatifs, les serveurs de fichiers et/ou le stockage de masse, la politique de sauvegarde préconisée est la suivante : - Une sauvegarde quotidienne des données - Une sauvegarde hebdomadaire - Une sauvegarde annuelle sur médias externes pour archivage Pour les serveurs pédagogiques, un serveur de sauvegarde sera mis en service et hébergé dans un local technique autre que le local technique principal. Un espace partagé sur le serveur Horus d’une taille 100 Mo est disponible pour toute copie ou sauvegarde des données sensibles de l'administration (bases de données GFC, presto, SAGESSE etc). Une réplication de ces fichiers sur l'infrastructure du Rectorat est réalisée quotidiennement. Cette fonctionnalité permet, en cas de sinistre majeur, de réduire les délais de la reprise d’activité et de minimiser la perte d'informations. L’activation de cette fonctionnalité nécessite une demande d'intervention auprès de la plateforme inter académique. Version V2012-2013 page 17/38 Référentiel régional du numérique 3.3.2. Service de gestion des journaux Le cadre législatif et réglementaire impose des règles en terme de traçabilité. Les événements tracés sont enregistrés dans des journaux (logs). Ils sont utilisés à des fins de supervision et d'exploitation et pour répondre à des exigences légales. Concernant le pare-feu, les logs de connexions et de filtrage d'URL sont consolidés et archivés sur un serveur académique selon une périodicité journalière. 3.3.3. Service de supervision et d'exploitation de l'infrastructure Afin de d'améliorer la qualité du service rendu, il est nécessaire de mettre en place une organisation, des procédures et des outils de supervision et d'exploitation. Ceci inclut notamment les remontées automatiques d'informations (indicateurs, alertes) d'inventaires et de gestion de parc. La Région des Pays de la Loire et le Rectorat on collaboré pour offrir un service dont l'hébergement local à l'établissement et/ou centralisé sur l'infrastructure académique, est fourni par les logiciels : - NAGEDU pour la supervision du réseau et des systèmes (centralisé) ; - GLPI pour la gestion de parc, le helpdesk local à l’établissement ainsi que la gestion documentaire (centralisé) ; - Trend Micro pour la gestion des antivirus au travers d'une console « officeScan » (local/centralisé) ; - WSUS pour la gestion des MAJ d’OS MS Windows (local/centralisé). Concernant les actifs réseaux, une plate-forme d'administration peut être mise en place pour tout établissement quand le nombre d’équipements actifs le justifie et à condition qu’un administrateur réseau soit formé et disponible à la gestion de cette plate-forme. Une plate-forme d'administration des bornes wifi sera mise en place dans les établissements concernés dès lors que l'architecture le justifie et au-delà de 10 bornes. L'application de supervision et d'administration de réseau devra offrir les outils d'assistance en mode graphique nécessaires à la gestion et à l'exploitation des équipements réseaux et devra intégrer les fonctionnalités minimales décrites en annexe 2. 3.4. Système d’exploitation des serveurs et logiciels associés En fonction du niveau de compétence de l'administrateur du réseau, de la structure, et des équipes pédagogiques, il sera proposé deux systèmes d'exploitation et plusieurs logiciels d'administration de comptes : Système d’exploitation Logiciels d'administration Windows serveur IACA Linux SCRIBE Tout autre choix de logiciel d’administration ne pourra être soutenu en termes d’assistance et de formation par la Région ou le Rectorat. Version V2012-2013 page 18/38 Référentiel régional du numérique Les fonctionnalités de base attendues par un établissement sont les suivantes : Découpage Fonctionnalité Système d’exploitation Serveur de fichiers (protocole CIFS) Serveur d'impression (protocole LPD) Logiciel d'administration Pour les postes clients : o Prise en charge des clients Windows 9x/2000/XP et Linux o Distribution centralisée des raccourcis sur les Bureaux et les menus Démarrer Windows o Interface de configuration distante du registre Windows des clients (9x/2000/XP) o Gestion fine de l'environnement par utilisateur, groupe, machine ou parc de machines. Pour les ressources serveur : o Mise en place d'espaces personnels, et d'espaces partagés prédéfinis o Gestion fine des droits au niveau système de fichier o Création automatique de ressources classes avec droits fins prédéfinis o Création de nouvelles ressources avec droits délégués o Déploiement des fichiers dans les espaces personnels des utilisateurs o Gestion des quotas disque ou d'impression Pour l'interface d'administration : Délégation de droits au niveau de l'interface o Interface de sauvegarde sur bande o Mise à jour commandée par l'interface o Peuplement automatique de l'annuaire depuis les fichiers (GEP LIBELLULE ou fichiers textes) o Interface de gestion de l'annuaire LDAP (avec Import/Export total ou partiel) o Monitoring des ressources système et de l'occupation mémoire o Affichage des connexions en cours ou passées o Outils tiers Version V2012-2013 Protection des fichiers par un anti-virus Sauvegarde / restauration des données sur support externe Logiciel de clonage page 19/38 Référentiel régional du numérique 3.5. Service en ligne, espace numérique de travail E-LYCO E-lyco est l’environnement numérique de Travail pour tous les établissements du second degré en Pays de la Loire. 