2. Référentiel technique systèmes-réseaux

Transcription

LE NUMERIQUE DANS LES LYCEES
REFERENTIEL TECHNIQUE
A L’USAGE DES COORDINATEURS INFORMATIQUES
PARTIE « SYSTEME ET RESEAU »
Version 2012-2013
Rectorat Académie de Nantes
4 chemin Houssinière
44 000 Nantes
DRAAF - SRFD
12 rue Menou
44 000 Nantes
Région des Pays de la Loire
1 rue de la Loire
44 000 Nantes
Référentiel régional du numérique
-------------------SOMMAIRE
-------------------Introduction .............................................................................................................................................. 4
1.1. Objectifs .................................................................................................................................................... 4
1.2. Révision du document............................................................................................................................... 4
2.
Architecture réseau ................................................................................................................................. 5
2.1. Principes d’architecture ............................................................................................................................. 5
1.
2.1.1.
2.1.2.
2.1.3.
2.1.4.
2.1.5.
2.1.6.
2.1.7.
2.1.8.
2.1.9.
2.1.10.
Architecture logique .................................................................................................................................... 5
Description des zones ................................................................................................................................ 6
Règles de confinement inter-zones ............................................................................................................ 7
Architecture physique ................................................................................................................................. 7
Adressage IP .............................................................................................................................................. 7
Segmentation du réseau ............................................................................................................................. 8
Spécificité du tertiaire ................................................................................................................................. 8
Utilisation du WIFI ....................................................................................................................................... 9
Télémaintenance ........................................................................................................................................ 9
Gestion technique de bâtiment (GTB) ...................................................................................................... 10
2.2. Composants réseau ................................................................................................................................ 11
2.3. Mutualisation des ressources : architecture « Agriates II » ..................................................................... 12
3.
Architecture système ............................................................................................................................. 13
3.1. Service de sécurisation et d’accès au réseau ......................................................................................... 13
3.1.1.
3.1.2.
Caractéristiques techniques ..................................................................................................................... 13
Paramétrages du pare-feu ........................................................................................................................ 14
3.2. Service d'authentification, d'annuaire et de stockage.............................................................................. 16
3.2.1.
3.2.2.
Serveur administratif ................................................................................................................................. 16
Espace de stockage ................................................................................................................................. 16
3.3. Service pour assurer la continuité et la qualité de service ...................................................................... 17
3.3.1.
3.3.2.
3.3.3.
Service de sauvegarde ............................................................................................................................. 17
Service de gestion des journaux .................................................................................................................... 18
Service de supervision et d'exploitation de l'infrastructure............................................................................. 18
3.4. Système d’exploitation des serveurs et logiciels associés ...................................................................... 18
3.5. Service en ligne, espace numérique de travail E-LYCO ......................................................................... 20
3.5.1.
3.5.2.
3.5.2.1.
3.5.2.2.
3.5.3.
3.5.3.1.
3.5.3.2.
3.5.3.3.
3.5.4.
3.5.4.1.
3.5.4.2.
3.5.4.3.
3.5.4.4.
3.5.5.
3.5.6.
3.5.6.1.
3.5.6.2.
4.
Définition d’un ENT : ................................................................................................................................. 20
Le projet e-lyco : ....................................................................................................................................... 20
Contexte ................................................................................................................................................... 20
Objectifs .................................................................................................................................................... 20
Trois niveaux de portails ........................................................................................................................... 20
Le portail général : .................................................................................................................................... 21
Le portail Régional : .................................................................................................................................. 21
Le portail d’établissement : ....................................................................................................................... 21
Documentation .......................................................................................................................................... 21
Le kit de déploiement e-lyco : ................................................................................................................... 21
La documentation fonctionnelle pour les usages : .................................................................................... 22
Les connecteurs ....................................................................................................................................... 23
Le SDET (Schéma Directeur des ENT) .................................................................................................... 23
Création des comptes ............................................................................................................................... 24
Assistance et formations ........................................................................................................................... 25
Organisation de l’assistance : ................................................................................................................... 25
Formations, accompagnement : ............................................................................................................... 25
Postes de travail et périphériques ........................................................................................... 27
4.1.
4.2.
4.3.
4.4.
4.5.
4.6.
Définition des types de postes de travail ................................................................................................. 27
Quotas de postes par établissement ....................................................................................................... 28
Acquisition d’ordinateurs portables ou mini-portables ............................................................................. 28
Politique en matière d’impression ........................................................................................................... 28
Scanners A3............................................................................................................................................ 29
Vidéo projecteurs .................................................................................................................................... 29
Version V2012-2013
page 2/38
5.
6.
7.
Salle medialangue - Salles multimédias .................................................................................. 30
Dossier de site ........................................................................................................................... 30
Politique de renouvellement et recyclage ............................................................................... 31
7.1. Politique de renouvellement .................................................................................................................... 31
7.2. Recyclage des équipements ................................................................................................................... 31
Version V2012-2013
page 3/38
1. INTRODUCTION
1.1. Objectifs
Le présent document présente les principes d’architecture réseau et système qui seront
communs à tous les lycées de la Région des Pays de la Loire et les règles d’acquisition des
équipements informatiques et audiovisuels.
Ce référentiel régional constitue la base pour les acquisitions d’équipements informatiques et
audiovisuels pour toute demande de renouvellement ou de nouvelle acquisition.
1.2. Révision du document
L’ensemble des pré-requis, recommandations, techniques et logiques doivent évoluer, d’une part
avec les évolutions des pratiques pédagogiques et des usages des utilisateurs et d’autre part avec les
évolutions des technologies de communication.
Ce document sera mis à jour sur la base d’une révision bisannuelle ou dans le cadre d’un
élément majeur (nouvelles technologies, nouvelles directives pédagogiques).
Version V2012-2013
page 4/38
2. ARCHITECTURE RESEAU
2.1. Principes d’architecture
2.1.1.
Architecture logique
Généralités
Le réseau d'un établissement est un réseau global mutualisant les moyens d'accès
administratifs et pédagogiques et utilisant le protocole IP pour le dialogue entre les équipements.
Il est régi par une politique de sécurité locale respectant la politique académique et nationale,
sous la responsabilité de la Personne Juridiquement Responsable (PJR) représentée par le Chef
d'Etablissement.
La mise en place de réseaux physiquement séparés du réseau global d’établissement est
cependant autorisée, pour des enseignements de Sections de Techniciens Supérieurs (STS)
particuliers.
Le réseau global se décline en quatre zones au minimum, séparées par une passerelle de
sécurité. Ces zones peuvent elles-mêmes être segmentées en plusieurs sous-zones en fonction de
leur mise en œuvre technique. Il est organisé autour d'un équipement fédérateur, relié à des
commutateurs d'extrémité selon une topologie de type « étoile » à deux niveaux de hiérarchie. Il doit
être capable de segmenter et d'isoler les populations selon plusieurs zones dites « de confiance ». Le
commutateur fédérateur peut assurer les fonctions de routage et de filtrage entre les sous-zones au
sein de la partie pédagogique
L’accès Internet de l’établissement est centralisé sur un seul point de connexion protégé par
la passerelle de sécurité. Celle-ci doit assurer les fonctions de pare-feu, filtrage d'URL et routage inter
zone. La passerelle peut se décomposer en briques indépendantes et cohérentes qui assureront ces
fonctions.
L’architecture logique est la suivante :
Version V2012-2013
page 5/38
Robustesse de l’accès Internet
Pour bénéficier d'une disponibilité constante de l'accès Internet et face à la diversité des cas de
figure à traiter, il est préférable d'opter pour des abonnements disposant d'une garantie de temps
d'intervention (GTI) et une garantie de temps de rétablissement (GTR) compatibles avec les
exigences des usages pédagogiques et administratifs.
Ce besoin de haute disponibilité ne doit pas être confondu avec la répartition de charge des
accès sortants qui n'est pas préconisée en raison de son incompatibilité avec certaines applications
(par exemple les accès du réseau administratif aux applications nationales).
2.1.2.
Description des zones
L’organisation des zones est la suivante :
La zone I (Internet) doit être l'unique point d'accès à Internet pour le site concerné, mutualisant
administration et pédagogie.
La zone E (DMZ privée) est la zone où se trouvent les ressources de l'établissement à visibilité
locale (partagée entre les zones P, A ou Z) ou académique.
La zone P (Pédagogie) est la zone intranet dite d'enseignement de l'établissement accessible par
toute personne de l'EPLE dont les élèves.
La zone A (Administratif) est la zone intranet accessible à tous les agents de l’établissement au
sein de l'EPLE (ou ayants droits désignés par le chef d'établissement).
Version V2012-2013
page 6/38
La zone Z (DMZ publique) est la zone optionnelle de transit des utilisateurs qui arrivent d'Internet
et qui désirent accéder à des services offerts par l'établissement scolaire via des relais applicatifs. La
visibilité des ressources est nationale ou internationale.
Les zones A, E et P doivent être présentes dans le LAN de l'EPLE. La zone Z est facultative.
2.1.3.
Règles de confinement inter-zones
Par son statut, le chef d'établissement exerce une responsabilité sur l'ensemble des ressources
et de la sécurité au sein de toutes les zones décrites.
