CRDP de l’académie de Versailles
2 rue Pierre-Bourdan 78160 Marly-le-Roi Tél. 01 78 64 52 00
Samba Édu 3 29 mars 2012
Mission TICE Médiapôles http://www.tice.ac-versailles.fr/-Mediapoles-.html
Table des matières 1 Avant l’installation 1.1
1
Préparation du serveur LCS–SLIS4 (si vous en avez un) . . . . . . . . . . . . . . . .
2
1.1.1
Configuration de la zone DNS locale . . . . . . . . . . . . . . . . . . . . . .
3
1.1.2
Réglage du pare-feu du serveur SLIS4 . . . . . . . . . . . . . . . . . . . . . .
5
1.1.3
Récupération d’informations importantes sur le LCS . . . . . . . . . . . . .
6
1.1.4
Passage du LCS en annuaire autonome. . . momentanément . . . . . . . . . .
7
1.2
Création du fichier d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
1.3
Sauvegarde sous clé USB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
2 Installation du serveur SambaÉdu3 2.1
2.2
12
Installation de Debian Lenny sur le serveur . . . . . . . . . . . . . . . . . . . . . . .
13
2.1.1
CD-ROM d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
2.1.2
Démarrage du serveur via le CD-ROM d’installation
. . . . . . . . . . . . .
13
2.1.3
Partitionnement du ou des disques du serveur . . . . . . . . . . . . . . . . .
15
2.1.4
Fin de l’installation de Debian Lenny . . . . . . . . . . . . . . . . . . . . . .
18
Installation de SambaÉdu3 sur la Debian Lenny . . . . . . . . . . . . . . . . . . . .
19
3 Configurations post-installation 3.1
3.2
22
Réglages côté serveur SambaÉdu3 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
3.1.1
L’interface d’administration Web du serveur . . . . . . . . . . . . . . . . . .
23
3.1.2
Choisir le niveau de l’interface . . . . . . . . . . . . . . . . . . . . . . . . . .
23
3.1.3
Vérifier l’état du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
3.1.4
Configuration de l’expédition des messages système . . . . . . . . . . . . . .
25
Réglages côté serveur LCS. . . si vous en avez un . . . . . . . . . . . . . . . . . . . .
26
4 Le module DHCP
28
4.1
Introduction au DHCP, pour ceux qui le connaissent mal . . . . . . . . . . . . . . .
29
4.2
Activation du module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
i
4.3
Comment choisir son plan d’adressage avec un serveur DHCP . . . . . . . . . . . .
30
4.4
Configuration de votre serveur DHCP . . . . . . . . . . . . . . . . . . . . . . . . . .
31
4.4.1
Configurer le module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
4.4.2
Comment réserver des adresses IP ? . . . . . . . . . . . . . . . . . . . . . . .
32
4.4.3
Import - Export : comment réserver des adresses en masse ? . . . . . . . . .
34
4.4.4
Cas des VLANS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
Dépannage et FAQ pour le module DHCP . . . . . . . . . . . . . . . . . . . . . . .
35
4.5.1
Mon DHCP est en panne ! Que faire ? . . . . . . . . . . . . . . . . . . . . . .
35
4.5.2
Démarrer le serveur à la main . . . . . . . . . . . . . . . . . . . . . . . . . .
36
4.5.3
Observer le service DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
4.5
5 L’Antivirus sur le serveur
37
6 Création des comptes utilisateurs et des groupes
41
6.1 6.2 6.3
6.4
Générer l’annuaire du serveur à partir de SCONET . . . . . . . . . . . . . . . . . .
42
6.1.1
Comment obtenir les fichiers SCONET ? . . . . . . . . . . . . . . . . . . . .
42
La toute première importation sur un serveur neuf . . . . . . . . . . . . . . . . . . .
42
6.2.1
Création des classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
L’importation de début d’année . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
6.3.1
L’importation du nouvel annuaire . . . . . . . . . . . . . . . . . . . . . . . .
46
6.3.2
Le rafraîchissement des classes après la procédure d’importation annuelle . .
47
Les autres importations réalisées en cours d’année scolaire . . . . . . . . . . . . . .
48
6.4.1
49
Le rafraîchissement des classes . . . . . . . . . . . . . . . . . . . . . . . . . .
7 Gestion des utilisateurs dans l’annuaire
51
7.1
L’annuaire du serveur SE3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
52
7.2
L’ajout manuel d’un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
52
7.3
Les actions sur les utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
8 Intégrer une machine dans le domaine Se3
57
8.1
Mise à jour des machines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
8.2
Mise au domaine à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
8.3
Mise au domaine manuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
9 Gérer les parcs machines
61
9.1
À quoi servent les parcs ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
9.2
Création d’un parc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
ii
9.3
Ajout d’une machine supplémentaire à un parc . . . . . . . . . . . . . . . . . . . . .
63
9.4
Liste des parcs et actions possibles . . . . . . . . . . . . . . . . . . . . . . . . . . .
63
9.5
Suppression de machines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
65
9.6
Délégation de la gestion du parc . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
9.7
Actions sur un parc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
67
10 Maintenance de l’annuaire LDAP
68
10.1 Exportation des comptes sous forme de fichier csv . . . . . . . . . . . . . . . . . . .
69
10.2 Nettoyage des comptes orphelins . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
70
10.3 Récupération de l’annuaire après un problème . . . . . . . . . . . . . . . . . . . . .
71
11 Gérer les ressources et partages
73
11.1 Le partage K (Dossier personnel sur Se3) . . . . . . . . . . . . . . . . . . . . . . . .
74
11.1.1 Particularité pour les professeurs . . . . . . . . . . . . . . . . . . . . . . . .
74
11.2 Le partage H (Classes sur Se3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74
11.2.1 Du point de vue « élève » . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
11.2.2 Du point de vue « professeur » . . . . . . . . . . . . . . . . . . . . . . . . .
76
11.2.3 Du point de vue « administrateur » . . . . . . . . . . . . . . . . . . . . . . .
77
11.3 Le partage I (Docs sur Se3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
11.4 Le partage L (Progs sur Se3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
79
11.5 Les partages suplémentaires de l’administrateur . . . . . . . . . . . . . . . . . . . .
79
11.5.1 Le partage X (Admhomes sur Se3) . . . . . . . . . . . . . . . . . . . . . . .
79
11.5.2 Le partage Y (Admse3 sur Se3) . . . . . . . . . . . . . . . . . . . . . . . . .
80
11.6 Résumé des droits sur les partages utilisateurs . . . . . . . . . . . . . . . . . . . . .
81
11.7 Modification des droits sur les partages . . . . . . . . . . . . . . . . . . . . . . . . .
81
12 Les dossiers partagés
83
13 Déploiement de fichiers ou répertoires dans les « homes »
87
13.1 Fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
13.2 Exemple 1 : déployer un dossier contenant une documentation dans les dossiers personnels des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