3.5.1. Définition d’un ENT « Un espace, ou environnement, numérique de travail (ENT) a pour objectif de fournir à chaque acteur de la communauté éducative (enseignant, élève, personnel administratif et de direction, parents, intervenants extérieurs…) un point d’accès unifié à l’ensemble des outils, contenus et services numériques en rapport avec son activité ». 3.5.2. Le projet e-lyco E-lyco, l’Environnement numérique de travail des Pays de la Loire, est fondé sur un partenariat réunissant l’Académie de Nantes et l’ensemble des six collectivités territoriales : la Région des Pays de la Loire, les départements de Vendée, Mayenne, Sarthe, Maine et Loire et Loire-Atlantique. L’enseignement privé adhère à ce projet. Il concerne également les établissements agricoles, publics et privés. 3.5.2.1. Contexte La Région des Pays de la Loire et le Rectorat souhaitent poursuivre la rationalisation, la mise en cohérence et la valorisation des divers dispositifs existants. Ils souhaitent aussi en développer de nouveaux, afin d'élargir l'offre de services et de la rendre plus largement accessible (hors des établissements et vers de nouvelles communautés d'utilisateurs). Il s’agit en définitive de mettre en oeuvre des services en ligne adaptés aux différents usagers des établissements d’enseignement. 3.5.2.2. Objectifs E-lyco est mis en place avec, d’une part des objectifs éducatifs, d’autre part des objectifs liés à l’aménagement du territoire : Favoriser la réussite scolaire Renforcer le lien entre l’élève et l’enseignant Rapprocher l’Ecole et les familles Construire le prolongement numérique de l’établissement vers l’extérieur Favoriser l’usage des TIC Faciliter les échanges par la dématérialisation des flux d’information Promouvoir de nouvelles modalités de travail 3.5.3. Trois niveaux de portails On désigne chaque Espace Numérique de Travail (ou Environnement Numérique de Travail) par le terme générique « portail ». Pour e-lyco, Il existe trois niveaux de portails tissant entre eux des relations étroites : un portail général (www.e-lyco.fr), les portails des collectivités (dont celui de la Région : www.paysdelaloire.e-lyco.fr) et partenaires (l’URADEL par exemple), les portails des établissements publics et privés (ex : www.nomdeletablissement.e-lyco.fr). Chaque portail dispose d’une adresse Internet. Il est possible pour chaque usager de s’identifier à partir de chaque portail. Version V2012-2013 page 20/38 Référentiel régional du numérique Chaque portail est constitué d’une partie visible du grand public (le site web) et d’une partie accessible après identification et modulable selon la personne connectée. C’est cette seconde partie qui constitue principalement l’ENT. 3.5.3.1. Le portail général Le portail général est piloté par le rectorat : le Recteur en est le responsable éditorial. Il est le lieu de l’actualité du projet, des présentations généralistes et documentations d’e-lyco Il est le lieu des regroupements inter-établissement 3.5.3.2. Le portail Régional Le portail Régional est piloté par la Région des Pays de la Loire : le président de la Région est le responsable éditorial de son portail Il permet de communiquer et d’échanger avec les lycées placés sous sa responsabilité partagée Il tisse les liens avec les Agents Régionaux des Lycées 3.5.3.3. Le portail d’établissement Chaque portail local est piloté par le chef d’établissement, qui en est le responsable juridique et éditorial. Il est le lieu par définition de l’ENT Il donne les accès personnalisés aux services et aux données à tous les personnels, aux élèves, parents, partenaires locaux, etc. 3.5.4. Documentation 3.5.4.1. Le kit de déploiement e-lyco Un kit de déploiement est accessible sur le portail www.e-lyco.fr. Il est conçu pour accompagner le chef d’établissement et son équipe ressource tout au long de l'initialisation du portail, il contient de nombreux conseils pour favoriser le démarrage des usages en établissement. Ce kit se compose de 6 cahiers : 1. Cahier 1 : recueil des pré-requis Il est destiné à accompagner les établissements dans le recueil des pré-requis nécessaires à l’ouverture du portail. 2. Cahier 2 : ouverture du portail Il détaille toutes les opérations à mettre en œuvre pour activer le portail d’établissement. 3. Cahier 3 : pilotage et démarrage des usages Ce cahier apporte de nombreux éléments pour organiser la communication et la formation en établissement permettant au chef d’établissement de favoriser le développement des usages. 