Les règles de filtrage réseau régies par la passerelle de sécurité devront respecter le tableau
suivant :
De \ vers
Zone A
Zone A
Zone P
Zone E
Zone Z
Zone I
Autorisé
Autorisé
Autorisé
Autorisé
Contrôlé
Autorisé
Autorisé
Autorisé
Contrôlé
Zone P
Interdit
Zone E
Interdit
Contrôlé
Zone Z
Interdit
Interdit (*)
Contrôlé
Zone I
Interdit
Interdit
Interdit
Contrôlé
Contrôlé
(*) signifie que des dérogations, sous la responsabilité du chef d'établissement, doivent se faire
en coordination avec les services rectoraux.
2.1.4. Architecture physique
L’ensemble des spécifications détaillées de mise en œuvre et d’implémentation du réseau
physique de l’établissement ainsi que la topologie des points d’accès sont décrits dans partie
« câblage » du référentiel de la Région Pays de la Loire.
2.1.5. Adressage IP
La mise en œuvre du plan d’adressage, le positionnement des ressources informatiques ainsi que
l’adressage des VLAN sont décrits dans le document de préconisation académique « DPA_CTRE_Plan
adressage-2010 » disponible sur http://ctre.ac-nantes.fr (rubrique architecture IP).
Le plan d’adressage IP du Rectorat définit les classes d’adresses RFC1918 mises à disposition de
l’établissement pour assurer la communication des zones A, P, Z, E et I.
Des classes d'adresses IP distinctes sont attribuées à chaque établissement afin d'identifier une
ressource de manière unique au niveau académique.
Les classes d'adresses ont été prévues pour desservir autant de postes informatiques que le nombre
d'élèves et d'enseignants. Elles sont de la forme :
•
10.<numéro de département>.<numéro chronologique>.0/24 pour les postes administratifs
•
10.1<numéro de département>.<numéro chronologique>.0/24 pour les serveurs
•
172.X.Y.0/masque pour les postes pédagogiques
•
192.168.220 à 192.168.239 pour identifier des ressources à portée locale, non routables au niveau
académique
Version V2012-2013
page 7/38
2.1.6. Segmentation du réseau
Le réseau global d'établissement est segmenté en sous-réseaux par la technologie des Vlans.
Le document de préconisation académique « DPA_CTRE_Plan adressage-2010 » disponible
sur http://ctre.ac-nantes.fr (rubrique architecture IP) définit d'une part les sous-réseaux présents a
minima dans l'établissement, et d'autre part les règles de filtrage des adresses IP (ou des plages
réseaux) régies par le ou les commutateurs fédérateurs.
Le pare-feu devant router et filtrer les zones A I Z et E, les Vlans qui en découlent doivent être
définis au niveau 2.
Le schéma suivant montre un exemple de répartition des Vlan dans une architecture classique.
Il est susceptible d'évoluer.
2.1.7. Spécificité du tertiaire
Les équipements propres au secteur tertiaire seront dans un sous-réseau (VLAN) tertiaire pour
faciliter l’intégration des applications métier et pour offrir la souplesse nécessaire à la prise en compte
de l’évolution des besoins d’enseignement. En effet, les pratiques d’enseignement intègrent de plus en
plus de simulations et d’analyse du système d’information et nécessitent une gestion décentralisée des
droits d’accès. Par ailleurs, le tertiaire dispose d’applications pédagogiques spécifiques telles que :
- des systèmes de gestion de bases de données (SQL Server, MySQL, PostgreSQL) ;
- des applications métier (type CEGID, MS-CRM, SugarCRM, openERP…) ;
- d'environnement de travail collaboratif (type OVIDENTIA) ;
Version V2012-2013
page 8/38
-
d'outils pédagogiques (AthénéoGRE, livret de compétences informatiques et bureautiques en STS
Assistant de manager, par exemple).
Ces services seront installés sur des serveurs physiques ou virtuels qui seront placés soit dans
le vlan tertiaire s'ils ne sont accessibles que de celui-ci, soit dans les VLAN serveur ou DMZ, s'ils sont
accessibles depuis l'internet.
L'ensemble des comptes et des ressources propres au secteur tertiaire seront gérés au niveau
d'un domaine tertiaire, sous-domaine du domaine de l'établissement ; ce sous-domaine est nécessaire
pour permettre l’application des stratégies de domaine requises par les applications métier. Ce serveur
sera situé sur le VLAN serveur (ci-joint l'architecture logique en annexe 1).
2.1.8. Utilisation du WIFI
Au regard des risques de sécurité inhérents à la technologie, la mise en œuvre du wifi doit
s'effectuer dans les conditions de sécurité adaptées à l'accès au système d'information de
l'établissement ou aux ressources des réseaux RACINE et AGRIATES (cercles de confiance intranet
inter académiques et intranet académique).
Conformément aux recommandations du Ministère de l’Education Nationale1, l’utilisation de la
technologie sans fil wifi est soumise aux principes suivants :
•
toute installation de réseau wifi susceptible d’ouvrir des accès aux ressources internes du
système d’information académique doit être signalé par l’établissement à l'Ingénieur
Sécurité Racine (ISR) de l’académie, auquel il appartiendra de faire contrôler que les
conditions de sécurité requises sont remplies ;
•
toutes les bornes wifi doivent appartenir à un VLAN dédié « wifi » (les accès à ce VLAN
devront être contrôlés par un dispositif de sécurité type pare-feu ou équivalent) ;
•
les postes de travail (et dans la mesure du possible les utilisateurs) devront être authentifiés
et les échanges chiffrés. Les protocoles 802.11i/WPA2 associés à une authentification
utilisateur de type EAP/RADIUS seront privilégiés ;
•
dans le cas d’accès à des ressources sensibles (RACINE), une authentification forte sera
privilégiée. Cependant, il est de la responsabilité de l’ISR de proposer à la PJR du site la
solution qu’il jugera adaptée aux besoins et au contexte.
Afin de faciliter le choix du niveau de sécurité à mettre en œuvre, y compris pour les portails
captifs, l’annexe 2 présente pour les deux domaines où l’emploi du wifi est parfaitement justifié (le
traitement de la mobilité et l’interconnexion de structures) :
2.1.9.
•
une nomenclature des types de réseau wifi en fonction des mécanismes de sécurisation
utilisés ;
•
les recommandations d’utilisation en fonction des données potentiellement accessibles.
Télémaintenance
Les accès pour l'administration à distance des équipements sont définis compte-tenu des
exigences de disponibilité, intégrité, confidentialité et traçabilité de l'opération. Généralement un
dispositif de télémaintenance au travers d'un accès sécurisé fourni par le Rectorat permet de répondre
aux besoins de télémaintenance, les dispositifs type « LogMeIn » ou « TeamViewer » sont proscrits.
1
Note DPMA A3/MB 2006-0098 du 18/05/2006 : Mise en œuvre de bornes wifi ouvrant des accès aux
ressources internes du système d’information
Version V2012-2013
page 9/38
2.1.10. Gestion technique de bâtiment (GTB)
La Gestion Technique du Bâtiment (GTB) désigne un système électronique permettant de gérer les
équipements « techniques » d’un bâtiment tels que le chauffage, la climatisation, la ventilation,
l'électricité.
L’ensemble de ces systèmes est pilotable aujourd’hui par des logiciels installés sur des postes de
contrôle locaux ou distants. L’accès à ces informations est sensible notamment en cas de modification
de variables, c’est la raison pour laquelle il doit être contrôlé et protégé.
Les préconisations d’implémentation de sondes et concentrateurs de GTB peuvent être consultées
sur http://ctre.ac-nantes.fr (rubrique architecture IP). Elles prévoient que :
-
l’exposition des ressources de GTB sur la zone DMZ publique de l’établissement est
proscrite ;
l’ensemble des flux permettant l’administration distante de ces équipements de GTB doit
emprunter d’une part le réseau ADRIATIC reliant la collectivité au point de concentration
académique et d’autre part le réseau AGRIATES reliant le point de concentration aux
réseaux d’établissements.
Ainsi, il a été mis en place sur l'infrastructure du Conseil Régional un serveur de rebond permettant
à l’ensemble des acteurs intervenant sur la maintenance des équipements de GTB comme des
prestataires externes, une antenne locale du Conseil Régional ou le Conseil Régional lui-même, de
pouvoir accéder à l’ensemble des logiciels pilotant les modules GTB installés dans les établissements
en toute sécurité.
Le Conseil Régional assure l’accès contrôlé et sécurisé à ce serveur de rebond aux antennes
régionales et aux prestataires.
Le schéma en annexe 2 synthétise les accès mis à disposition pour l’administration et la
maintenance des équipements de supervision. Il doit être respecté par les soumissionnaires lors de la
rédaction de cahiers des charges de construction et ou rénovation de bâtiments.
Version V2012-2013
page 10/38
2.2.
Composants réseau
Quel que soit le mode de fourniture de l'équipement réseau (activation, renouvellement, achat sur
fonds propres), celui-ci devra posséder des qualités éprouvées en terme de robustesse et d’évolutivité
à 8 ans minimum.