13.3 Exemple 2 : déployer tous des paramètres de Firefox sur l’ensemble les profils . . . .
89
14 Gestion des devoirs par les professeurs
91
14.1 Que fait la distribution de devoir ? . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
14.2 Distribuer le devoir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
iii
14.3 Récupération des devoirs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93
14.4 Envoi de corrigés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
94
14.5 Gestion des devoirs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
94
15 Gérer les « templates » (modèles)
95
15.1 Fonctionnement des templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
96
15.2 Les sous-répertoires associés aux groupes d’utilisateurs ou de machines . . . . . . .
97
15.3 Le répertoire base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
98
15.4 Application et combinaison de templates . . . . . . . . . . . . . . . . . . . . . . . .
98
15.5 Le sous-répertoire skeluser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
99
15.6 Le script de connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
99
15.7 Cas de windows XP et 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 16 Informations machines et utilisateurs
101
16.1 Les connexions actives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 16.2 Historique des connexions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 17 Gestion du disque du serveur
103
17.1 Occupation des partitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 17.2 Occupation des répertoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 17.3 Détermination des quotas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 18 Gestion des imprimantes
107
18.1 Ajout d’une imprimante . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 18.2 Les protocoles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 18.3 Ajout de l’imprimante à un parc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 18.4 Téléchargement du pilote sur le serveur d’impression 19 Gestion des clés de base de registre
. . . . . . . . . . . . . . . . . 110 113
19.1 Une base de données initiale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 19.2 Des groupes de clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 19.2.1 Les groupes prédéfinis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 19.2.2 Le groupe « aucune protection » . . . . . . . . . . . . . . . . . . . . . . . . 115 19.2.3 Des templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 19.3 Le principe d’attribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 19.3.1 Fonctionnement du groupe spécial . . . . . . . . . . . . . . . . . . . . . . . . 116 19.4 Mise en place d’une configuration de base . . . . . . . . . . . . . . . . . . . . . . . . 116 iv
19.5 Ajout d’une configuration supplémentaire . . . . . . . . . . . . . . . . . . . . . . . . 118 19.6 Tester la configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 19.7 Gestion des groupes de clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 19.7.1 Ajouter un groupe de clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 19.7.2 Modifier un groupe de clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 20 L’Inventaire
122
20.1 OCS Inventory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 20.2 Recherche multicritère . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 20.3 La maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 21 Sauvegarde et Restauration des données
127
21.1 Le menu sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 21.2 Mise en place de la sauvegarde sur disque USB . . . . . . . . . . . . . . . . . . . . . 128 21.3 Mise en place de la sauvegarde sur NAS . . . . . . . . . . . . . . . . . . . . . . . . 131 21.4 Restauration d’un fichier ou d’un dossier . . . . . . . . . . . . . . . . . . . . . . . . 133 21.5 Restauration de l’ensemble de la partition /home (ou /var/se3) 22 Déploiement automatisé d’applications
. . . . . . . . . . . 133 135
22.1 Installation du service WPKG sur les clients . . . . . . . . . . . . . . . . . . . . . . 136 22.2 L’interface web de WPKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 22.3 Détail et suivi des déploiements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 22.4 Contrôle du déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 23 Déploiement de Trend Micro OfficeScan 10.5
142
23.1 Avant de déployer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 23.2 Ouverture de session sur le domaine SambaEdu impossible . . . . . . . . . . . . . . 144 23.3 Préparation du « paquet » à déployer . . . . . . . . . . . . . . . . . . . . . . . . . . 145 23.4 Déploiement par WPKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 24 Le module TFTP
148
24.1 Préalables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 24.2 Installer une station en mode « unattended ». . . . . . . . . . . . . . . . . . . . . . 150 24.2.1 Préparation du serveur par la mise en place des sources d’installation. . . . . 150 24.2.2 Installation devant le poste . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 24.2.3 Installation à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 24.3 Clonage de stations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 v
24.3.1 Préalable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 24.3.2 Cloner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 24.4 Sauvegarde et restauration des stations
. . . . . . . . . . . . . . . . . . . . . . . . 153
vi
Chapitre 1 Avant l’installation Sommaire 1.1
Préparation du serveur LCS–SLIS4 (si vous en avez un) . 1.1.1 Configuration de la zone DNS locale . . . . . . . . . . . . . 1.1.2 Réglage du pare-feu du serveur SLIS4 . . . . . . . . . . . . 1.1.3 Récupération d’informations importantes sur le LCS . . . . 1.1.4 Passage du LCS en annuaire autonome. . . momentanément 1.2 Création du fichier d’installation . . . . . . . . . . . . . . . 1.3 Sauvegarde sous clé USB . . . . . . . . . . . . . . . . . . . .
TICE académie de Versailles
. . . . . . .
. . . . . . . 2 . . . . . . . . 3 . . . . . . . . 5 . . . . . . . . 6 . . . . . . . . 7 . . . . . . . 8 . . . . . . . 10
CHAPITRE 1. AVANT L’INSTALLATION
Samba Édu 3
Concernant l’installation d’un serveur SambaÉdu3 au sein d’un réseau pédagogique, deux cas de figure vont être étudiés dans cette documentation : 1. le réseau pédagogique se trouve derrière un pare-feu SLIS4 ; 2. le réseau pédagogique se trouve derrière un pare-feu AMON. Dans le premier cas, il faudra d’abord effectuer quelques réglages sur le serveur LCS–SLIS4, réglages que nous allons aborder dans le paragraphe suivant. Si vous êtes dans le deuxième cas, vous pouvez passer directement au paragraphe 1.2 qui se trouve en page 8 car ce qui suit ne vous concerne pas.
1.1
Les serveurs LCS–SLIS4 ne sont plus maintenus dans l’académie de Versailles et ils ne sont donc en principe plus réinstallés. Par conséquent, il est très probable que le cas d’un réseau pédagogique derrière un pare-feu AMON se généralise de plus en plus au fil des ans.
Préparation du serveur LCS–SLIS4 (si vous en avez un)
Avant de passer à la configuration du LCS–SLIS4, il va falloir vous décider une bonne fois pour toutes sur le choix des trois éléments suivants : • Le nom de la zone DNS locale de votre réseau pédagogique. Si par exemple votre établissement s’appelle « collège Victor Hugo », alors un nom pour la zone DNS comme hugo.local semble tout à fait indiqué. Le SLIS4, qui jouera le rôle de serveur DNS des machines du réseau pédagogique (Se3 compris), ne vous laissera pas le choix du TLD 1 qui sera forcément .local. • Le nom DNS du serveur Se3. Vous pouvez choisir se3 par exemple qui à l’avantage d’être un nom court et parfaitement explicite. Dans ce cas, si on suppose par exemple que le nom de la zone DNS locale est hugo.local, alors le nom DNS pleinement qualifié 2 de votre Se3 au sein de cette zone sera se3.hugo.local. • L’adresse IP du serveur Se3. Celle-ci dépendra du réseau IP local dans lequel se trouve déjà la carte réseau côté LAN de votre SLIS4. Par exemple, si la carte réseau côté LAN du SLIS4 a pour adresse IP 172.16.0.1 dans un réseau IP de type 172.16.0.0/16, alors dans ce cas l’adresse 172.16.0.2 est un très bon candidat pour l’adresse IP du Se3 (à condition bien sûr que cette adresse IP ne soit pas déjà utilisée par un autre équipement se trouvant dans le réseau pédagogique). Autre exemple : si l’adresse IP du SLIS4 côté LAN est 192.168.71.1 dans un réseau IP de type 192.168.71.0/24, alors l’adresse IP du Se3 pourrait être 192.168.71.2 (toujours sous réserve de la disponibilité de l’adresse IP). 1. « Top Level Domain », c’est-à-dire domaine de plus haut niveau. 2. Le nom pleinement qualifié s’appelle aussi le nom FQDN, qui signifie « Fully Qualified Domain Name ».