4. Cahier 4 : annexes techniques Ce cahier recense toutes les fiches techniques de paramétrage des connecteurs. 5. Cahier 5 : organiser le changement d’année scolaire Ce cahier présente toute la procédure de changement d’année scolaire. Il précise les éléments qui sont conservés et ceux qui doivent faire l’objet d’un archivage par l’utilisateur. Version V2012-2013 page 21/38 Référentiel régional du numérique 6. Cahier 6 : publication sur les portails - préconisations En complément : 7. Guide de saisie dans Sconet La bonne importation des données de l'établissement dans e-lyco est étroitement liée à la qualité de la saisie des données dans les applications nationales (STS, SCONET) ou privées (logiciels d’emploi du temps, de gestion des notes ou de base élèves pour les établissements privés). Ce guide détaille les bonnes pratiques à adopter pour la saisie des données. 8. Fiches de postes des personnes-ressources e-lyco Ces fiches décrivent les rôles indispensables au déploiement et au bon fonctionnement d'elyco en établissement. 3.5.4.2. La documentation fonctionnelle pour les usages Scénarios de prise en main fonctionnelle Sur le site www.e-lyco.fr figurent dans la partie « documentation » des ressources correspondant aux supports utilisés lors des formations fonctionnelles à e-lyco suivies sur deux jours par les administrateurs, les coordonnateurs et les formateurs-relais éventuels dans la phase de déploiement général d'e-lyco. Ces formations visent à former les personnes-ressources à l’utilisation de l’ENT e-lyco au travers de situations concrètes (scénarios progressifs d’appropriation) et à sensibiliser les personnesressources aux enjeux des formations qu’ils auront à assurer ensuite en établissement. Ces ressources abordent les sujets décrits ci-après qui seront progressivement complétés par d’autres thèmes : publication sur l'espace public : informer la communauté éducative communication niveau 1 : préparer une réunion pédagogique réservation de matériel et de salles : optimiser la gestion des ressources de l’établissement communication niveau 2 : préparer une réunion éducative cahier de textes niveau 1 : remplir rapidement le cahier de textes cahier de textes niveau 2 : enrichir son cahier de textes du cahier de textes au classeur pédagogique : capitaliser le travail saisi dans le cahier de textes travail collaboratif (niveau 1) : partager des documents entre élèves travail collaboratif (niveau 2) : constituer un groupe projet et lui créer un espace interaction avec les utilisateurs : sonder un groupe constitué et traiter les réponses espace multiservices (niveau 1) : accompagner un projet de classe accès au cahier de textes pour une inspection Espace réservé aux personnes ressources e-lyco Depuis le portail www.e-lyco.fr, en mode authentifié, dans la rubrique « Personnes ressources e-lyco» figurent un espace dédié à la mutualisation ainsi qu’une foire aux questions. Ces deux rubriques s’enrichiront progressivement par la publication de ressources de coordinateurs pédagogiques ou administrateurs e-lyco. Version V2012-2013 page 22/38 Référentiel régional du numérique Aide en ligne e-lyco L’aide en ligne de l’ENT e-lyco est un précieux appui pour découvrir l’ensemble des fonctionnalités. Riche et détaillée, elle a l’avantage d’être maintenue à jour par l’éditeur du produit. L’aide dispose d’un moteur de recherche mais présente également une organisation des thématiques. Un guide de prise en main est également téléchargeable dans la rubrique « + d’outils ». Attention l’aide en ligne n’est accessible qu’en mode connecté. 3.5.4.3. Les connecteurs Il est important de considérer e-lyco comme un point d’accès central aux différents services et ressources propres à l’établissement. Toutes les applications en ligne majeures utilisées dans les établissements bénéficient progressivement d’un connecteur permettant une authentification unique (SSO) à partir de l’ENT. Ce principe facilite grandement l’utilisation de l’ENT mais aussi l’organisation globale des services numériques. Les connecteurs disponibles pour e-lyco sont décrits dans l’aide en ligne mais également dans le cahier 4 du kit de déploiement décrit au chapitre 1.4.1. Parmi ces connecteurs, une attention particulière est attendue sur les solutions de notes et d’absences ainsi que pour l’accès aux données du réseau local (webdav). Pronote Les services de vie scolaire et plus particulièrement les services de notes et d’absences sont des services attendus et consultés par les parents et les élèves. Il est fondamental de lier correctement les services tiers tels que Pronote à e-lyco afin de ne pas avoir une double-gestion des comptes pour l’établissement mais également pour les utilisateurs. La documentation la plus exhaustive est accessible en mode connecté sur e-lyco au travers de l’aide en ligne (Accueil > Administration > Gestion portail > Services tiers > Les connecteurs > Connecteur Pronote avec CAS). Il est recommandé de suivre la démarche décrite qui propose par ailleurs un lien vers la documentation propre à l’éditeur Index Education. Webdav Le "connecteur Webdav" est une fonctionnalité permettant, à partir d'e-lyco, d'atteindre ses fichiers stockés sur le réseau local de l'établissement. Ceci est particulièrement intéressant pour les enseignants et les élèves qui peuvent ainsi accéder à leur espace de stockage et exploiter ces ressources dans les services d’e-lyco. Le paramétrage dépend de la configuration réseau de l'établissement. La documentation est accessible depuis le portail www.e-lyco.fr, en mode authentifié, dans la rubrique « Personnes ressources e-lyco > Connecteur Webdav ». Elle détaille les actions nécessaires selon 2 types de configuration au niveau serveur de fichiers : Windows + IACA Linux/Samba ou SCRIBE 3.5.4.4. Le SDET (Schéma Directeur des ENT) Accessible depuis le site national Eduscol (http://eduscol.education.fr/cid56994/preconisationstechniques.html), le Schéma Directeur des espaces numériques de travail constitue une référence nationale pour la mise en place des ENT. Principalement adressé aux collectivités, académies et Version V2012-2013 page 23/38 Référentiel régional du numérique éditeurs, ce document et ses annexes constituent une source d’information technique importante pour appréhender les rouages d’alimentation des ENT et ses interactions avec les autres portails et services de l’éducation nationale. 3.5.5. Création des comptes La gestion des comptes dans e-lyco repose sur un dispositif permettant à chaque acteur professionnel de s’identifier via son compte institutionnel. L’institution de rattachement est ainsi le fournisseur d’identité pour chaque utilisateur professionnel. Seuls les parents et les élèves doivent explicitement créer leur compte. Les circuits d’authentification sont représentés ci-après : Enseignants L’accès à e-lyco pour les enseignants est automatique par utilisation du système d’information académique. Ils utilisent leur compte académique qui leur permet également d’accéder à ETNA et leur webmail. Personnels non enseignants L’accès est automatique pour les personnels académiques et de la région en utilisant le compte institutionnel. Pour les personnels de direction, ce compte permet d’accéder sans réauthentification aux portails ETNA et au webmail. Pour les Agents de la Région, le compte de la collectivité permet d’accéder en SSO au webmail ainsi qu’à Intranoo (un guide est accessible à cet effet en ligne sur le portail de la Région) Invités Version V2012-2013 page 24/38 Référentiel régional du numérique La création de tout autre compte est possible manuellement dans l’ENT par l’administrateur. Elèves ou parents : Il s’agit d’une création directement par les utilisateurs (http://cent.ac-nantes.fr). Ce processus s’appuie sur la procédure de mise en œuvre des télé-services de sconet : • Génération d’un code par le chef d’établissement • Création du compte directement par l’utilisateur Avantages de la procédure : • Gestion des mots de passe déportée sur l’utilisateur • Conservation du compte sur toute la scolarité Procédure unique e-lyco / télé-services Les établissements peuvent disposer d’un accompagnement par le CRDP qui peut personnaliser de la documentation selon le contexte de chaque établissement Remarque : Pour les établissements agricoles, les comptes doivent être importés selon les spécifications décrites dans l’outil (aide en ligne e-lyco). Une procédure de création des comptes automatisée est en cours de construction. 3.5.6. Assistance et formations 3.5.6.1. Organisation de l’assistance Niveau 0 : administrateur / coordonnateur e-lyco de l’établissement Assistance fonctionnelle aux utilisateurs de l’établissement Assistance sur les comptes Niveau 1 : plateforme académique (Contact par formulaire obligatoire) puis rebonds si nécessaires : Niveau 2 : rectorat (annuaires, comptes) / CRDP (fonctionnel) / Région (comptes ATT) Niveau 3 : prestataires (problèmes techniques non résolus) 3.5.6.2. Formations, accompagnement Parents Le CRDP des Pays de la Loire propose à tous les lycées publics disposant d’e-lyco un dispositif d’accompagnement des parents. Les modalités et les contenus sont négociés avec le chef d’établissement. Contact : Le chargé des TICE du CDDP de leur département (http://www.crdp-nantes.fr/) Agents Le CRDP des Pays de la Loire forme les personnels techniques à la prise en main d’elyco (en commençant par une information sur leurs identifiants) et à plusieurs outils Version V2012-2013 page 25/38 Référentiel régional du numérique régionaux auxquels ils accèdent directement à partir de l’ENT (webmail, intranoo, site du comité des œuvres sociales). Contact : Le chargé des TICE du CDDP de leur département (http://www.crdp-nantes.fr/) Enseignants, personnels