Les équipements de commutation proposés devront supporter les normes et standards en vigueur
(notamment ceux approuvés par l'IEEE, l'IETF et l'ATM Forum) comme indiqué dans le tableau en
annexe 2. Ses capacités seront dimensionnées pour commuter les flux de toutes les interfaces à leur
débit maximal.
On considère deux types de commutateur :
•
Le cœur de réseau ou commutateur fédérateur niveau 3. Le commutateur fédérateur
regroupe l'ensemble des ressources serveur et la connexion des commutateurs d'extrémité.
Le raccordement direct des terminaux de travail n'est pas autorisé. Cet équipement est
installé dans le répartiteur général ;
•
Le commutateur d’extrémité niveau 2. Cet équipement sera installé dans les sous-répartiteurs
et le répartiteur général si besoin.
L’architecture matérielle du commutateur pourra être fixe ou modulaire et pourra être composée,
physiquement, d’un ou plusieurs équipements (stack).
Les préconisations académiques relatives aux options de configuration sont décrites dans le
document « DPA_CTRE_NPA_Equipements_actifs_N3 » disponible sur le site http://ctre.ac-nantes.fr
(rubrique architecture IP).
Celui-ci recense les bonnes pratiques en matière de configuration d'équipements actifs avec des
exemples concrets d'implémentation en ligne de commande (pour les marques Cisco, Nortel et HP). Il
est mis à jour selon une périodicité au moins équivalente à celle du présent référentiel.
Les thèmes suivants sont abordés dans ce document :
-
la sauvegarde automatique de configuration sur un point central
la configuration des interfaces, la gestion du spanning tree ou du multicast
la configuration des access-list
Ce document comporte un tableau de référence de firmware pour l'ensemble des équipements
actifs des lycées Pays de la Loire. Il est conseillé aux coordinateurs informatiques de mettre à jour leurs
équipements en suivant les procédures disponibles sur http://ctre.ac-nantes.fr - rubrique Architecture
IP.
En annexe de celui-ci sont présentées les configurations de référence de chaque type
d'équipement actif. Celles-ci pourront être mises en œuvre sur de nouveaux équipements introduits
dans le réseau physique des établissements ou pourront servir de cible à atteindre pour la configuration
des équipements existants.
Version V2012-2013
page 11/38
2.3.
Mutualisation des ressources : architecture « Agriates II »
La Région des Pays de la Loire et l'académie de Nantes travaillent au déploiement d'un nouveau
type d'infrastructure informatique pour les lycées. Celui-ci est fondé sur le nouveau modèle
d'architecture "AGRIATES 2" et s'appuie sur des infrastructures mutualisées, virtualisées et redondées
sur un point de collecte régional situé au rectorat de Nantes. Ce nouveau service a vocation à être
utilisé potentiellement par l'ensemble des lycées disposant d'un accès très haut débit Gigalis sur fibre
optique (incluant l’accès aux services de réseaux privés virtuels). Plusieurs lycées de la Région
bénéficient déjà de ce service depuis 2010, dans le cadre d’une phase pilote.
Ce service, impliquant le déplacement du pare-feu de l’établissement en un point de concentration
académique et son hébergement virtualisé sur des fermes de serveurs proposant également des
services réseau mutualisés, offre de nombreux avantages.
Sur le plan de la sécurité, il permet de consolider la politique de sécurité des systèmes
d'information par une meilleure gestion et une meilleure maitrise grâce à son application sur un point
central. Il autorise également la mise en œuvre d’outils évolués de sécurité, comme par exemple le
contrôle de trafic ou la détection et la prévention d’intrusion, améliorant la résistance aux agressions
extérieures.
Sur le plan de la qualité du service, il apporte via la mutualisation et les technologies de
virtualisation une forte tolérance aux pannes, de très hautes performances, une maintenance et une
exploitation facilitées, ainsi qu’une capacité à évoluer progressivement au fur et à mesure des besoins
tout en gardant la maitrise des coûts. Tous ces éléments contribuent à une amélioration de la qualité et
de la continuité du service ainsi qu’à une meilleure réactivité face aux demandes des établissements en
rapport avec des modifications de la politique de sécurité ou d’accès à de nouveaux services.
Sur le plan des nouveaux usages, cette architecture permet une interconnexion directe avec les
infrastructures académiques (puis avec les collectivités via le réseau ADRIA-TIC) et va donc également
faciliter la prise en compte des services de téléphonie sur IP, de visioconférence ou vidéo à la
demande. Elle permet également au travers de l’hébergement centralisé d’offrir des services réseaux
mutualisés comme par exemple des services d’annuaire et d’authentification réseau, des services
techniques IP (DNS, DHCP), la mise en ligne d’applications web, des espaces de stockage et des
capacités de sauvegarde.
Version V2012-2013
page 12/38
3.
ARCHITECTURE SYSTEME
Le principe d’architecture système retenu s'appuie sur quatre classes de services décrits dans les
documents de référence du S2I2E. Ces services peuvent être pris en charge par un ou plusieurs
serveurs, réels ou virtuels.
- Services de sécurisation et d'accès au réseau
- Services d'authentification, d'annuaire et de stockage utilisateurs
- Services pour assurer la qualité et la continuité du fonctionnement
De manière générale, l’ensemble des serveurs sera installé dans le répartiteur principal ou le local
serveur s'il existe. Ils seront encastrés dans une baie 19 pouces et gérés pour certaines via un
commutateur KVM.
Si une plateforme de virtualisation est choisie, elle devra être qualifiée avec les systèmes d'exploitation
de production et le matériel retenu. En outre, son fonctionnement devra être validé par le Rectorat pour
les modules académiques. Les bonnes pratiques figurent dans le document « DPA_CTRE_Plan
adressage-2010 » disponible sur http://ctre.ac-nantes.fr (rubrique architecture IP) et stipulent
notamment :
- Il peut y avoir un ou plusieurs vswitch sur un cluster de machines, chacun devant être connecté au
cœur de réseau selon l'état de l'art, notamment si on agrège les ports (Etherchannel en fail-over
ou load-balancing) ;
- Le trunk entre le cluster de serveurs de virtualisation et le cœur de réseau ne devra pas véhiculer
le Vlan admin. La configuration du mode « allowed vlan » est préconisée ;
- Sur une machine virtuelle, l’interface réseau n’appartiendra qu’à un seul Vlan : le trunk 802.1Q
n'est pas admis ;
- Si l'OS virtuel dispose de plusieurs interfaces, il ne devra ni bridger ni router l'Ethernet entre elles ;
- Dans le cas des cartes de migration à chaud (Ex vmotion) et de management, on peut fonctionner
en mode trunk et etherchannel sous réserve de compatibilité ;
- Le modèle EDUTICE (concentration de clients légers avec 2 interfaces réseau) est une exception
à ces bonnes pratiques : sa configuration étant maitrisée, cela ne rentre pas en conflit avec la
politique de sécurité.
3.1.
Service de sécurisation et d’accès au réseau
Les accès Internet des établissements publics sont sécurisés à l'aide d'un pare-feu issu du projet
EOLE2 (AMON-NG).
La configuration du pare-feu tiendra compte des évolutions vers les ENT et des contraintes liées
aux applications administratives de l’Education Nationale.
3.1.1. Caractéristiques techniques
Les caractéristiques techniques du serveur Amon sont les suivantes :
- Processeur de dernière génération
- Format 19 pouces avec alimentation redondante
2
EOLE Ensemble Ouvert Libre et Evolutif (http://eole.orion.education.fr)
Version V2012-2013
page 13/38
- 5 cartes réseau 100/1000 Mbit/s
- 2 DD en RAID 1
- 2 USB, 3 PCI
- lecteur de DVD-ROM
- OS à base d'UBUNTU installé par le Rectorat
Le pare-feu AMON assure les services de sécurisation et de filtrage réseau, d'administration et de
contrôle décrits en annexe 2.
3.1.2. Paramétrages du pare-feu
Les règles du pare-feu sont établies et modifiées par les équipes académiques conformément à
la politique de sécurité du Ministère de l’Education Nationale. L’assemblage de ces règles constitue un
modèle qui peut être appliqué à l’établissement.
Il existe plusieurs modèles standards AMON-NG permettant de gérer les redirections de ports
vers des serveurs situés en DMZ pour assurer :
- les transferts de fichiers (FTP) ;
- la messagerie (SMTP, POP3, IMAP4) ;
- les services web (http) ;
- les services de vie scolaire (Pronotes, Internotes)
La personnalisation d’un modèle standard à la politique d’établissement doit être précédée
d’une demande d’intervention et d’une validation des choix par les équipes académiques (notamment
pour l’administration distante).