TICE académie de Versailles
Page 2/157
CHAPITRE 1. AVANT L’INSTALLATION
Samba Édu 3
Évitez les problèmes ! Ne choisissez pas des noms trop « exotiques »
• Pour le nom de la zone DNS locale, contentez-vous simplement d’un nom de la forme « xxx.local » avec « xxx » constitué uniquement des caractères abc. . . z minuscules. Pas de caractère accentué ni d’espace donc. De plus, la partie « xxx » ne devra pas excéder 15 caractères. • Pour le nom DNS du Se3, limitez-vous exclusivement aux caractères abc. . . z minuscules ainsi qu’aux dix caractères 0123456789. Ce nom ne doit pas excéder plus de 15 caractères également.
Dans toute la suite de cette partie, et seulement dans cette partie là, on va supposer que : • Le nom de domaine DNS choisi pour le réseau pédagogique est hugo.local. • Le nom DNS du Se3 choisi est se3. • L’adresse IP du Se3 choisie est 192.168.71.2, sachant que l’adresse IP du SLIS4 côté LAN est 192.168.71.1 au sein d’un réseau IP de type 192.168.71.0/24. Cette configuration IP est illustrée sur la figure 1.1. Charge à vous d’adapter la suite (le texte et les captures d’écran) en fonction de votre cas personnel. Nous laisserons de côté ces hypothèses à partir du paragraphe 1.2 de la page 8. Passons maintenant à la configuration du LCS–SLIS4. slis
Réseau : 192.168.71.0/24
192.168.71.1
se3
192.168.71.2
192.168.71.10
192.168.71.11
Figure 1.1 – Exemple de réseau local.
1.1.1
Configuration de la zone DNS locale
Sur un ordinateur se trouvant sur le réseau pédagogique, avec un navigateur Web, entrez dans l’interface d’administration Web du SLIS4 via l’adresse URL https://IP-LOCALE-DU-SLIS:1098. TICE académie de Versailles
Page 3/157
CHAPITRE 1. AVANT L’INSTALLATION
Samba Édu 3
Si vous utilisez un proxy pour accéder à cette adresse, l’ouverture de cette page vous sera peut-être refusée. La solution consiste alors à ajouter l’adresse IP du SLIS4 aux exceptions du proxy dans les préférences de votre navigateur (« ne pas utiliser le proxy pour. . . »).
Connectez-vous avec l’identifiant admin 3 , puis allez dans Réseau → DNS → Nom de la zone locale. Indiquez alors le nom que vous avez choisi pour la zone DNS locale. Dans l’exemple de la figure 1.2, nous mettons hugo dans le champ afin d’avoir hugo.local comme nom DNS pour la zone. N’oubliez pas de valider en cliquant sur Modifier.
Figure 1.2 – Définition du nom DNS du domaine. Ensuite il faut procéder à l’enregistrement du nom choisi pour le serveur Se3 dans la zone DNS locale. Allez dans Réseau → DNS → Enregistrements → Internes : • Dans le champ Adresse IP, indiquez l’adresse IP du futur serveur Se3. Dans l’exemple de la figure 1.3, il s’agit donc de 192.168.71.2. • Dans le champ Nom, indiquez le nom DNS du futur serveur Se3. Dans l’exemple de la figure 1.3, nous avons choisi le nom (très original) se3. • Dans le champ Commentaire, vous pouvez mettre ce que vous voulez. Avant de cliquer sur Valider, vérifiez que le bouton radio correspondant au nom de votre zone DNS locale (hugo.local dans la figure 1.3) est bien sélectionné. Désormais, une machine du réseau pédagogique utilisant le service DNS du SLIS4 pourra contacter le serveur Se3 par son nom DNS pleinement qualifié, c’est-à-dire via le nom se3.hugo.local dans notre exemple. Évidemment, il sera toujours possible d’utiliser l’adresse IP du Se3 mais c’est tout de même moins élégant. Profitez-en pour enregistrer le SLIS4 lui-même dans la zone DNS locale, s’il ne l’est pas déjà. Il vous suffit de recommencer la procédure précédente en indiquant cette fois-ci l’adresse IP locale du SLIS4 (dans l’exemple de la figure 1.4 il s’agit de 192.168.71.1) et le nom que vous souhaitez donner à votre SLIS4. Là aussi, faîtes simple au niveau des caractères utilisés : prenez slis comme nom DNS, à nouveau c’est court et tout à fait explicite. 3. En principe, vous êtes censé(e) connaître le mot de passe associé à ce compte admin. Si jamais vous avez perdu ce mot passe, postez un message sur le forum de l’académie de Versailles consacré au SLIS, en précisant bien votre établissement. Ce mot de passe est indispensable pour la suite : http://web2news.ac-versailles.fr/ → puis cliquez sur Forums Versaillais → puis cliquez sur le forum ac-versailles.assistance-technique.slis TICE académie de Versailles
Page 4/157
CHAPITRE 1. AVANT L’INSTALLATION
Samba Édu 3
Figure 1.3 – Enregistrement DNS du nom du serveur Se3. Après validation, toujours sur la même fenêtre, vous devriez avoir une Liste des machines enregistrées qui ressemble à ce qui est indiqué sur la figure 1.4 (moyennant les adaptations à faire suivant votre cas personnel).
dans la zone xxx.local
Figure 1.4 – Liste des enregistrements DNS du domaine.
1.1.2
Réglage du pare-feu du serveur SLIS4
Nous allons maintenant paramétrer le pare-feu du SLIS4 afin que le LCS puisse initier des connexions avec le Se3 via le protocole LDAP (utilisant le port 389). En effet, comme nous verrons plus loin, le Se3 sera l’annuaire unique du réseau pédagogique. Il contiendra (entre autres) la liste des comptes du réseau pédagogique et le LCS se contentera de consulter l’annuaire du Se3 à la place de son annuaire local. Rappelons au passage que le LCS est en réalité une machine virtuelle exécutée au sein du serveur physique SLIS4 et dont l’adresse IP privée est toujours 192.168.78.6, aussi bien dans l’exemple de la figure 1.5 que dans votre cas personnel. Allez dans Sécurité → Pare-feu → Gestion du Pare-feu. Sous le bandeau Ajouter une nouvelle règle, éditez la règle suivante : • • • • •
Règle : ACCEPT. Protocole : TCP. (IP) Source : 192.168.78.6, c’est-à-dire l’adresse IP privée du LCS. Masque (source) : 255.255.255.255. Port (source) : all.
TICE académie de Versailles
Page 5/157
CHAPITRE 1. AVANT L’INSTALLATION
Samba Édu 3
• (IP) Destination : mettez ici l’adresse IP de votre (futur) Se3, dans notre exemple il s’agit de 192.168.71.2. • Masque (destination) : 255.255.255.255. • Port (destination) : 389, c’est-à-dire le port correspondant à une connexion LDAP. Vous devriez alors avoir une règle équivalente à celle donnée dans la figure 1.5 (seule l’adresse IP de destination est peut-être différente et doit correspondre chez vous à l’adresse IP de votre futur Se3). Pensez à cliquer sur Ajouter pour enregistrer cette nouvelle règle.