d’établissement Le pôle TICE, chargé de l’animation du projet ENT, assure l’organisation des formations des personnes ressources e-lyco de chaque établissement. En cas de changement de personne ressources, le pôle TICE organise des sessions de rattrapage où de mise à niveau. Des sessions de formations orientées publication sont également proposées pour les profils de type « webmestre » Contact : Pôle TICE du Rectorat : www.pedagogie.ac-nantes.fr (rubrique TICE) Le CRDP propose aux enseignants des formations thématiques pour les accompagner dans leurs usages d’elyco. Elles peuvent être proposées dans les CDDP tout au long de l’année (sur inscription), ou se dérouler dans un établissement à la demande du chef d’établissement (éventuellement par regroupement sur un bassin). Contact : Le chargé des TICE du CDDP de leur département (http://www.crdp-nantes.fr/) Personnels de direction L'utilisation des logiciels d'emploi du temps, de création des listes, la gestion des bases, etc. représentent un maillon déterminant pour une bonne remontée d'informations dans e-lyco. De bonnes pratiques sont à recommander et à mettre en place. Afin de satisfaire à ces besoins, un groupe de Chefs d'établissement référents a été organisé pour l’accompagnement des usages et le support au pilotage pédagogique au sein des EPLE Cette équipe se situe dans une perspective d’aide technique et d’assistance logicielle, mais également de conseil, d’échange de pratiques, de proposition de pistes pour répondre à des projets de mise en œuvre permettant le développement des usages d’e-lyco au sein des EPLE. Cette équipe académique a également pour mission de réaliser de la documentation et de la formation dédiée. Contact : [email protected] et pôle TICE du Rectorat Coordinateurs informatiques, pédagogiques et administrateurs e-lyco Une liste de diffusion est à disposition pour échanger et s’entraider sur des aspects fonctionnels ou techniques. Cette liste n’est en aucun cas une substitution à l’assistance mais permet par l’échange avec des pairs de faire vivre des informations utiles à tous. Comme toute liste de diffusion institutionnelle, elle n’est pas un lieu d’expression d’humeur. Contact : [email protected] Version V2012-2013 page 26/38 Référentiel régional du numérique 4. POSTES DE TRAVAIL ET PERIPHERIQUES 4.1. Définition des types de postes de travail Les nouveaux postes de travail disposeront de la dernière version du système d’exploitation poste de travail Windows avec la possibilité de basculer sous XP. Chaque poste sera équipé de base avec la suite bureautique LibreOffice. Les portables et les deux3 types de postes proposés aux établissements ont les caractéristiques techniques minimum suivantes : Poste de travail Poste standard (bureautique/multimédia) Type 1 Caractéristiques techniques o o o o o o o o o o Poste évolué (CAO/DAO/Dessin) Type 2 o o o o o o o o o o o Portable o o o o o o o Processeur fréquence de dernière génération 1 carte réseau compatible PXE 4 prises USB dont 2 en façade + prise jack 3,5mm en façade RAM 4 Go mini DD 250 Go mini Lecteur CD/DVD 2 emplacements PCI libres après adjonction des cartes (carte réseau WIFI en option) Interface graphique avec double sortie vidéo (VGA – DVI) Carte son intégré à la carte mère Ecran plat 19 pouces (double alimentation VGA – DVI) Processeur fréquence de dernière génération 1 carte réseau compatible PXE 4 prises USB dont 2 en façade + prise jack 3,5mm en façade 1 port série RAM 8 Go mini DD 250 Go mini Lecteur CD /DVD 2 emplacements PCIE libres après adjonction des cartes (carte réseau WIFI) Interface graphique dédiée 1 Go avec double sortie vidéo (VGA – DVI) compatible avec les logiciels de CAO-DAO Carte son intégrée à la carte mère Ecran plat 22 pouces (double alimentation VGA – DVI) Processeur fréquence de dernière génération RAM 3 Go mini DD 320 Go mini 1 carte réseau RJ45 et WIFI intégrées Graveur DVD RW double couche Sacoche de transport et de protection Ecran 15.6 pouces mini avec pavé numérique intégré CAS PARTICULIERS L’acquisition de postes de type MAC sera limitée aux seuls établissements ayant des applications nécessitant absolument l’utilisation de MAC. 3 Les postes de type T3 ont été supprimés avec la généralisation des vidéos numériques Version V2012-2013 page 27/38 Référentiel régional du numérique 4.2. Quotas de postes par établissement Les quotas de postes de travail par élève (hors postes administratifs et salle médialangue) se calculent en fonction du type de lycée et de leur taille, comme suit : Type/Nombre d’élèves Lycée Professionnel Lycée Enseignement Général et Technologique INF à 500 SUP à 500 Tertiaire 1/2 1/2 Industrie 1/2 1/2 Technologique 1/2 1/2 Tertiaire 1/2 1/2 Enseignement Général 1/3 1/4 4.3. Acquisition d’ordinateurs portables ou mini-portables Des ordinateurs portables seront mis à disposition de l’équipe de direction pour des besoins de communication et de promotion de son établissement selon les quotas suivants : Nombre d’élèves Nombre de portables 0 - 500 2 500 – 1200 4 + 1200 6 Par ailleurs des ordinateurs portables ou mini-portables à usage pédagogique pourront être mis à disposition de l’établissement uniquement en accord avec les corps d’inspection (exemple des « portables légers » pour les enseignements Physique-Chimie et SVT) ou la DRAAF (DRTIC) pour l’enseignement agricole. 