Les paramètres modifiables sont listés ci-dessous :
Paramètres
modifiables
Services à
paramétrer sur
AMON NG
Modification par
Etat par défaut
Gestion des zones
Règles de pare-feu
(ajout ou suppression génériques
de zones)
Rectorat
Actif, modifiable par les
équipes académiques
Gestion des services
sur les DMZ
Règles de pare-feu
personnalisées
Rectorat
Inactif, nécessite une
reconfiguration pour leur
prise en compte
Activation du filtrage
d'URL par interface
DansGuardian
Rectorat
Actif, modifiable par les
équipes académiques
Dialogue en direct
(icq, chat)
Règles optionnelles
pour la zone P
établissement
Inactif, modifiable par
interface web
Messagerie (pop imap Règles optionnelles
smtp)
pour la zone P
établissement
interface web
Version V2012-2013
page 14/38
Paramètres
modifiables
Services à
paramétrer sur
AMON NG
Modification par
Etat par défaut
Transfert de fichiers
(ftp)
pour la zone P
établissement
interface web
Forums
pour la zone P
établissement
interface web
Tous les protocoles
sauf web
pour la zone P
établissement
interface web
Echanges peer to
peer
toutes zones
établissement
Actif, modifiable par
interface web
Poste de travail
(adresse IP)
toutes zones
établissement
interface web
Interface ou port IP
établissement
interface web
Amon-NG supporte des politiques de filtrage indépendantes qui peuvent être gérées par
différents administrateurs selon leurs habilitations. La configuration d'un filtre pour une zone donnée (A,
P, Z, E etc.) peut inclure :
1. des catégories de sites visités (thématiques)
2. des listes personnalisées
3. un filtrage syntaxique
4. des types MIME
5. des extensions
Un filtre peut être associé à des machines ou des utilisateurs en fonction des plages horaires.
Sous la responsabilité du chef d’établissement, la politique de filtrage des URL sera définie par
le « Comité TICE » en fonction des spécificités des disciplines et appliquée par l’administrateur du
réseau global d’établissement en coordination avec les administrateurs de domaine.
Type de restriction
Machine Amon
Filtrage d'URL évolué Règles optionnelles
Version V2012-2013
Responsabilité
établissement
Etat par défaut
Actif sur la base des listes
de Toulouse. Possibilité de
personnaliser via l'interface
web et de déléguer par
profil d'habilitation
page 15/38
3.2. Service d'authentification, d'annuaire et de stockage
Du fait de la responsabilité juridique liée à la fourniture d'accès au réseau et à Internet ainsi qu'au
caractère personnel de certaines données, tout utilisateur doit être identifié et authentifié de façon
unique avant d'accéder aux ressources, et cela à partir de n’importe quel poste de travail du réseau de
l’établissement.
Toute tentative d'accès doit être tracée ainsi que toute modification de l'annuaire.
Le service d'annuaire doit être alimenté à partir du système d'information notamment au travers
des outils académiques (SCONET, annuaire fédérateur ...).
Chaque établissement devra disposer de serveurs pour partager les ressources et les logiciels liés
à l’activité pédagogique ou administrative, cet espace venant compléter si besoin le stockage fourni par
l'ENT.
3.2.1. Serveur administratif
Le serveur de ressources sous Linux (HORUS), issu du projet EOLE du pôle de compétence du
Ministère de l'Education Nationale, est préconisé pour les applications client/serveur de gestion
administratives ou financières.
Par défaut, le serveur administratif sera installé dans le répartiteur général. Une demande
d’emplacement différente sera étudiée au cas par cas en accord avec l’établissement.
Les caractéristiques techniques sont les suivantes :
Serveurs administratifs
Horus
Caractéristiques techniques
o
o
o
o
o
o
o
Processeur de dernière génération, taille mémoire adaptée
Format 19 pouces avec alimentation redondante
2 cartes réseau 100/1000 Mbit/s
2 DD Go en RAID 1
2 USB, 3 PCI
lecteur de DVD-ROM
OS à base d'UBUNTU installé par le Rectorat
3.2.2. Espace de stockage
Le service de stockage doit offrir les mécanismes et les procédures permettant de mettre à disposition
des utilisateurs des espaces personnels sécurisés et partagés associés à des quotas définis par le
Comité TICE.
Elèves et Professeurs doivent posséder un compte ainsi qu'un répertoire personnel.
A titre indicatif, le calcul de l’espace disque nécessaire peut se faire selon la base suivante, sachant
que ce calcul peut évoluer en fonction des usages pédagogiques de l’établissement :
-
500 Mo par élève de seconde, première et terminale de l’enseignement général
5 Go par élève des sections industrielles, du tertiaire et de BTS
1 Go par étudiant de classes préparatoires
5 Go par professeur
100 Mo par agent technique territorial
Version V2012-2013
page 16/38
Les caractéristiques minimales de ces serveurs (susceptibles de gérer les documents de travail, les
outils systèmes et les applications) sont les suivantes :
Stockage mutualisé
o
o
o
o
o
o
o
o
Processeur fréquence de dernière génération
1 carte réseau
1 carte Fiber Chanel ou ICSI
Mémoire RAM de 24 Go évolutive à 48 Go
2 DD 146 Go en RAID 1
2 USB, 3 PCI
Lecteur de DVD
Système d’exploitation à préciser (linux ou Windows)
3.3. Service pour assurer la continuité et la qualité de service
Plusieurs modules doivent être présents dans l'infrastructure de l'établissement parmi lesquels :
•
•
•
la sauvegarde
la gestion des journaux
la supervision et l'exploitation de l'infrastructure
3.3.1. Service de sauvegarde
Le service de sauvegarde doit offrir les mécanismes et les procédures (fréquence, volumes,
supports, lieux) permettant de sauvegarder et de restaurer les données des utilisateurs et les données
techniques sensibles. Il doit permettre de s'interfacer avec les technologies SAN.
Pour le pare-feu, la sauvegarde est effectuée sur un serveur académique.
Le serveur Horus peut disposer d'une sauvegarde sur disque USB externe ou sur un NAS dédié à
la partie administrative. Dans ce cas il devra être installé uniquement sur le réseau administratif comme
défini dans le document d’implémentation d’architecture IP.
Pour la base de comptes élèves, une réplication doit exister sur un serveur secondaire.
Pour le serveur administratif, les serveurs applicatifs, les serveurs de fichiers et/ou le stockage de
masse, la politique de sauvegarde préconisée est la suivante :
- Une sauvegarde quotidienne des données
- Une sauvegarde hebdomadaire
- Une sauvegarde annuelle sur médias externes pour archivage
Pour les serveurs pédagogiques, un serveur de sauvegarde sera mis en service et hébergé dans
un local technique autre que le local technique principal.
Un espace partagé sur le serveur Horus d’une taille 100 Mo est disponible pour toute copie ou
sauvegarde des données sensibles de l'administration (bases de données GFC, presto, SAGESSE etc).
Une réplication de ces fichiers sur l'infrastructure du Rectorat est réalisée quotidiennement. Cette
fonctionnalité permet, en cas de sinistre majeur, de réduire les délais de la reprise d’activité et de
minimiser la perte d'informations.
L’activation de cette fonctionnalité nécessite une demande d'intervention auprès de la plateforme
inter académique.
Version V2012-2013
page 17/38
3.3.2. Service de gestion des journaux
Le cadre législatif et réglementaire impose des règles en terme de traçabilité. Les événements
tracés sont enregistrés dans des journaux (logs). Ils sont utilisés à des fins de supervision et
d'exploitation et pour répondre à des exigences légales.
Concernant le pare-feu, les logs de connexions et de filtrage d'URL sont consolidés et archivés sur
un serveur académique selon une périodicité journalière.
3.3.3. Service de supervision et d'exploitation de l'infrastructure
Afin de d'améliorer la qualité du service rendu, il est nécessaire de mettre en place une
organisation, des procédures et des outils de supervision et d'exploitation. Ceci inclut notamment les
remontées automatiques d'informations (indicateurs, alertes) d'inventaires et de gestion de parc.
La Région des Pays de la Loire et le Rectorat on collaboré pour offrir un service dont
l'hébergement local à l'établissement et/ou centralisé sur l'infrastructure académique, est fourni par les
logiciels :
- NAGEDU pour la supervision du réseau et des systèmes (centralisé) ;
- GLPI pour la gestion de parc, le helpdesk local à l’établissement ainsi que la gestion
documentaire (centralisé) ;
- Trend Micro pour la gestion des antivirus au travers d'une console « officeScan »
(local/centralisé) ;
- WSUS pour la gestion des MAJ d’OS MS Windows (local/centralisé).
Concernant les actifs réseaux, une plate-forme d'administration peut être mise en place pour tout
établissement quand le nombre d’équipements actifs le justifie et à condition qu’un administrateur
réseau soit formé et disponible à la gestion de cette plate-forme.
Une plate-forme d'administration des bornes wifi sera mise en place dans les établissements
concernés dès lors que l'architecture le justifie et au-delà de 10 bornes.
L'application de supervision et d'administration de réseau devra offrir les outils d'assistance en
mode graphique nécessaires à la gestion et à l'exploitation des équipements réseaux et devra intégrer
les fonctionnalités minimales décrites en annexe 2.
3.4. Système d’exploitation des serveurs et logiciels associés
En fonction du niveau de compétence de l'administrateur du réseau, de la structure, et des équipes
pédagogiques, il sera proposé deux systèmes d'exploitation et plusieurs logiciels d'administration de
comptes :
Système d’exploitation
Logiciels d'administration
Windows serveur
IACA
Linux
SCRIBE
Tout autre choix de logiciel d’administration ne pourra être soutenu en termes d’assistance et de
formation par la Région ou le Rectorat.