Figure 1.5 – Rèlge de pare-feu concernant le serveur LCS Enfin, afin d’autoriser le Se3 à initier des connexions sur Internet sans passer par le proxy du SLIS4 (notamment pour qu’il puisse effectuer des mises à jour sans configuration au niveau du proxy), nous allons effectuer sur le pare-feu du SLIS4 une dernière manipulation. Allez dans Sécurité → Pare-feu → Gestion du routage, puis ajouter deux règles équivalentes à celles indiquées sur la figure 1.6, où vous aurez seulement remplacé l’adresse 192.168.71.2 (l’adresse IP du Se3 dans notre exemple) par celle de votre futur serveur Se3. Pensez bien à cliquer sur Ajouter à chaque fois pour enregistrer successivement ces deux nouvelles règles.
Figure 1.6 – Rèlge de pare-feu concernant le serveur Se3
1.1.3
Récupération d’informations importantes sur le LCS
Maintenant, vous allez devoir récupérer des informations importantes pour la suite concernant le LCS. Pour ce faire, il faut vous connecter à la page d’accès en mode sans échec du LCS. On accède simplement à cette page en ouvrant un navigateur Web sur un ordinateur du réseau pédagogique et en utilisant l’adresse URL http://IP-DU-SLIS/setup/. N’oubliez pas le caractère slash à la fin de l’adresse URL. L’accès à cette page demande une authentification : le nom d’utilisateur est admin. Quant au mot de passe. . . vous êtes censé(e) le connaître 4 . Souvent (mais pas toujours), il s’agit du même mot de passe que vous utilisez quand vous vous connectez à la page d’administration Web du SLIS4 (celle dont l’adresse URL est https://IP-DU-SLIS:1098). Une fois que la page est affichée, allez au niveau du tableau Paramètres LDAP et faites un copiercoller dans un fichier texte des deux champs suivants : 4. Si vous avez perdu ce mot passe, là encore, postez un message sur le forum de l’académie de Versailles consacré au SLIS en précisant bien votre établissement. Ce mot de passe est lui aussi indispensable pour la suite : http://web2news.ac-versailles.fr/ → puis cliquez sur Forums Versaillais → puis cliquez sur le forum ac-versailles.assistance-technique.slis TICE académie de Versailles
Page 6/157
CHAPITRE 1. AVANT L’INSTALLATION
Samba Édu 3
• le champ Dn de base de l’annuaire (ldap_base_dn) ; • et le champ Mot de passe d’administrateur de l’annuaire (adminPw). Dans l’académie de Versailles, le Dn de base sera d’une forme différente suivant la nature de votre établissement : • Si votre établissement est un collège et s’il s’appelle par exemple « collège Victor Hugo » alors le Dn de base sera de la forme : ou=clg-hugo-ville,ou=ac-versailles,ou=education,o=gouv,c=fr
• Si votre établissement est un lycée et s’il s’appelle par exemple « lycée Victor Hugo » alors le Dn de base sera de la forme : ou=lyc-hugo-ville,ou=ac-versailles,ou=education,o=gouv,c=fr
En fin de compte, seule la partie du Dn de base située entre le premier symbole égal et la première virgule va vous être utile pour la suite. Dans les deux exemples ci-dessus, cela correspond à clg-hugoville ou lyc-hugo-ville. Bien sûr, ce ne sont que des exemples à adapter en fonction de votre cas. Quant au mot de passe adminPw, il se présente sous la forme d’une suite inintelligible de caractères loin d’être facile à retenir.
1.1.4
Ne prenez pas le risque de saisir « à la main » ces deux champs, faites-en réellement un copier-coller dans un fichier texte.
Passage du LCS en annuaire autonome. . . momentanément
Il ne sera pas possible d’avoir une réplication d’annuaire entre le LCS et votre futur serveur Se3. En effet, une réplication d’annuaire entre votre futur Se3 et le LCS peut entraîner des dysfonctionnements problématiques. Par conséquent, avant d’installer le Se3, il faut désactiver toute forme de réplication (s’il en existe une) sur votre serveur LCS. Toujours sur la page d’accès en mode sans échec du LCS, paramétrez : • le champ Adresse du serveur LDAP (ldap_server) sur la valeur localhost • le champ Etat du serveur de réplication (replica_status) sur la valeur 0 (le chiffre zéro) • le champ Adresse IP du serveur de réplication (replica_ip) afin que celui-ci soit vide Enfin cliquez sur Valider. Voilà, votre LCS consulte maintenant son annuaire local de manière autonome et il ne risquera pas de perturber celui de votre futur serveur Se3. Si cela peut vous rassurer, sachez qu’il sera possible de faire en sorte que les utilisateurs se connectent avec les mêmes identifiants 5 sur le Se3 et le LCS. Pour ce faire, il suffira, quand le Se3 sera installé, de préciser au LCS d’aller consulter non pas son annuaire local mais celui du Se3. Nous verrons cela plus loin dans la documentation une fois l’installation du Se3 terminée. 5. Ce sera possible moyennant l’écrasement complet des données des anciens comptes du LCS. Voir plus loin dans la documentation.
TICE académie de Versailles
Page 7/157
CHAPITRE 1. AVANT L’INSTALLATION
1.2
Samba Édu 3
Création du fichier d’installation
Voici la dernière 6 étape avant de passer à l’installation du serveur Se3 proprement dite. Avec n’importe quel navigateur Web, allez à l’adresse suivante : http://www.samba-edu.ac-versailles.fr/spip.php?article1 Puis cliquez sur le lien proposé à la fin de l’article. Vous vous retrouvez alors devant un formulaire intitulé Générateur de fichier de configuration pour SambaEdu - Versailles qu’il faudra remplir très soigneusement. Il est capital pour la suite de renseigner correctement ce formulaire. Pour le choix de certains noms, relisez bien l’encadré qui se trouve à la page 3 sur les restrictions dans le choix des caractères.
Certes, ces restrictions sont très fortes et, pour être honnête avec vous, il est en réalité possible d’en transgresser quelques-unes (dans une certaine mesure). Mais si vous décidez de passer outre ces restrictions, vous prenez vos responsabilités. Dans cette documentation, on supposera que vous respectez ces restrictions à la lettre.
Nous allons expliquer les champs à remplir un par un en partant du haut. Pour certains d’entre eux, la situation est différente suivant que le réseau pédagogique se trouve derrière un serveur LCS– SLIS4 ou un serveur AMON. • IP du serveur se3 Vous mettez l’adresse IP choisie pour votre futur serveur Se3. 1. Si votre futur Se3 est derrière un serveur LCS–SLIS4, alors vous avez lu la partie 1.1 et cette question a déjà été traitée depuis longtemps. 2. En revanche, si votre futur Se3 est derrière un serveur AMON, alors il faudra choisir une adresse IP en fonction de celle de la carte réseau côté réseau pédagogique du serveur AMON, car c’est elle qui sera la passerelle par défaut de ce réseau local. Si par exemple l’adresse IP de cette carte est 192.168.0.1, alors le réseau pédagogique est a priori un réseau IP de type 192.168.0.0/24 et vous pouvez alors choisir 192.168.0.2 comme adresse IP du serveur Se3 (à condition, bien sûr, que cette adresse soit disponible, c’est-à-dire utilisée par aucune machine du réseau pédagogique pour l’instant). Autre exemple : si l’adresse IP de la carte réseau côté réseau pédagogique du serveur AMON est 172.20.0.1, alors le réseau pédagogique est a priori un réseau IP de type 172.20.0.0/16 et vous pouvez alors choisir 172.20.0.2 comme adresse IP du serveur Se3 (toujours si cette adresse est disponible bien sûr). • Masque de sous-reseau Il s’agit du nombre de bits du masque de l’adresse IP du réseau pédagogique. Ici encore, cette valeur est totalement dictée par l’adresse IP de la passerelle par défaut du réseau pédagogique (qui est soit le serveur SLIS4, soit le serveur AMON suivant votre cas). 6. Et aussi la première étape si vous installez le Se3 derrière le serveur AMON.