4.4. Politique en matière d’impression Depuis 2009, les établissements sont amenés à choisir eux-mêmes leurs imprimantes en fonction du nombre de copies et de leur parc et à négocier avec chaque fournisseur en conséquence. La Région préconise dans cette optique, d’utiliser un système de gestion des impressions afin de comptabiliser le nombre d’impressions par utilisateur. Ce système de gestion peut être une solution matérielle à l’aide de copieurs ou une solution logicielle de gestion des quotas centralisés sur un serveur. Dans la mesure où l’établissement souhaite un système de gestion des impressions basé sur des copieurs voici quelques fonctionnalités préconisées pour ces copieurs : Version V2012-2013 page 28/38 Référentiel régional du numérique • • • • • Gestion des impressions par utilisateur (ou par poste de travail) permettant l'impression différées, une meilleure gestion des documents à la sortie, la gestion des quotas etc. Système d’authentification des utilisateurs par code, carte (compatible avec d'autres cartes de l'établissement), ou annuaire type LDPA.; Une interface conviviale à destination d'un public non informaticien ; Système de gestion/tableau de bord des quotas (gestionnaire et élève) La fonction « scanner » A3/A4 couleur (copieurs couleurs) avec trieuse aux formats pdf, jpg, png etc. vers FTP/SFTP, email etc. (attention aux flux entrants/sortants vers l'extérieur, qui sont à éviter pour des raisons de sécurité). 4.5. Scanners A3 Les équipes pédagogiques et les élèves auront à leur disposition un scanner A3 accessible à tous, soit le plus souvent au CDI. L’acquisition d’un second scanner A3 sera étudiée par la Région ou acquis par l’établissement. Les caractéristiques techniques minimum sont les suivantes : • • • Résolution optique 1200x1200 DPI. Echantillonnage couleur 48 bits. Carte réseau si besoin L’acquisition des scanners A4 est du ressort de l’établissement. 4.6. Vidéo projecteurs Les vidéo projecteurs seront livrés soit mobiles équipés d’une sacoche, soit fixes avec sonorisation au choix de l’établissement. Pour les vidéoprojecteurs fixes, les commandes déportées seront intégrées aux prestations d’installation. L’objectif reste d’équiper chaque salle d’un vidéoprojecteur associé à un poste de travail. La participation de la Région des Pays de la Loire sera de 50% pour toute acquisition ou renouvellement. Avec l’évolution des technologies et des coûts, les vidéoprojecteurs seront à terme livrés dans un premier temps en courte focale et éventuellement « interactif ». Les caractéristiques minimales sont les suivantes : • • • • • • • résolution = VGA ou XGA compatibilité vidéo = NTSC, PAL, SECAM luminosité = 2600 ANSI lumen rapport de contraste = 2000 :1 full on/full off en DLP durée de vie de la lampe = minimum 2000 heures ou 3 ans de garantie durée de refroidissement =< 3s niveau de bruit = moins de 30 décibels Version V2012-2013 page 29/38 Référentiel régional du numérique 5. SALLE MEDIALANGUE - SALLES MULTIMEDIAS La Région des Pays de la Loire en collaboration avec l’académie de Nantes met en place des pôles langagiers autour du concept de « salle médialangue » pour favoriser l’apprentissage des langues. Les logiciels spécifiques commerciaux initialement acquis pour les salles multimédias ne sont donc plus financés par la Région. Toute transformation de salles multimédias s’accompagne soit : - d’un projet de transformation en salle médialangue - d’un reconditionnement en salle informatique standard. Pour toute demande de transformation en salle médialangue, un projet pédagogique et technique est bâti en concertation entre la Région, le Rectorat et les enseignants de l’établissement concerné. 6. DOSSIER DE SITE Un dossier de site devra être élaboré par l’administrateur réseau et mis à jour sur la base d’une révision annuelle ou à chaque modification importante de l’architecture réseau et/ou système. Ce dossier de site devra contenir au minimum les éléments suivants : la description physique et logique du réseau ; le paramétrage de chaque élément actif ; le paramétrage des serveurs ; la liste des masters ; la procédure de clonage ; la procédure de sauvegarde et de restauration ; l’inventaire des matériels (par salle). Un exemple de dossier de site est fourni sur le forum des administrateurs réseaux à l’adresse http://forum.lycees.paysdelaloire.fr. Version V2012-2013 page 30/38 Référentiel régional du numérique 7. POLITIQUE DE RENOUVELLEMENT ET RECYCLAGE 