Version V2012-2013
page 18/38
Les fonctionnalités de base attendues par un établissement sont les suivantes :
Découpage
Fonctionnalité
Système d’exploitation
Serveur de fichiers (protocole CIFS)
Serveur d'impression (protocole LPD)
Logiciel d'administration
Pour les postes clients :
o
Prise en charge des clients Windows 9x/2000/XP et
Linux
o
Distribution centralisée des raccourcis sur les Bureaux et
les menus Démarrer Windows
o
Interface de configuration distante du registre Windows
des clients (9x/2000/XP)
o
Gestion fine de l'environnement par utilisateur, groupe,
machine ou parc de machines.
Pour les ressources serveur :
o
Mise en place d'espaces personnels, et d'espaces
partagés prédéfinis
o
Gestion fine des droits au niveau système de fichier
o
Création automatique de ressources classes avec droits
fins prédéfinis
o
Création de nouvelles ressources avec droits délégués
o
Déploiement des fichiers dans les espaces personnels
des utilisateurs
o
Gestion des quotas disque ou d'impression
Pour l'interface d'administration :
Délégation de droits au niveau de l'interface
o
Interface de sauvegarde sur bande
o
Mise à jour commandée par l'interface
o
Peuplement automatique de l'annuaire depuis les
fichiers (GEP LIBELLULE ou fichiers textes)
o
Interface de gestion de l'annuaire LDAP (avec
Import/Export total ou partiel)
o
Monitoring des ressources système et de l'occupation
mémoire
o
Affichage des connexions en cours ou passées
o
Outils tiers
Version V2012-2013
Protection des fichiers par un anti-virus
Sauvegarde / restauration des données sur support externe
Logiciel de clonage
page 19/38
3.5. Service en ligne, espace numérique de travail E-LYCO
E-lyco est l’environnement numérique de Travail pour tous les établissements du second degré
en Pays de la Loire.
3.5.1. Définition d’un ENT
« Un espace, ou environnement, numérique de travail (ENT) a pour objectif de fournir à chaque
acteur de la communauté éducative (enseignant, élève, personnel administratif et de direction, parents,
intervenants extérieurs…) un point d’accès unifié à l’ensemble des outils, contenus et services
numériques en rapport avec son activité ».
3.5.2. Le projet e-lyco
E-lyco, l’Environnement numérique de travail des Pays de la Loire, est fondé sur un partenariat
réunissant l’Académie de Nantes et l’ensemble des six collectivités territoriales : la Région des Pays de
la Loire, les départements de Vendée, Mayenne, Sarthe, Maine et Loire et Loire-Atlantique.
L’enseignement privé adhère à ce projet. Il concerne également les établissements agricoles, publics et
privés.
3.5.2.1. Contexte
La Région des Pays de la Loire et le Rectorat souhaitent poursuivre la rationalisation, la mise
en cohérence et la valorisation des divers dispositifs existants. Ils souhaitent aussi en développer de
nouveaux, afin d'élargir l'offre de services et de la rendre plus largement accessible (hors des
établissements et vers de nouvelles communautés d'utilisateurs). Il s’agit en définitive de mettre en
oeuvre des services en ligne adaptés aux différents usagers des établissements d’enseignement.
3.5.2.2. Objectifs
E-lyco est mis en place avec, d’une part des objectifs éducatifs, d’autre part des objectifs liés à
l’aménagement du territoire :
Favoriser la réussite scolaire
Renforcer le lien entre l’élève et l’enseignant
Rapprocher l’Ecole et les familles
Construire le prolongement numérique de l’établissement vers l’extérieur
Favoriser l’usage des TIC
Faciliter les échanges par la dématérialisation des flux d’information
Promouvoir de nouvelles modalités de travail
3.5.3. Trois niveaux de portails
On désigne chaque Espace Numérique de Travail (ou Environnement Numérique de Travail)
par le terme générique « portail ». Pour e-lyco, Il existe trois niveaux de portails tissant entre eux des
relations étroites : un portail général (www.e-lyco.fr), les portails des collectivités (dont celui de la
Région : www.paysdelaloire.e-lyco.fr) et partenaires (l’URADEL par exemple), les portails des
établissements publics et privés (ex : www.nomdeletablissement.e-lyco.fr). Chaque portail dispose
d’une adresse Internet. Il est possible pour chaque usager de s’identifier à partir de chaque portail.
Version V2012-2013
page 20/38
Chaque portail est constitué d’une partie visible du grand public (le site web) et d’une partie
accessible après identification et modulable selon la personne connectée. C’est cette seconde partie
qui constitue principalement l’ENT.
3.5.3.1. Le portail général
Le portail général est piloté par le rectorat : le Recteur en est le responsable éditorial.
Il est le lieu de l’actualité du projet, des présentations généralistes et documentations d’e-lyco
Il est le lieu des regroupements inter-établissement
3.5.3.2. Le portail Régional
Le portail Régional est piloté par la Région des Pays de la Loire : le président de la Région est
le responsable éditorial de son portail
Il permet de communiquer et d’échanger avec les lycées placés sous sa responsabilité partagée
Il tisse les liens avec les Agents Régionaux des Lycées
3.5.3.3. Le portail d’établissement
Chaque portail local est piloté par le chef d’établissement, qui en est le responsable juridique et
éditorial.
Il est le lieu par définition de l’ENT
Il donne les accès personnalisés aux services et aux données à tous les personnels, aux élèves,
parents, partenaires locaux, etc.
3.5.4. Documentation
3.5.4.1. Le kit de déploiement e-lyco
Un kit de déploiement est accessible sur le portail www.e-lyco.fr.
Il est conçu pour accompagner le chef d’établissement et son équipe ressource tout au long de
l'initialisation du portail, il contient de nombreux conseils pour favoriser le démarrage des usages en
établissement.
Ce kit se compose de 6 cahiers :
1. Cahier 1 : recueil des pré-requis
Il est destiné à accompagner les établissements dans le recueil des pré-requis nécessaires à
l’ouverture du portail.
2. Cahier 2 : ouverture du portail
Il détaille toutes les opérations à mettre en œuvre pour activer le portail d’établissement.
3. Cahier 3 : pilotage et démarrage des usages
Ce cahier apporte de nombreux éléments pour organiser la communication et la formation en
établissement permettant au chef d’établissement de favoriser le développement des usages.
4. Cahier 4 : annexes techniques
Ce cahier recense toutes les fiches techniques de paramétrage des connecteurs.
5. Cahier 5 : organiser le changement d’année scolaire
Ce cahier présente toute la procédure de changement d’année scolaire. Il précise les éléments qui sont
conservés et ceux qui doivent faire l’objet d’un archivage par l’utilisateur.
Version V2012-2013
page 21/38
6. Cahier 6 : publication sur les portails - préconisations
En complément :
7. Guide de saisie dans Sconet
La bonne importation des données de l'établissement dans e-lyco est étroitement liée à la qualité de la
saisie des données dans les applications nationales (STS, SCONET) ou privées (logiciels d’emploi du
temps, de gestion des notes ou de base élèves pour les établissements privés). Ce guide détaille les
bonnes pratiques à adopter pour la saisie des données.
8. Fiches de postes des personnes-ressources e-lyco
Ces fiches décrivent les rôles indispensables au déploiement et au bon fonctionnement d'elyco en
établissement.
3.5.4.2. La documentation fonctionnelle pour les usages
Scénarios de prise en main fonctionnelle
Sur le site www.e-lyco.fr figurent dans la partie « documentation » des ressources
correspondant aux supports utilisés lors des formations fonctionnelles à e-lyco suivies sur deux jours
par les administrateurs, les coordonnateurs et les formateurs-relais éventuels dans la phase de
déploiement général d'e-lyco.
Ces formations visent à former les personnes-ressources à l’utilisation de l’ENT e-lyco au
travers de situations concrètes (scénarios progressifs d’appropriation) et à sensibiliser les personnesressources aux enjeux des formations qu’ils auront à assurer ensuite en établissement.
Ces ressources abordent les sujets décrits ci-après qui seront progressivement complétés par
d’autres thèmes :
publication sur l'espace public : informer la communauté éducative
communication niveau 1 : préparer une réunion pédagogique
réservation de matériel et de salles : optimiser la gestion des ressources de
l’établissement
communication niveau 2 : préparer une réunion éducative
cahier de textes niveau 1 : remplir rapidement le cahier de textes
cahier de textes niveau 2 : enrichir son cahier de textes
du cahier de textes au classeur pédagogique : capitaliser le travail saisi dans le cahier de
textes
travail collaboratif (niveau 1) : partager des documents entre élèves
travail collaboratif (niveau 2) : constituer un groupe projet et lui créer un espace
interaction avec les utilisateurs : sonder un groupe constitué et traiter les réponses
espace multiservices (niveau 1) : accompagner un projet de classe
accès au cahier de textes pour une inspection
Espace réservé aux personnes ressources e-lyco
Depuis le portail www.e-lyco.fr, en mode authentifié, dans la rubrique « Personnes ressources
e-lyco» figurent un espace dédié à la mutualisation ainsi qu’une foire aux questions. Ces deux rubriques
s’enrichiront progressivement par la publication de ressources de coordinateurs pédagogiques ou
administrateurs e-lyco.