TICE académie de Versailles
Page 8/157
CHAPITRE 1. AVANT L’INSTALLATION
Samba Édu 3
Si par exemple l’adresse IP de la passerelle (le SLIS4 ou le AMON peu importe) côté réseau pédagogique est 192.168.0.1, alors le réseau pédagogique est a priori un réseau IP de type 192.168.0.0/24 et la valeur à indiquer est donc 24 dans ce cas. Si par exemple l’adresse IP de la passerelle côté réseau pédagogique est 172.20.0.1, alors le réseau pédagogique est a priori un réseau IP de type 172.20.0.0/16 et la valeur à indiquer est donc 16 dans ce cas. • Nom de la machine dans le domaine intranet Il s’agit du nom DNS que vous voulez donner à votre futur serveur Se3. 1. Si celui-ci est derrière un serveur LCS–SLIS4, alors la question a déjà été traitée dans la partie 1.1. Dans cette documentation, nous avions choisi le nom se3. 2. Si celui-ci est derrière un serveur AMON, alors c’est maintenant qu’il faut « couler dans le marbre » le nom DNS de votre futur serveur Se3. Choisissez le nom que vous voulez. . . à condition de respecter scrupuleusement les restrictions décrites dans le deuxième point de l’encadré page 3. Un nom comme se3 par exemple n’est certes pas très original mais c’est un très bon choix (court et explicite). • Nom de domaine intranet Il s’agit du nom DNS du domaine que constitue le réseau pédagogique. 1. Si le Se3 est derrière un serveur LCS–SLIS4, alors la question a déjà été traitée dans la partie 1.1. Dans cette documentation, nous avions choisi hugo.local en guise d’exemple. 2. Si le Se3 est derrière un serveur AMON, alors c’est maintenant qu’il faut faire un choix. Choisissez le nom que vous voulez. . . à condition encore une fois de respecter scrupuleusement les restrictions décrites dans le premier point de l’encadré page 3. Si votre établissement s’appelle le « lycée Victor Hugo », un nom de domaine comme hugo.local par exemple est un très bon choix. • Nom du SLIS Ce champ formera une partie de la base DN de l’annuaire de votre futur serveur Se3. 1. Si celui-ci est derrière un serveur LCS–SLIS4, alors vous devez indiquer le morceau du Dn de base que vous avez récupéré sur le LCS lors de la partie 1.1.3 page 6. Il ne faut pas indiquer la totalité du Dn de base mais seulement la partie comprise entre le premier symbole égal et la première virgule. Dans la partie 1.1.3, nous avions vu des exemples comme clg-hugo-ville ou lyc-hugo-ville. 2. Si le Se3 est derrière un serveur AMON, alors mettez dans ce champ soit quelque chose de la forme clg-xxx-yyy si vous êtes en collège, soit de la forme lyc-xxx-yyy si vous êtes en lycée, avec : – xxx une chaîne composée uniquement des caractères abc. . . z minuscules qui représente le nom de votre établissement ou bien un raccourci de celui-ci. – yyy une chaîne composée uniquement des caractères abc. . . z minuscules qui représente le nom de la ville de votre établissement ou bien un raccourci de celui-ci. Même si vous n’êtes techniquement pas limité(e) au niveau du nombre total de caractères, évitez de faire trop long. Par exemple, si vous êtes au lycée « Saint Exupery dans la ville de Saint-Rémy-en-Bouzemont-Saint-Genest-et-Isson », alors vous pouvez par exemple choisir pour ce champ la valeur lyc-exupery-saintremy (pas d’accent, ni d’espace). • IP locale du SLIS Il ne faut pas s’y tromper. Il s’agit de l’adresse IP de la passerelle par défaut du réseau pédagogique qui sera celle du SLIS4. . . si vous en avez un. TICE académie de Versailles
Page 9/157
CHAPITRE 1. AVANT L’INSTALLATION
Samba Édu 3
1. Si le Se3 est derrière un serveur LCS–SLIS4, alors cette adresse est l’adresse IP locale (côté réseau pédagogique) du SLIS4. 2. Si le Se3 est derrière un serveur AMON, alors cette adresse est l’adresse IP locale (côté réseau pédagogique) du serveur AMON. • Mot de passe de l’administrateur de l’annuaire 1. Si le Se3 est derrière un serveur LCS–SLIS4, alors vous devez indiquer le Mot de passe d’administrateur de l’annuaire (adminPw) que vous avez récupéré sur le LCS lors de la partie 1.1.3 page 6. 2. Si le Se3 est derrière un serveur AMON, alors vous pouvez indiquer le mot de passe de votre choix. Par précaution, limitez-vous ici aux caractères abc. . . z minuscules ou majuscules ainsi qu’aux chiffres. A priori, au quotidien, vous n’utiliserez jamais ce mot de passe. • Mot de passe admin pour l’interface web et samba Il s’agit du mot de passe du compte admin, compte d’administrateur du domaine Se3. C’est avec ce compte que vous vous connecterez à l’interface d’administration Web du serveur Se3. C’est un mot de passe que vous serez amené(e) à saisir relativement souvent. Vous pouvez indiquer le mot de passe de votre choix. Par précaution, limitez-vous ici aux caractères abc. . . z minuscules ou majuscules ainsi qu’aux chiffres 7 . • Mot de passe root MySQL Vous n’utiliserez jamais ce mot de passe au quotidien. Vous pouvez indiquer le mot de passe de votre choix. Par précaution, limitez-vous ici aux caractères abc. . . z minuscules ou majuscules ainsi qu’aux chiffres. • Nom du domaine NetBios Pour ce champ, indiquez en lettres majuscules la partie située à gauche de .local dans le nom de domaine intranet que vous avez indiqué précédemment. Par exemple, si le nom de domaine intranet qui a été choisi plus haut est hugo.local, alors le nom de domaine NetBios sera HUGO. Sur la figure 1.7 page 11, vous pourrez voir un exemple de formulaire rempli dans le cas (fictif) d’un lycée dont le serveur Se3 aura pour adresse IP 172.20.0.2 et dont la passerelle par défaut sera 172.20.0.1 (qui peut être l’adresse IP du SLIS4 ou du AMON). Après avoir bien relu votre saisie, cliquez sur envoyer. Vous allez alors obtenir un fichier au format texte ayant pour nom setup_se3.data. Il faudra le garder précieusement.
1.3
Sauvegarde sous clé USB
Munissez-vous d’une clé USB et copiez à la racine de cette clé le fichier setup_se3.data. Celui-ci contient des informations nécessaires à l’installation du serveur Se3 (celles que vous avez saisies dans le formulaire) et il faudra, via la clé USB, le copier sur le serveur Se3 le moment venu.
