« télémaintenance écoles »
Transcription
« télémaintenance écoles »
« télémaintenance écoles » Projet de la DIASI, Inspection Académique de la Seine-Maritime. Réalisation en collaboration avec la DIVINFO, Rectorat de Rouen. version 1.03 01/12/2009 , Valérian Millet Nature et objet du projet Améliorer la qualité du service d'assistance aux personnels enseignants du 1 er degré lors de la mise en œuvre des projets nationaux et académiques s'appuyant sur les technologies informatiques. Faciliter le suivi de gestion et l'assistance technique par les personnels informaticiens des services centraux et les « matice » dans les circonscriptions (réduction des déplacements sur sites). La solution technique est vouée à être étendue aux établissements du 2nd degré et à s'ouvrir à des services d'assistance d'autres entités (mairies, conseil général...) disposant de personnels et/ou de matériels affectés dans les structures d'enseignement. Par convention, dans ce document il sera fait référence au « technicien » , « assisté » et « répétiteur » technicien : assisté : répétiteur : personnel technique qui effectuera l'intervention par prise de contrôle personnel enseignant dont le poste sera pris en télémaintenance machine mandataire qui mets en relation le technicien et l'assisté 1. État des lieux dans les écoles 1.1 postes informatiques A 99% équipé d'un système d'exploitation Windows, le parc est totalement hétérogène en versions. Liste des logiciels installés non-maitrisable ; très peu de standardisation. Installations et paramétrages effectués par de nombreux services de divers structures. Il en résulte que chaque poste est unique au niveau de sa configuration. 1.2 réseaux Adressages inconnus des techniciens de nos services ; infrastructure variée (routeurs, proxy, firewall...) 1.3 personnels En général, les enseignants ne sont pas compétents techniquement. Certains personnels ont parfois beaucoup de difficultés à maîtriser leur environnement informatique. 2. Solution technique 2.1 télémaintenance Prise de contrôle du poste à distance par les techniciens. Technologie VNC (initialement) et/ou Bureau à Distance Microsoft (proposition Paul Tavernier) → jamais testé, pour des besoins de mise en service rapide nous avons conservé VNC qui fonctionne bien depuis janvier 2009 (appel à testeurs, à l'IA76 nous ne le ferons pas) ajout 01/12/2009 2.2 problématique a. accéder à n'importe quel poste d'un réseau privé via internet. b. traverser tous les firewall, barrières de sécurités, proxy mis en place. c. disposer d'une solution compatible avec le maximum de versions du système d'exploitation d. n'installer aucun logiciel sur les postes et ne pas avoir de configuration par poste à maintenir e. intervention minimum de l'assisté ne nécessitant aucune connaissance technique. 2.3 réponses techniques a. effectuer la requête depuis l'assisté vers le technicien via un serveur mandataire. b. communiquer uniquement sur les ports 80 et 443, à priori toujours accessibles (demande Paul Tavernier) → modification technique prise en compte et réalisée ajout 01/12/2009 c. tests de mise en œuvre à effectuer en simulation (cf. 3.1 compatibilité) d. mise à disposition d'un exécutable pré configuré ne nécessitant aucune installation → bureau à distance : procédure inconnue pour moi (appel à testeurs et retours d'expérience) e. connexion sur un site web → téléchargement → lancement → prise de contrôle 3. Aperçus techniques 3.1 VNC Exécutable pré configuré disponible pour Windows uniquement. (cf. 4.1 compatibilité) Serveur disponible sur tous les OS ; le répétiteur fonctionne sous Unix ou Windows. (choix à faire) → solution Unix choisie ajout 01/12/2009 Le technicien doit disposer d'un « Viewer » version 1.05 de UltraVnc (Windows) ; Unix → Ssvnc (ne marche pas toujours bien), sous Linux wine + exécutable vncviewer.exe marche bien ajout 01/12/2009 Le poste assisté est identifié par l'ID qu'il envoie au serveur mandataire. → toute la chaîne d'assistance est disponible gratuitement 3.2 Bureau à Distance Microsoft → solution abandonnée... si quelqu'un veut se lancer ?? ajout 01/12/2009 Solution Windows uniquement, en natif dans le système depuis Windows 2000. Outils techniciens disponibles pour tout système. → serveur mandataire payant, serait plus performant (Paul Tavernier ; tests à réaliser) → communications natives sur le port 3389 à l'encontre du point 2.3.b 3.3 mise en œuvre Pour répondre parfaitement à tous les cas spécifiques évoqués précédemment, il apparaît nécessaire de faire fonctionner les 2 solutions en parallèle. Se posera alors le problème des ports disponibles. Actuellement, VNC occupe les ports 80 et 443. Libérer une ressource pour le bureau à distance signifiant un