Version V2012-2013
page 22/38
Aide en ligne e-lyco
L’aide en ligne de l’ENT e-lyco est un précieux appui pour découvrir l’ensemble des fonctionnalités.
Riche et détaillée, elle a l’avantage d’être maintenue à jour par l’éditeur du produit. L’aide dispose d’un
moteur de recherche mais présente également une organisation des thématiques. Un guide de prise en
main est également téléchargeable dans la rubrique « + d’outils ». Attention l’aide en ligne n’est
accessible qu’en mode connecté.
3.5.4.3. Les connecteurs
Il est important de considérer e-lyco comme un point d’accès central aux différents services et
ressources propres à l’établissement. Toutes les applications en ligne majeures utilisées dans les
établissements bénéficient progressivement d’un connecteur permettant une authentification unique
(SSO) à partir de l’ENT. Ce principe facilite grandement l’utilisation de l’ENT mais aussi l’organisation
globale des services numériques.
Les connecteurs disponibles pour e-lyco sont décrits dans l’aide en ligne mais également dans
le cahier 4 du kit de déploiement décrit au chapitre 1.4.1. Parmi ces connecteurs, une attention
particulière est attendue sur les solutions de notes et d’absences ainsi que pour l’accès aux données du
réseau local (webdav).
Pronote
Les services de vie scolaire et plus particulièrement les services de notes et d’absences sont
des services attendus et consultés par les parents et les élèves. Il est fondamental de lier correctement
les services tiers tels que Pronote à e-lyco afin de ne pas avoir une double-gestion des comptes pour
l’établissement mais également pour les utilisateurs.
La documentation la plus exhaustive est accessible en mode connecté sur e-lyco au travers de
l’aide en ligne (Accueil > Administration > Gestion portail > Services tiers > Les connecteurs >
Connecteur Pronote avec CAS).
Il est recommandé de suivre la démarche décrite qui propose par ailleurs un lien vers la
documentation propre à l’éditeur Index Education.
Webdav
Le "connecteur Webdav" est une fonctionnalité permettant, à partir d'e-lyco, d'atteindre ses
fichiers stockés sur le réseau local de l'établissement. Ceci est particulièrement intéressant pour les
enseignants et les élèves qui peuvent ainsi accéder à leur espace de stockage et exploiter ces
ressources dans les services d’e-lyco.
Le paramétrage dépend de la configuration réseau de l'établissement. La documentation est
accessible depuis le portail www.e-lyco.fr, en mode authentifié, dans la rubrique « Personnes
ressources e-lyco > Connecteur Webdav ». Elle détaille les actions nécessaires selon 2 types de
configuration au niveau serveur de fichiers :
Windows + IACA
Linux/Samba ou SCRIBE
3.5.4.4. Le SDET (Schéma Directeur des ENT)
Accessible depuis le site national Eduscol (http://eduscol.education.fr/cid56994/preconisationstechniques.html), le Schéma Directeur des espaces numériques de travail constitue une référence
nationale pour la mise en place des ENT. Principalement adressé aux collectivités, académies et
Version V2012-2013
page 23/38
éditeurs, ce document et ses annexes constituent une source d’information technique importante pour
appréhender les rouages d’alimentation des ENT et ses interactions avec les autres portails et services
de l’éducation nationale.
3.5.5. Création des comptes
La gestion des comptes dans e-lyco repose sur un dispositif permettant à chaque acteur
professionnel de s’identifier via son compte institutionnel. L’institution de rattachement est ainsi le
fournisseur d’identité pour chaque utilisateur professionnel. Seuls les parents et les élèves doivent
explicitement créer leur compte.
Les circuits d’authentification sont représentés ci-après :
Enseignants
L’accès à e-lyco pour les enseignants est automatique par utilisation du système
d’information académique. Ils utilisent leur compte académique qui leur permet
également d’accéder à ETNA et leur webmail.
Personnels non enseignants
L’accès est automatique pour les personnels académiques et de la région en utilisant le
compte institutionnel. Pour les personnels de direction, ce compte permet d’accéder sans
réauthentification aux portails ETNA et au webmail. Pour les Agents de la Région, le
compte de la collectivité permet d’accéder en SSO au webmail ainsi qu’à Intranoo (un
guide est accessible à cet effet en ligne sur le portail de la Région)
Invités
Version V2012-2013
page 24/38
La création de tout autre compte est possible manuellement dans l’ENT par
l’administrateur.
Elèves ou parents :
Il s’agit d’une création directement par les utilisateurs (http://cent.ac-nantes.fr). Ce
processus s’appuie sur la procédure de mise en œuvre des télé-services de sconet :
• Génération d’un code par le chef d’établissement
• Création du compte directement par l’utilisateur
Avantages de la procédure :
• Gestion des mots de passe déportée sur l’utilisateur
• Conservation du compte sur toute la scolarité
Procédure unique e-lyco / télé-services
Les établissements peuvent disposer d’un accompagnement par le CRDP qui peut personnaliser de
la documentation selon le contexte de chaque établissement
Remarque : Pour les établissements agricoles, les comptes doivent être importés selon les
spécifications décrites dans l’outil (aide en ligne e-lyco). Une procédure de création des comptes
automatisée est en cours de construction.
3.5.6. Assistance et formations
3.5.6.1. Organisation de l’assistance
Niveau 0 : administrateur / coordonnateur e-lyco de l’établissement
Assistance fonctionnelle aux utilisateurs de l’établissement
Assistance sur les comptes
Niveau 1 : plateforme académique (Contact par formulaire obligatoire) puis rebonds si
nécessaires :
Niveau 2 : rectorat (annuaires, comptes) / CRDP (fonctionnel) / Région (comptes ATT)
Niveau 3 : prestataires (problèmes techniques non résolus)
3.5.6.2. Formations, accompagnement
Parents
Le CRDP des Pays de la Loire propose à tous les lycées publics disposant d’e-lyco un
dispositif d’accompagnement des parents. Les modalités et les contenus sont négociés
avec le chef d’établissement.
Contact : Le chargé des TICE du CDDP de leur département (http://www.crdp-nantes.fr/)
Agents
Le CRDP des Pays de la Loire forme les personnels techniques à la prise en main d’elyco (en commençant par une information sur leurs identifiants) et à plusieurs outils
Version V2012-2013
page 25/38
régionaux auxquels ils accèdent directement à partir de l’ENT (webmail, intranoo, site
du comité des œuvres sociales).
Enseignants, personnels d’établissement
Le pôle TICE, chargé de l’animation du projet ENT, assure l’organisation des
formations des personnes ressources e-lyco de chaque établissement. En cas de
changement de personne ressources, le pôle TICE organise des sessions de
rattrapage où de mise à niveau. Des sessions de formations orientées publication sont
également proposées pour les profils de type « webmestre »
Contact : Pôle TICE du Rectorat : www.pedagogie.ac-nantes.fr (rubrique TICE)
Le CRDP propose aux enseignants des formations thématiques pour les accompagner
dans leurs usages d’elyco. Elles peuvent être proposées dans les CDDP tout au long
de l’année (sur inscription), ou se dérouler dans un établissement à la demande du
chef d’établissement (éventuellement par regroupement sur un bassin).
Personnels de direction
L'utilisation des logiciels d'emploi du temps, de création des listes, la gestion des
bases, etc. représentent un maillon déterminant pour une bonne remontée
d'informations dans e-lyco. De bonnes pratiques sont à recommander et à mettre en
place.
Afin de satisfaire à ces besoins, un groupe de Chefs d'établissement référents a été
organisé pour l’accompagnement des usages et le support au pilotage pédagogique au
sein des EPLE
Cette équipe se situe dans une perspective d’aide technique et d’assistance logicielle,
mais également de conseil, d’échange de pratiques, de proposition de pistes pour
répondre à des projets de mise en œuvre permettant le développement des usages
d’e-lyco au sein des EPLE. Cette équipe académique a également pour mission de
réaliser de la documentation et de la formation dédiée.
Contact : [email protected] et pôle TICE du Rectorat
Coordinateurs informatiques, pédagogiques et administrateurs e-lyco
Une liste de diffusion est à disposition pour échanger et s’entraider sur des aspects
fonctionnels ou techniques. Cette liste n’est en aucun cas une substitution à
l’assistance mais permet par l’échange avec des pairs de faire vivre des informations
utiles à tous. Comme toute liste de diffusion institutionnelle, elle n’est pas un lieu
d’expression d’humeur.
Contact : [email protected]
Version V2012-2013
page 26/38
4.
POSTES DE TRAVAIL ET PERIPHERIQUES
4.1. Définition des types de postes de travail
Les nouveaux postes de travail disposeront de la dernière version du système d’exploitation
poste de travail Windows avec la possibilité de basculer sous XP. Chaque poste sera équipé de base
avec la suite bureautique LibreOffice.