Tout au long de la vie de votre futur serveur Se3, gardez précieusement une copie du fichier setup_se3.data dans une clé USB ou sur un disque dur externe. En cas de crash, ce fichier sera nécessaire (mais pas suffisant) pour une éventuelle restauration du serveur.
7. Vous pouvez utiliser aussi le caractère @ si vous voulez, et même d’autres caractère encore. . . En tout cas, évitez les caractères accentués ainsi que le caractère espace. TICE académie de Versailles
Page 10/157
CHAPITRE 1. AVANT L’INSTALLATION
Samba Édu 3
Figure 1.7 – Exemple de saisie du formulaire.
Le fichier setup_se3.data est un simple fichier texte. Si vous souhaitez l’ouvrir, voire l’éditer (même si vous n’avez aucune raison de le faire si vous avez bien renseigné le formulaire précédemment), sous Windows n’utilisez surtout pas Notepad. C’est un éditeur très peu évolué qui est susceptible de « corrompre » le fichier. Choisissez un « vrai » éditeur de texte capable de reconnaître automatiquement l’encodage des caractères et des fins de ligne d’un fichier. Notepad2 ou Notepad++ par exemple savent très bien le faire.
Ensuite, avec n’importe quel navigateur Web, allez à l’adresse suivante : http://www.samba-edu.ac-versailles.fr/spip.php?article59 Puis téléchargez le fichier install_se3.bash.zip joint à cet article. Décompressez ce fichier afin d’obtenir le fichier install_se3.bash que vous allez ensuite copier lui-aussi à la racine de votre clé USB. Le fichier install_se3.bash va de pair avec le fichier setup_se3.data car il s’agit d’un script qui effectuera automatiquement une grande partie de l’installation du serveur Se3 en utilisant les paramètres indiqués justement dans le fichier setup_se3.data. Voilà, tout est prêt pour enfin commencer l’installation proprement dite du serveur Se3. TICE académie de Versailles
Page 11/157
Chapitre 2 Installation du serveur SambaÉdu3 Sommaire 2.1
Installation de Debian Lenny sur le serveur . . . . 2.1.1 CD-ROM d’installation . . . . . . . . . . . . . . . . 2.1.2 Démarrage du serveur via le CD-ROM d’installation 2.1.3 Partitionnement du ou des disques du serveur . . . . 2.1.4 Fin de l’installation de Debian Lenny . . . . . . . . 2.2 Installation de SambaÉdu3 sur la Debian Lenny . .
TICE académie de Versailles
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13 13 13 15 18 19
CHAPITRE 2. INSTALLATION DU SERVEUR SAMBAÉDU3
Samba Édu 3
L’installation d’un serveur Se3 se fait en deux temps : d’abord on installe le système d’exploitation « Debian Lenny » sur le serveur et ensuite on installe quelques paquets supplémentaires qui feront de notre système Debian Lenny un véritable serveur Se3. Nous allons expliquer pas à pas la procédure à suivre.
2.1 2.1.1
Installation de Debian Lenny sur le serveur CD-ROM d’installation
Il faut d’abord vous procurer l’image ISO qui va vous permettre de graver le CD-ROM d’installation du système Debian Lenny. Via un navigateur Web, allez sur cette page : http://www.debian.org/releases/lenny/debian-installer/ Juste en dessous du titre images de CD d’installation par le réseau, vous avez une série de liens vers des images ISO adaptées à différentes architectures microprocesseur. Parmi ces liens, vous devez choisir entre : • le lien amd64 si le microprocesseur de votre serveur est de type 64 bits ; • ou bien le lien i386 si le microprocesseur de votre serveur est de type 32 bits. Pour faire le bon choix, vous devez connaître le modèle du microprocesseur de votre serveur 1 . Souvent, celui-ci est indiqué dans le BIOS du serveur. Vous pouvez tenter également une recherche Google en indiquant le nom du modèle de votre serveur afin d’obtenir ses caractéristiques techniques. Il est fort probable que l’installation via l’image ISO i386 fonctionne toujours même si votre serveur possède un microprocesseur 64 bits, mais dans ce cas le système d’exploitation risque de ne pas gérer la totalité de la mémoire RAM du serveur. Par conséquent, en cas de doute sur l’architecture de votre serveur, tentez d’abord une installation avec l’image ISO amd64 : si votre serveur possède une architecture 32 bits, il est très probable que vous ayez un message d’erreur assez parlant dès le démarrage via le CD-ROM d’installation. Si cela se produit, cela signifie que votre serveur possède une architecture 32 bits, rabattez-vous alors sur une installation via l’image ISO i386. Nous supposons maintenant que vous avez gravé sur CD-ROM l’image ISO correspondant à l’architecture de votre serveur.
2.1.2
Démarrage du serveur via le CD-ROM d’installation
Après avoir inséré le CD-ROM d’installation dans le lecteur, démarrez le serveur et faites en sorte qu’il effectue son démarrage via le CD-ROM. Vous devriez obtenir alors une page d’accueil comme celle de la figure 2.1 page 14. Avec les flèches de votre clavier, dirigez-vous dans le menu Advanced options (tapez sur la touche Entrée pour valider). Ensuite sélectionnez le mode Expert install. L’installation commence. Pour vous déplacer, utilisez les flèches du clavier ainsi que la touche de tabulation. 1. L’appellation amd64 ne signifie pas que l’image ISO est réservée à des processeurs de marque AMD. C’est une appellation purement historique car AMD a été le premier constructeur à fabriquer des processeurs 64 bits. Mais INTEL fabrique également des processeurs 64 bits. Cette architecture a tendance d’ailleurs à se généraliser sur les machines récentes. TICE académie de Versailles
Page 13/157
CHAPITRE 2. INSTALLATION DU SERVEUR SAMBAÉDU3
Samba Édu 3
Figure 2.1 – Page d’accueil du CD-ROM d’installation de Debian Lenny. • Sélectionnez d’abord le menu Choose language. – Choisissez French. – Pour le lieu géographique choisissez France. – Concernant les Paramètres régionaux, choisissez fr_FR.UTF-8. – Concernant les Autres paramètres régionaux, ne cochez rien et passez directement sur Continuer avec la touche de tabulation. • Sélectionnez ensuite le menu Choisir la disposition du clavier. – Choisissez alors le Clavier de type PC. – Puis choisissez Français (fr-latin9). • Sélectionnez ensuite le menu Détecter et monter le CD. – Laissez alors coché l’item usb-storage (USB storage). Dirigez-vous sur Continuer avec la touche de tabulation. – À la question Faut-il démarrer les services de cartes PC ?, répondez Oui. – Concernant la question Options de plage de ressources pour PCMCIA, laissez le champ vide et dirigez-vous sur Continuer avec la touche de tabulation. – Si tout va bien, un message vous indique ensuite que le CD a été détecté. Passez alors à la suite. • Sélectionnez ensuite le menu Charger des composants d’installation à partir du CD. Ne cochez alors aucun composant (nous allons effectuer une installation minimaliste du système Debian Lenny) et dirigez-vous sur Continuer avec la touche de tabulation. TICE académie de Versailles
Page 14/157
CHAPITRE 2. INSTALLATION DU SERVEUR SAMBAÉDU3
Samba Édu 3
• Sélectionnez ensuite le menu Détecter le matériel réseau. Vous n’aurez en principe aucune information à saisir. • Sélectionnez ensuite le menu Configurer le réseau. – À la question Faut-il configurer le réseau avec DHCP ?, répondez Non. – Ensuite, il vous faudra successivement renseigner l’adresse IP du serveur Se3, le masqueréseau et l’adresse IP de la passerelle par défaut. En principe, tous ces paramètres ont été choisis dans le chapitre précédent lors de la saisie du formulaire générateur de fichier de configuration pour SambaEdu. Il faut bien sûr indiquer les mêmes valeurs : l’adresse IP de la passerelle est, ou bien celle du serveur SLIS4, ou bien celle du serveur AMON suivant votre cas. Il vous est demandé également l’adresse IP d’un serveur de noms 2 . Ici aussi, vous précisez soit l’adresse IP du serveur SLIS4, soit celle du serveur AMON suivant votre cas. – Relisez bien le résumé qui est affiché à la fin avant de valider par Oui. – Pour le Nom de machine 3 , précisez le nom qui a été choisi dans le chapitre précédent. – Même chose pour le Domaine où vous précisez le nom DNS du domaine 4 . • Sélectionnez ensuite le menu Configurer l’horloge. – À la question Faut-il utiliser NTP pour régler l’horloge ?, répondez Oui. – En principe, un nom de serveur NTP vous sera proposé par défaut. Vous pouvez conserver ce choix ou bien, si vous possédez un SLIS4, vous pouvez indiquer également l’adresse IP du SLIS4. – L’installateur devrait ensuite reconnaître automatiquement que vous êtes dans le fuseau horaire Europe/Paris. Bien sûr, vous validez ce paramètre. • Sélectionnez ensuite le menu Détecter les disques. Vous n’avez rien à indiquer durant cette étape. • Sélectionnez ensuite le menu Partitionner les disques. Choisissez alors la méthode manuelle comme méthode de partitionnement. Le partitionnement étant un point important de l’installation, nous allons lui consacrer une section à part.