port technicien différent de ces derniers. L'accès « technicien' » n'est aujourd'hui restreint à aucun réseau. Il faudrait le limiter à Racine et donner un accès VPN et/ou OTP. 4. Retours d'expériences → tests effectués uniquement en VNC sur public ciblé et restreint 4.1 compatibilité système Tests de fonctionnement de l'exécutable sous différentes version de Windows : 98se ok NT4 partiel(1) XP pro ok Vista, Seven ok, parfois lent ajout 01/12/2009 Tests sur les autres versions à faire, notamment 95 (probablement présent dans les écoles). (1) effectué sur une machine virtuelle, sans logiciel. nécessite 2 fichiers .dll (fournis par une installation d'Office ou avec « vcredist.exe » de Microsoft) 4.2 débits de connexion prise de contrôle depuis / vers / statut réseau IA76 → rtc rtc → rtc réseau IA76 → réseau IA76 réseau IA76 ←/→ adsl perso(1) réseau IA76 ←/→ adsl école(2) circonscript. ←/→ adsl école(2) adsl perso → re-adsl perso(3) réseau IA76 → un collège (1) (2) (3) acceptable, limitations de lignes évidentes passable, idem excellent excellent excellent excellent bon accès assisté répétiteur ok, prise de contrôle impossible ligne adsl2 en zone urbaine, freebox mode routeur sans firewall ligne adsl en zone urbaine, école de Grand-Quevilly, M. Paschal (IAI) + M. Belloncle, (IAI de St-Etienne) ligne adsl2 en zone urbaine, freebox → ligne re-adsl <512kb zone rurale éloignée, livebox 4.3 essais particuliers Connexions simultanées : technicien → assisté + assisté → autre poste du réseau du technicien technicien → 2 postes assistés (même réseau) 2e poste assisté utilise l'id d'un poste déjà en télémaintenance ok (connexion croisée) ok refus de connexion 2e technicien veut assister un poste déjà en télémaintenance refus de connexion Auparavant, une machine ayant déjà un service vnc de lancé ne pouvait pas être prise en télémaintenance avec ce système, il fallait d'abord quitter le service. Des tests effectuées aujourd'hui ont montrés le contraire : → prise de contrôle sur le service vnc directement avec l'ip puis prise de contrôle via ce système en plus (même machine du technicien) sans aucun problème. Fonctionnement non garantie bien sur. ajout 01/12/2009 4.4 difficultés de mise en œuvre a. récupération de l'exécutable par le personnel enseignant - ne sait pas où il a été téléchargé (bureau, mes documents etc...) - n'arrive pas à entrer l'url dans le navigateur (parfois, tape l'url dans la recherche google) - la politique de sécurité du poste interdit le téléchargement d'exécutables - un antivirus bloque le téléchargement - après téléchargement, l'antivirus interdit l'exécution (vnc est vu comme un troyan) → solution choise : envoyer un email avec le lien direct de téléchargement à la personne qui n'a plus qu'à clicker ajout 01/12/2009 b. duplication d'identifiant Le poste assisté doit envoyer un identifiant unique au répétiteur ; des solutions techniques existent : - utilisation de l'identifiant RNE (comment prendre plusieurs machines en assistance simultanée ?) - exécution, sur le poste assisté, d'un script local générant l'ID (trop de problèmes potentiels...) - génération d'un ID sur le serveur avant mise à disposition : 7zip, php ou bash (préférable) → abandonnée (personne pour développer ou creuser le système, nécessité de mise en service rapide... ajout 01/12/2009 - fixation d'ID par technicien non nominatif ou pool d'ID par entité → solution retenue = exécutable configuré avec un pool d'ID par « établissement » : ia76, ia27, rectorat + 1 exécutable par Matice. Les ID correspondent au n° RNE + le n° de poste choisie (cf. doc technique) ajout 01/12/2009 c. autres points constatés ? Merci de signaler vos expériences. 5. Évolution, modification 5.1 sécurisation Le flux vnc est en clair, il peut être crypté avec une clé intégré dans l'exécutable. Le répétiteur peut fonctionner en mode SSL. Pour l'instant, il s'agit de tester le fonctionnement de la solution avant d'étendre les fonctionnalités. 5.2 accès simultanés Actuellement, seule 10 50 connexions simultanées sont possibles. (en vigueur depuis janvier 2009) ajout 01/12/2009 Les id sont fixés au pool de 1230 à 1239. Il s'agit d'un choix de configuration et non pas d'une limitation technique. Les sources Unix mentionnent 1000 connexions concourantes. Il faudrait pouvoir tester la charge admissible maximum. Merci à : Olivier Brousselle installation du serveur hébergeant le répétiteur Reginald Louvel définition des fonctions (développement php ??) David Molina informations sur format 7zip (développement php ??) Johnny Quevilly recherche de solutions Paul Tavernier configuration des accès réseaux, définition des fonctions et aux testeurs : Sylvie Gallier, Georges-Eric Paschal, Laurent Belloncle