7.1. Politique de renouvellement Tous les équipements d’infrastructures (serveurs et matériels actifs) seront renouvelés sur la base d’un audit et du plan d’évolution de chaque établissement. Les vidéoprojecteurs et les scanners A3 sont renouvelés suite à des pannes et selon le quota associé. Les postes informatiques de type 1 et 2 sont comptabilisés après 5 ans révolus. Les portables après 3 ans révolus. L’analyse s’effectue selon les modalités suivantes : - La demande des lycées dont l’outil d’inventaire GLPI n’a pas été renseigné ou que trop partiellement (date d’achat non renseignée à plus de 25%) ne pourra pas être étudiée. - Les demandes en PC des lycées dépassant le quota ne pourront pas été prises en compte. Ce quota est calculé en fonction du nombre d’élèves et du type d’établissement et a été élaboré en concertation avec les corps d’inspection pour l’enseignement des jeunes. - Sont exclus du quota : les PC de l’administration et de la vie scolaire ainsi que ceux de la salle médialangue. 7.2. Recyclage des équipements La mise en place d’un marché spécifique permet le recyclage de l’ensemble des équipements informatiques et audiovisuels sur la base d’une récupération annuelle des équipements usagers ou obsolètes. Version V2012-2013 page 31/38 Version V2012-2013 Stations mobiles BTS MUC / NRC Point d’accès tertiaire Autres VLANs Les comptes du sous domaine tertiaire sont intégrés au groupe local Utilisateurs avec pouvoir. Service Tiny ERP Service Sugar CRM Service Ovidentia Applications pédagogiques (AthénoGRE, livret AM…) Services en DMZ Serveur de travail coopératif Organisation Organisation Organisation Organisation Serveurs de données (SQL Server, MySQL, PostgreSQL) Organisation Serveurs d’applications métier (CEGID, MS-CRM, SugarCRM, TinyERP…) Serveurs de données et d’applications (VLAN tertiaire) SAN Base de comptes locale Base de comptes locale Domaine indépendant Base de comptes locale Dossiers Personnels Dossiers Ressources Dossiers Echanges Dossiers Profils Applications transversales et utilitaires Sous domaine tertiaire Domaine général Serveur de fichiers Serveur tertiaire IACA (VLAN Serveurs) Annuaire Applications bureautiques Clients lourds des applications client/serveur Applications métiers installées en locale Parc tertiaire IACA VLAN tertiaire Serveurs dédiés au tertiaire (physiquesouvirtuels) Référentiel régional du numérique ANNEXE 1 : ARCHITECTURE TERTIAIRE page 32/38 Référentiel régional du numérique ANNEXE 2 : Détails techniques Utilisation du wifi Nomenclature des types de réseau wifi en fonction des mécanismes de sécurisation utilisés Le type de réseau wifi dépend des associations entre chiffrement et authentification. L'indice obtenu ne correspond pas systématiquement à un niveau de sécurité ou de confiance mais permet de lire les tableaux suivants. Authentification des utilisateurs ou des postes Aucune EAP/*TLS EAP/*TLS avec authentification du serveur par certificat vérifié Type d'authentification utilisée Type d'authentification utilisée ou EAP basique Basique Certificat Certificat, Clef privée incopiable Basique Certificat Certificat, Clef privée incopiable Aucun ou clef partagée / WEPCertificat Certif. Clef privée incopiable 1 1 1 1 1 1 1 WPA (TKIP) 2 2 3 4 5 6 7 WPA2 (AES) 2 2 8 9 10 11 12 Chiffrement des communications Recommandations d’utilisation en fonction des données potentiellement accessibles Le niveau de sécurité des communications wifi (donc le type de réseau) dépend des ressources accédées ou accessibles. L'adéquation est synthétisée dans le tableau ci-dessous. Zone E Zone P Zone A Intranet académique, intranet inter académique 1 Non Non Non Non 2 Non Non Non Non 3 A vérifier A vérifier Non Non 4 A vérifier A vérifier Non Non 5 Possible Possible Non Non 6 Possible Possible Non Non 7 Possible Possible Non Non 8 A vérifier A vérifier Non Non 9 A vérifier A vérifier Non Non Ressources accédées Type wifi Version V2012-2013 page 33/38 Référentiel régional du numérique 10 Possible Possible Non Non 11 Possible Possible A vérifier Non 12 Possible Possible A vérifier A vérifier « A vérifier » : à vérifier par une étude de sécurité et analyse de risques Type de wifi pour l’interconnexion de bâtiments L'utilisation du wifi en mode pont permet d'interconnecter les réseaux informatiques de bâtiments distincts. Comme différents réseaux d'une même structure peuvent être présents dans les différents bâtiments, une telle interconnexion peut transporter simultanément plusieurs zones. Dans ce cas, le niveau de sécurité à mettre en place sera celui de la zone la plus exigeante. L'authentification concerne les points d'accès et non plus les utilisateurs ou postes. Ressources transportées Zone E Zone P Zone A, Intranet académique, intranet inter académique Chiffrement/ authentification Aucun ou WEP Clés partagées Non Non Non WPA (TKIP) Clés partagées A vérifier A vérifier Non Certificat A