2.1.3
Partitionnement du ou des disques du serveur Attention, nous nous plaçons dans le cadre d’une primo-installation où toutes les données se trouvant sur les disques du serveur seront effacées.
Après avoir choisi la méthode de partitionnement manuelle, si jamais les disques du serveur n’étaient pas déjà partitionnés, répondez Oui à la question Créer une nouvelle table de partitions (msdos). Vous devriez voir alors la liste des disques du serveur, appelés en général sda, sdb, sdc etc., avec en dessous de chacun la liste des partitions présentes s’il en existe. Placez le curseur sur chacun des disques (c’est-à-dire sur les lignes ayant la mention sda, sdb, sdc etc.) et appuyez sur Entrée. À la question Faut-il créer une nouvelle table des partitions sur ce disque ?, répondez Oui et choisissez msdos comme Type de la table des partitions. 2. Autrement dit un serveur DNS. 3. Il ne s’agit pas du nom FQDN comme dans se3.hugo.local, mais du nom DNS sans le nom du domaine, ce qui correspond simplement à se3 dans le cas d’un FQDN de la forme se3.hugo.local. 4. Si le nom FQDN du serveur est se3.hugo.local, alors le nom du domaine est hugo.local. TICE académie de Versailles
Page 15/157
CHAPITRE 2. INSTALLATION DU SERVEUR SAMBAÉDU3
Samba Édu 3
L’objectif sera de créer successivement, et dans cet ordre, les cinq partitions suivantes : 1. Une partition d’espace d’échange (swap) avec pour caractéristique : • Taille = taille de la mémoire RAM du serveur 2. Une partition formatée en le système de fichiers ext3 avec pour caractéristiques : • Point de montage = le dossier / • Taille = 10 GB • Indicateur d’amorçage = présent 3. Une partition formatée en le système de fichiers ext3 avec pour caractéristiques : • Point de montage = le dossier /var • Taille entre 10 GB et 20 GB 4. Une partition formatée en le système de fichiers XFS avec pour caractéristiques : • Point de montage = le dossier /var/se3 • Taille = la plus grande possible 5. Une partition formatée en le système de fichiers XFS avec pour caractéristiques : • Point de montage = le dossier /home • Taille = la plus grande possible La taille des deux dernières partitions dépendra de l’espace disponible après avoir créé les trois premières, ainsi que du nombre de disques dont dispose le serveur. Sachez que la partition montée sur le dossier /var/se3 contiendra les données partagées dans les dossiers « classes » ainsi que les applications déployées via le module wpkg, alors que la partition montée sur le dossier /home contiendra les données des utilisateurs du domaine Se3. Voici des exemples combinaisons possibles en fonction du nombre de disques durs sur le serveur : 1. Avec un seul disque, vous pouvez procéder comme ci-dessous. a. sur le disque sda, vous créez successivement : • la partition swap de la taille de la RAM • la partition / en ext3 d’une taille de 10 GB • la partition /var en ext3 d’une taille entre 10 et 20 GB • les partitions /var/se3 et /home en XFS, chacune occupant 50 % de la place restante 5 2. Avec deux disques, vous pouvez procéder comme ci-dessous. a. sur le disque sda, vous créez successivement : • la partition swap de la taille de la RAM • la partition / en ext3 d’une taille de 10 GB • la partition /var en ext3 d’une taille entre 10 et 20 GB • la partition /var/se3 en XFS en lui attribuant toute la place restante b. sur le disque sdb, vous créez : • la partition /home en XFS sur la totalité du disque 3. Avec trois disques, vous pouvez vous payer le luxe de procéder comme ci-dessous. a. sur le disque sda, vous créez successivement : 5. En procédant de la sorte, si vous estimez que la taille de la partition /home est trop petite, alors vous pouvez parfaitement réduire la taille de la partition /var/se3 pour l’octroyer à la partition /home. Tout ça est une affaire de dosage. . . TICE académie de Versailles
Page 16/157
CHAPITRE 2. INSTALLATION DU SERVEUR SAMBAÉDU3
Samba Édu 3
• la partition swap de la taille de la RAM • la partition / en ext3 d’une taille de 10 GB • la partition /var en ext3 d’une taille entre 10 et 20 GB • la partition /home/admin 6 en XFS lui attribuant toute la place restante b. sur le disque sdb, vous créez : • la partition /var/se3 en XFS sur la totalité du disque c. sur le disque sdc, vous créez : • la partition /home en XFS sur la totalité du disque En pratique, pour créer une partition sur un disque donné, placez le curseur sur la ligne portant la mention Espace libre se trouvant dans le sous-menu correspondant au disque en question, puis appuyez sur Entrée. Choisissez alors Créer une nouvelle partition. Ensuite : • Indiquez sa taille. Utilisez GB pour indiquer des Giga-octets ou MB s’il s’agit de Méga-octets. Vous pouvez utiliser max si vous voulez que la partition occupe toute la place restant sur le disque. • Indiquez le Type de la nouvelle partition. Choisissez Primaire pour les trois premières partitions d’un disque donné, puis Logique pour les suivantes, s’il y en a. • Pour l’emplacement de la nouvelle partition, choisissez toujours Début. • Ensuite, dans les Caractéristiques de la partition, il vous faudra paramétrer les champs suivants : – Pour le champ Utiliser comme, il faudra indiquer swap, ext3 ou XFS suivant le cas. – Pour le champ Formater la partition, il faudra indiquer oui, formater 7 . – Pour le champ Point de montage, il faudra indiquer /, /var, /var/se3 ou /home suivant le cas. – Le champ Indicateur d’amorçage devra toujours être paramétré sur absent, sauf pour la partition montée sur / où il devra être paramétré sur présent. – Les autres champs pourront être laissés tel quel. • Quand votre partition est correctement configurée, validez le tout en allant dans Fin du paramétrage de cette partition. Fort(e) de toutes ces indications, procédez maintenant au partitionnement de chaque disque du serveur en créant les partitions dans l’ordre indiqué en page 16, en commençant par le disque sda, puis sdb etc. Si jamais vous vous trompez, vous pouvez parfaitement supprimer une ou des partitions afin de les récréer correctement ensuite 8 . Une fois que toutes vos partitions sont bien paramétrées, allez dans Terminer le partitionnement et appliquer les changements. Une ultime confirmation vous est demandée à travers la question Faut-il appliquer les changements sur les disques ?. Répondez Oui. Une fois le partitionnement réalisé par l’installateur, vous retournez alors dans le menu principal. 6. L’utilisateur admin du domaine Se3 est un compte que vous allez utiliser souvent pour administrer le réseau pédagogique et il peut être judicieux que ce compte dispose d’une partition pour lui seul afin d’y stocker ses données. 7. Lors d’une restauration du serveur, il est souvent très utile de ne pas formater une partition et de configurer ce champ sur la valeur non, conserver les données. Ainsi, après la réinstallation du serveur, on peut récupérer une partition en l’état : par exemple on peut récupérer l’intégralité du /home du serveur ce qui correspond tout même à l’ensemble des données des utilisateurs du réseau pédagogique. 8. En fait, absolument aucune action n’est réalisée sur les disques du serveur tant que l’ensemble du partitionnement n’a pas été validé par vos soins.