Les portables et les deux3 types de postes proposés aux établissements ont les caractéristiques
techniques minimum suivantes :
Poste de travail
Poste standard
(bureautique/multimédia)
Type 1
Caractéristiques techniques
o
o
o
o
o
o
o
o
o
o
Poste évolué
(CAO/DAO/Dessin)
Type 2
o
o
o
o
o
o
o
o
o
o
o
Portable
o
o
o
o
o
o
o
1 carte réseau compatible PXE
4 prises USB dont 2 en façade + prise jack 3,5mm en façade
RAM 4 Go mini
DD 250 Go mini
Lecteur CD/DVD
2 emplacements PCI libres après adjonction des cartes (carte
réseau WIFI en option)
Interface graphique avec double sortie vidéo (VGA – DVI)
Carte son intégré à la carte mère
Ecran plat 19 pouces (double alimentation VGA – DVI)
1 carte réseau compatible PXE
4 prises USB dont 2 en façade + prise jack 3,5mm en façade
1 port série
RAM 8 Go mini
DD 250 Go mini
Lecteur CD /DVD
2 emplacements PCIE libres après adjonction des cartes (carte
réseau WIFI)
Interface graphique dédiée 1 Go avec double sortie vidéo (VGA –
DVI) compatible avec les logiciels de CAO-DAO
Carte son intégrée à la carte mère
Ecran plat 22 pouces (double alimentation VGA – DVI)
RAM 3 Go mini
DD 320 Go mini
1 carte réseau RJ45 et WIFI intégrées
Graveur DVD RW double couche
Sacoche de transport et de protection
Ecran 15.6 pouces mini avec pavé numérique intégré
CAS PARTICULIERS
L’acquisition de postes de type MAC sera limitée aux seuls établissements ayant des applications
nécessitant absolument l’utilisation de MAC.
3
Les postes de type T3 ont été supprimés avec la généralisation des vidéos numériques
Version V2012-2013
page 27/38
4.2. Quotas de postes par établissement
Les quotas de postes de travail par élève (hors postes administratifs et salle médialangue) se
calculent en fonction du type de lycée et de leur taille, comme suit :
Type/Nombre d’élèves
Lycée Professionnel
Lycée
Enseignement
Général et
Technologique
INF à 500
SUP à 500
Tertiaire
1/2
1/2
Industrie
1/2
1/2
Technologique
1/2
1/2
Tertiaire
1/2
1/2
Enseignement
Général
1/3
1/4
4.3. Acquisition d’ordinateurs portables ou mini-portables
Des ordinateurs portables seront mis à disposition de l’équipe de direction pour des besoins de
communication et de promotion de son établissement selon les quotas suivants :
Nombre d’élèves
Nombre de portables
0 - 500
2
500 – 1200
4
+ 1200
6
Par ailleurs des ordinateurs portables ou mini-portables à usage pédagogique pourront être mis à
disposition de l’établissement uniquement en accord avec les corps d’inspection (exemple des
« portables légers » pour les enseignements Physique-Chimie et SVT) ou la DRAAF (DRTIC) pour
l’enseignement agricole.
4.4. Politique en matière d’impression
Depuis 2009, les établissements sont amenés à choisir eux-mêmes leurs imprimantes en
fonction du nombre de copies et de leur parc et à négocier avec chaque fournisseur en conséquence.
La Région préconise dans cette optique, d’utiliser un système de gestion des impressions afin
de comptabiliser le nombre d’impressions par utilisateur. Ce système de gestion peut être une solution
matérielle à l’aide de copieurs ou une solution logicielle de gestion des quotas centralisés sur un
serveur.
Dans la mesure où l’établissement souhaite un système de gestion des impressions basé sur des
copieurs voici quelques fonctionnalités préconisées pour ces copieurs :
Version V2012-2013
page 28/38
•
•
•
•
•
Gestion des impressions par utilisateur (ou par poste de travail) permettant l'impression
différées, une meilleure gestion des documents à la sortie, la gestion des quotas etc.
Système d’authentification des utilisateurs par code, carte (compatible avec d'autres
cartes de l'établissement), ou annuaire type LDPA.;
Une interface conviviale à destination d'un public non informaticien ;
Système de gestion/tableau de bord des quotas (gestionnaire et élève)
La fonction « scanner » A3/A4 couleur (copieurs couleurs) avec trieuse aux formats pdf,
jpg, png etc. vers FTP/SFTP, email etc. (attention aux flux entrants/sortants vers
l'extérieur, qui sont à éviter pour des raisons de sécurité).
4.5. Scanners A3
Les équipes pédagogiques et les élèves auront à leur disposition un scanner A3 accessible à
tous, soit le plus souvent au CDI. L’acquisition d’un second scanner A3 sera étudiée par la Région ou
acquis par l’établissement.
Les caractéristiques techniques minimum sont les suivantes :
•
•
•
Résolution optique 1200x1200 DPI.
Echantillonnage couleur 48 bits.
Carte réseau si besoin
L’acquisition des scanners A4 est du ressort de l’établissement.
4.6. Vidéo projecteurs
Les vidéo projecteurs seront livrés soit mobiles équipés d’une sacoche, soit fixes avec
sonorisation au choix de l’établissement. Pour les vidéoprojecteurs fixes, les commandes déportées
seront intégrées aux prestations d’installation.
L’objectif reste d’équiper chaque salle d’un vidéoprojecteur associé à un poste de travail. La
participation de la Région des Pays de la Loire sera de 50% pour toute acquisition ou
renouvellement.
Avec l’évolution des technologies et des coûts, les vidéoprojecteurs seront à terme livrés dans un
premier temps en courte focale et éventuellement « interactif ».
Les caractéristiques minimales sont les suivantes :
•
•
•
•
•
•
•
résolution = VGA ou XGA
compatibilité vidéo = NTSC, PAL, SECAM
luminosité = 2600 ANSI lumen
rapport de contraste = 2000 :1 full on/full off en DLP
durée de vie de la lampe = minimum 2000 heures ou 3 ans de garantie
durée de refroidissement =< 3s
niveau de bruit = moins de 30 décibels
Version V2012-2013
page 29/38
5. SALLE MEDIALANGUE - SALLES MULTIMEDIAS
La Région des Pays de la Loire en collaboration avec l’académie de Nantes met en place des pôles
langagiers autour du concept de « salle médialangue » pour favoriser l’apprentissage des langues.
Les logiciels spécifiques commerciaux initialement acquis pour les salles multimédias ne sont donc
plus financés par la Région.
Toute transformation de salles multimédias s’accompagne soit :
-
d’un projet de transformation en salle médialangue
-
d’un reconditionnement en salle informatique standard.
Pour toute demande de transformation en salle médialangue, un projet pédagogique et technique est
bâti en concertation entre la Région, le Rectorat et les enseignants de l’établissement concerné.
6.
DOSSIER DE SITE
Un dossier de site devra être élaboré par l’administrateur réseau et mis à jour sur la base d’une révision
annuelle ou à chaque modification importante de l’architecture réseau et/ou système.
Ce dossier de site devra contenir au minimum les éléments suivants :
la description physique et logique du réseau ;
le paramétrage de chaque élément actif ;
le paramétrage des serveurs ;
la liste des masters ;
la procédure de clonage ;
la procédure de sauvegarde et de restauration ;
l’inventaire des matériels (par salle).
Un exemple de dossier de site est fourni sur le forum des administrateurs réseaux à l’adresse
http://forum.lycees.paysdelaloire.fr.
Version V2012-2013
page 30/38
7.
POLITIQUE DE RENOUVELLEMENT ET RECYCLAGE
7.1. Politique de renouvellement
Tous les équipements d’infrastructures (serveurs et matériels actifs) seront renouvelés sur la
base d’un audit et du plan d’évolution de chaque établissement.
Les vidéoprojecteurs et les scanners A3 sont renouvelés suite à des pannes et selon le quota
associé.
Les postes informatiques de type 1 et 2 sont comptabilisés après 5 ans révolus. Les portables après
3 ans révolus. L’analyse s’effectue selon les modalités suivantes :
-
La demande des lycées dont l’outil d’inventaire GLPI n’a pas été renseigné ou que trop
partiellement (date d’achat non renseignée à plus de 25%) ne pourra pas être étudiée.
-
Les demandes en PC des lycées dépassant le quota ne pourront pas été prises en compte.
Ce quota est calculé en fonction du nombre d’élèves et du type d’établissement et a été
élaboré en concertation avec les corps d’inspection pour l’enseignement des jeunes.
-
Sont exclus du quota : les PC de l’administration et de la vie scolaire ainsi que ceux de la
salle médialangue.
7.2. Recyclage des équipements
La mise en place d’un marché spécifique permet le recyclage de l’ensemble des équipements
informatiques et audiovisuels sur la base d’une récupération annuelle des équipements usagers ou
obsolètes.
Version V2012-2013
page 31/38
Version V2012-2013
Stations mobiles
BTS MUC / NRC
Point
d’accès
tertiaire
Autres VLANs
Les comptes du sous domaine tertiaire sont
intégrés au groupe local Utilisateurs avec pouvoir.