vérifier A vérifier Non Clés partagées A vérifier A vérifier Non Certificat Possible Possible A vérifier 3, 4, 6, 7 WPA2 (AES) 8, 9, 11, 12 « A vérifier » : à vérifier par une étude de sécurité et analyse de risques Version V2012-2013 page 34/38 Référentiel régional du numérique Raccordement des équipements de GTB Version V2012-2013 page 35/38 Référentiel régional du numérique Normes et standards des équipements actifs Version V2012-2013 page 36/38 Référentiel régional du numérique Service assurés par Amon Services réseaux Services d’administration Version V2012-2013 Routage IP (iproute2) Routage IP intégré multi interfaces Prise en compte de 4 interfaces minimum. Secours de lien pour 2 interfaces externes Filtrage par @ IP (Netfilter) Fonctionnement en « statefull Firewall ». Gestion des DMZ à partir de 4 interfaces. Filtrage par utilisateur (NuFW) Application d’une politique de sécurité par utilisateur / groupe / application / OS. Connexion aux annuaires AD ou Ldap Filtrage URL (DansGuardian) Gestion des filtres URL conformément à la politique académique : obligatoire (non modifiable) personnalisable par groupe de filtres Détection d’attaque (Snort) Détection d’attaque sur les ports ouverts de la machine, d’intrusion, de dénis de service ou de débordement de buffers. Analyse des entêtes et du contenu des paquets (IP, TCP, UDP et ICMP). Proxy WEB (Squid) « proxy cache » permettant d’accélérer les connexions Internet en plaçant en mémoire les sites les plus visités. Permet le surf authentifié pour la zone pédagogique Redirections WEB (NGinx) Module embarqué assurant le rôle de « reverse proxy » pour rediriger les requêtes web entrantes Serveur de nom (Bind) Résolution des noms de machines en adresse Ipavec prise en compte de domaines locaux et distants (par forward) R.V.P sous IP (FreeSwan) Création de réseaux privés virtuels intégrant le protocole IPSEC et des certificats au format X509 qui permettent de communiquer entre zones de confiance conformément au projet Agriates et à la DPC/PC2 du M.E.N DHCP Attribution automatique d’adresses IP pour les postes administratifs et pédagogiques. Authentification (PAM) Basée sur différents protocoles : LDAP, ActiveDirectory, SAMBA, NDS, NIS, Radius. Connexion à distance (SSH) Administration locale (EAD2) Outil de prise en main en mode ligne/texte (équivalent de Telnet crypté et sécurisé) Outil d’administration locale à l’établissement permettant d’effectuer des tâches simples et d’agir sur les paramètres modifiables. Plusieurs niveaux d’habilitation le rendent utilisable par les équipes de maintenance du Rectorat ou de l’établissement Mise à jour automatique (aptitude) Synchronisation avec un serveur de référence. page 37/38 Référentiel régional du numérique Services de contrôle Grapheur (RddTools) Outil permettant de stocker et de présenter sous forme graphique les informations du système et du réseau. Analyseur de logs Analyseur des fichiers log du pare-feu, création de rapports. Générateur de statistiques pour le proxy. Statistiques proxy (ProStat) Fonctionnalités minimales de l'outil d'administration des équipements actifs Supervision en temps réel des équipements existants Compilateur de MIB I et II pour les équipements tiers. Représentation graphique et cartographique de l'architecture physique du réseau. Représentation graphique et cartographique de l’architecture logique du réseau (VLAN). Représentation graphique des équipements avec vue des indicateurs d'états (y compris pour les liaisons hertziennes). Outil de découverte automatique des équipements en réseau. Outils de définition des profils exploitants et des droits d'accès associés. Outils de configuration des équipements. Base de données inventaire des équipements administrés. Outils de configuration des réseaux virtuels (VLAN). Outils de gestion de la qualité de services. Outils de configuration des règles de routage. Outils de configuration des règles de filtrage. Journal de bord des événements et des fautes. Outils d'assistance à l'interprétation des fautes. Outils de supervision et de gestion des remontées d'alarmes. Retransmission des alarmes sur une ou plusieurs boîtes aux lettres électroniques. Outils de gestion des statistiques de trafic. Statistiques et historique. Fonctionnalités spécifiques à l'administration des bornes wifi La détection des points d’accès au travers des liaisons sans fils La détection des interférences Le contrôle de la couverture d’émission des points d’accès. Le contrôle de fonctionnements des serveurs d’authentification du réseau Le contrôle des tentatives répétées d’authentification ou d’autres types d’attaques (Brutes forces, corruption, MITM…) Le contrôle des bornes Le suivi des utilisateurs La mise à jour du firmware des bornes La configuration en masse des équipements (configuration globale ou particulière) La remontée des incidents matériels des bornes WIFI Version V2012-2013 page 38/38