Service Tiny ERP
Service Sugar CRM
Service Ovidentia
Applications pédagogiques
(AthénoGRE, livret AM…)
Services en DMZ
Serveur de travail coopératif
Organisation
Organisation
Organisation
Organisation
Serveurs de données
(SQL Server, MySQL, PostgreSQL)
Organisation
Serveurs d’applications métier
(CEGID, MS-CRM, SugarCRM,
TinyERP…)
Serveurs de données et d’applications
(VLAN tertiaire)
SAN
Base de comptes
locale
Base de comptes
locale
Domaine indépendant
Base de
comptes
locale
Dossiers Personnels
Dossiers Ressources
Dossiers Echanges
Dossiers Profils
Applications transversales
et utilitaires
Sous domaine
tertiaire
Domaine général
Serveur de fichiers
Serveur
tertiaire IACA
(VLAN Serveurs)
Annuaire
Applications bureautiques
Clients lourds des
applications client/serveur
Applications métiers
installées en locale
Parc tertiaire IACA
VLAN tertiaire
Serveurs dédiés
au tertiaire
(physiquesouvirtuels)
ANNEXE 1 : ARCHITECTURE TERTIAIRE
page 32/38
ANNEXE 2 : Détails techniques
Utilisation du wifi
Nomenclature des types de réseau wifi en fonction des mécanismes de sécurisation
utilisés
Le type de réseau wifi dépend des associations entre chiffrement et authentification. L'indice obtenu ne
correspond pas systématiquement à un niveau de sécurité ou de confiance mais permet de lire les tableaux
suivants.
Authentification des
utilisateurs ou des
postes
Aucune
EAP/*TLS
EAP/*TLS avec authentification du
serveur par certificat vérifié
Type d'authentification utilisée
Type d'authentification utilisée
ou
EAP
basique
Basique
Certificat
Certificat,
Clef privée
incopiable
Basique
Certificat
Certificat,
Clef privée
incopiable
Aucun ou clef partagée /
WEPCertificat Certif.
Clef privée incopiable
1
1
1
1
1
1
1
WPA (TKIP)
2
2
3
4
5
6
7
WPA2 (AES)
2
2
8
9
10
11
12
Chiffrement des
communications
Recommandations d’utilisation en fonction des données potentiellement accessibles
Le niveau de sécurité des communications wifi (donc le type de réseau) dépend des ressources
accédées ou accessibles. L'adéquation est synthétisée dans le tableau ci-dessous.
Zone E
Zone P
Zone A
Intranet académique,
intranet inter
académique
1
Non
Non
Non
Non
2
Non
Non
Non
Non
3
A vérifier
A vérifier
Non
Non
4
A vérifier
A vérifier
Non
Non
5
Possible
Possible
Non
Non
6
Possible
Possible
Non
Non
7
Possible
Possible
Non
Non
8
A vérifier
A vérifier
Non
Non
9
A vérifier
A vérifier
Non
Non
Ressources
accédées
Type wifi
Version V2012-2013
page 33/38
10
Possible
Possible
Non
Non
11
Possible
Possible
A vérifier
Non
12
Possible
Possible
A vérifier
A vérifier
« A vérifier » : à vérifier par une étude de sécurité et analyse de risques
Type de wifi pour l’interconnexion de bâtiments
L'utilisation du wifi en mode pont permet d'interconnecter les réseaux informatiques de bâtiments
distincts. Comme différents réseaux d'une même structure peuvent être présents dans les différents bâtiments,
une telle interconnexion peut transporter simultanément plusieurs zones. Dans ce cas, le niveau de sécurité à
mettre en place sera celui de la zone la plus exigeante.
L'authentification concerne les points d'accès et non plus les utilisateurs ou postes.
Ressources transportées
Zone E
Zone P
Zone A,
Intranet
académique,
intranet inter
académique
Chiffrement/ authentification
Aucun ou WEP
Clés partagées
Non
Non
Non
WPA (TKIP)
Clés partagées
A vérifier
A vérifier
Non
Certificat
A vérifier
A vérifier
Non
Clés partagées
A vérifier
A vérifier
Non
Certificat
Possible
Possible
A vérifier
3, 4, 6, 7
WPA2 (AES)
8, 9, 11, 12
« A vérifier » : à vérifier par une étude de sécurité et analyse de risques
Version V2012-2013
page 34/38
Raccordement des équipements de GTB
Version V2012-2013
page 35/38
Normes et standards des équipements actifs
Version V2012-2013
page 36/38
Service assurés par Amon
Services réseaux
Services
d’administration
Version V2012-2013
Routage IP (iproute2)
Routage IP intégré multi interfaces
Prise en compte de 4 interfaces minimum.
Secours de lien pour 2 interfaces externes
Filtrage par @ IP
(Netfilter)
Fonctionnement en « statefull Firewall ».
Gestion des DMZ à partir de 4 interfaces.
Filtrage par utilisateur
(NuFW)
Application d’une politique de sécurité par utilisateur / groupe /
application / OS.
Connexion aux annuaires AD ou Ldap
Filtrage URL
(DansGuardian)
Gestion des filtres URL conformément à la politique académique :
obligatoire (non modifiable)
personnalisable par groupe de filtres
Détection d’attaque
(Snort)
Détection d’attaque sur les ports ouverts de la machine, d’intrusion,
de dénis de service ou de débordement de buffers.
Analyse des entêtes et du contenu des paquets (IP, TCP, UDP et
ICMP).
Proxy WEB (Squid)
« proxy cache » permettant d’accélérer les connexions Internet en
plaçant en mémoire les sites les plus visités. Permet le surf
authentifié pour la zone pédagogique
Redirections WEB
(NGinx)
Module embarqué assurant le rôle de « reverse proxy » pour
rediriger les requêtes web entrantes
Serveur de nom (Bind)
Résolution des noms de machines en adresse Ipavec prise en
compte de domaines locaux et distants (par forward)
R.V.P sous IP
(FreeSwan)
Création de réseaux privés virtuels intégrant le protocole IPSEC et
des certificats au format X509 qui permettent de communiquer
entre zones de confiance conformément au projet Agriates et à la
DPC/PC2 du M.E.N
DHCP
Attribution automatique d’adresses IP pour les postes administratifs
et pédagogiques.
Authentification (PAM)
Basée sur différents protocoles : LDAP, ActiveDirectory, SAMBA,
NDS, NIS, Radius.
Connexion à distance
(SSH)
Administration locale
(EAD2)
Outil de prise en main en mode ligne/texte (équivalent de Telnet
crypté et sécurisé)
Outil d’administration locale à l’établissement permettant d’effectuer
des tâches simples et d’agir sur les paramètres modifiables.
Plusieurs niveaux d’habilitation le rendent utilisable par les équipes
de maintenance du Rectorat ou de l’établissement
Mise à jour
automatique (aptitude)
Synchronisation avec un serveur de référence.
page 37/38
Services de contrôle
Grapheur (RddTools)
Outil permettant de stocker et de présenter sous forme graphique
les informations du système et du réseau.
Analyseur de logs
Analyseur des fichiers log du pare-feu, création de
rapports.
Générateur de statistiques pour le proxy.
Statistiques proxy
(ProStat)
Fonctionnalités minimales de l'outil d'administration des équipements actifs
Supervision en temps réel des équipements existants
Compilateur de MIB I et II pour les équipements tiers.
Représentation graphique et cartographique de l'architecture physique du réseau.
Représentation graphique et cartographique de l’architecture logique du réseau (VLAN).
Représentation graphique des équipements avec vue des indicateurs d'états (y compris pour les liaisons
hertziennes).
Outil de découverte automatique des équipements en réseau.
Outils de définition des profils exploitants et des droits d'accès associés.
Outils de configuration des équipements.
Base de données inventaire des équipements administrés.
Outils de configuration des réseaux virtuels (VLAN).
Outils de gestion de la qualité de services.
Outils de configuration des règles de routage.
Outils de configuration des règles de filtrage.
Journal de bord des événements et des fautes.
Outils d'assistance à l'interprétation des fautes.
Outils de supervision et de gestion des remontées d'alarmes.
Retransmission des alarmes sur une ou plusieurs boîtes aux lettres électroniques.
Outils de gestion des statistiques de trafic.
Statistiques et historique.
Fonctionnalités spécifiques à l'administration des bornes wifi
La détection des points d’accès au travers des liaisons sans fils
La détection des interférences
Le contrôle de la couverture d’émission des points d’accès.
Le contrôle de fonctionnements des serveurs d’authentification du réseau
Le contrôle des tentatives répétées d’authentification ou d’autres types d’attaques (Brutes forces,
corruption, MITM…)
Le contrôle des bornes
Le suivi des utilisateurs
La mise à jour du firmware des bornes
La configuration en masse des équipements (configuration globale ou particulière)
La remontée des incidents matériels des bornes WIFI
Version V2012-2013
page 38/38

2. Référentiel technique systèmes-réseaux

Transcription

Documents pareils

POSTE A POURVOIR -Tech Sup Opérateur serveur

J3TEL Institut

LE PORTAIL LINGUISTIQUE DU CANADA

Guide d`utilisation du portail cartographique

Insérer une vidéo Youtube sans les liens vers d`autres propositions

Interactive Lab Assistant : CLC 34 Simulateur d`installations universel

portail coulissant autoporte motorise 8ml

Produits Aromatiques Durban SAS IN D U STRIE

marché hotspot wifi lac des sapin