TICE académie de Versailles
Page 17/157
CHAPITRE 2. INSTALLATION DU SERVEUR SAMBAÉDU3
2.1.4
Samba Édu 3
Fin de l’installation de Debian Lenny
Le partitionnement est de loin la partie la plus difficile. Vous pouvez reprendre maintenant le fil du menu principal. • Sélectionnez le menu Installer le système de base. – L’installation commence via le CD-ROM uniquement 9 . Concernant le Noyau à installer, validez le choix par défaut. – Concernant les Pilotes à inclure sur l’image disque en mémoire, laissez également le choix par défaut. • Sélectionnez ensuite le menu Créer les utilisateurs et choisir les mots de passe. – À la question Faut-il activer les mots de passe cachés ?, répondez Oui. – À la question Faut-il autoriser les connexions du superutilisateur ?, répondez Oui. – Il vous est demandé ensuite de saisir le mot de passe root. Choisissez un mot de passe de huit caractères au moins, mélangeant au moins majuscules, minuscules et chiffres. Attention, n’y mettez ni caractère accentué ni espace.
•
•
•
•
Le mot de passe root est très important et il faudra le conserver précieusement tout au long de la durée de vie du serveur.
– Après avoir confirmé une deuxième fois le mot de passe root, répondez Non à la question Faut-il créer un compte d’utilisateur ordinaire maintenant ?. Sélectionnez ensuite le menu Configurer l’outil de gestion des paquets. – À la question Faut-il utiliser un miroir sur le réseau ?, répondez Oui. – Comme Protocole de téléchargement des fichiers, choisissez http. Choisissez un site miroir se trouvant en France : prenez par exemple le miroir ftp.fr.debian.org 10 . – Laissez ensuite le champ vide concernant le Mandataire HTTP. – À la question Souhaitez-vous utiliser des logiciels non libres ?, répondez Non. – À la question Souhaitez-vous utiliser les logiciels de la section « contrib » ?, répondez Oui. – Ensuite, concernant les Services à utiliser, avec la barre espace, cochez les mises à jour de sécurité et les paquets « volatils » . Sélectionnez ensuite le menu Choisir et installer des logiciels. – À la question Souhaitez-vous participer à l’étude statistique... ?, répondez comme bon vous semble. – Lorsque vous devez ensuite indiquer les Logiciels à installer, laissez uniquement coché Système standard. – L’installation va alors se poursuivre mais cette fois-ci via des téléchargements de paquets par le réseau. Cela peut donc prendre du temps suivant le débit de votre connexion Internet. Sélectionnez ensuite le menu Installer le programme de démarrage GRUB sur le disque dur. – À la question Install GRUB 2 instead of GRUB Legacy ?, répondez Non. – À la question Installer le programme de démarrage GRUB sur le secteur d’amorçage ?, répondez Oui. – Concernant le Mot de passe GRUB, laissez le champ vide. Enfin, sélectionnez le menu Terminer l’installation.
9. Le réseau n’est pas sollicité durant cette étape. 10. En fait, vous pouvez choisir le site miroir que vous voulez. TICE académie de Versailles
Page 18/157
CHAPITRE 2. INSTALLATION DU SERVEUR SAMBAÉDU3
Samba Édu 3
– À la question L’horloge système est-elle à l’heure universelle (UTC) ?, répondez Oui. – Vous avez ensuite un message vous indiquant que l’installation est terminée. Pensez alors à retirer le CD-ROM d’installation du lecteur, puis allez sur Continuer afin de lancer un redémarrage du serveur. Le serveur devrait redémarrer normalement via son disque dur et afficher une invite de connexion se terminant par login :. Vous avez maintenant un système Debian Lenny installé sur le serveur. Dans la partie suivante, nous allons voir la procédure permettant d’installer les paquets se3 sur le système Debian Lenny pour en faire un véritable serveur SambaÉdu3.
2.2
Installation de SambaÉdu3 sur la Debian Lenny
Connectez-vous au serveur via le compte root 11 . Il va falloir copier sur le serveur les deux fichiers setup_se3.data et install_se3.bash que vous avez placés à la racine de votre clé USB lors de la section 1.3 page 10. Pour ce faire, il va falloir exécuter quelques lignes de commandes. Par convention et afin d’éviter toute ambiguïté dans les commandes décrites ci-dessous, un espace sera systématiquement représenté par le caractère « ␣ ». Une fois que vous êtes connecté(e) au serveur via le compte root, tapez la commande : ls ␣ / dev / sd * Vous devriez voir en retour une liste de fichiers de la forme /dev/sda, /dev/sda1, /dev/sda2 etc. Ces fichiers représentent : • les disques du serveur pour les fichiers de la forme /dev/sda, /dev/sdb etc. Si par exemple votre serveur possède trois disques physiques, alors vous aurez trois fichiers /dev/sda, /dev/sdb et /dev/sdc. • les partitions sur les disques pour les fichiers de la forme /dev/sda1, /dev/sda2 etc. Si par exemple le disque /dev/sda possède quatre partitions, alors vous aurez quatre fichiers /dev/sda1, /dev/sda2, /dev/sda3 et /dev/sda4. Repérez bien cette liste de fichiers puis insérer votre clé sur un des ports USB du serveur. Attendez quelques secondes, puis relancez la même commande que précédemment : ls ␣ / dev / sd *
U
Le shell mémorise les commandes saisies par l’utilisateur. Si vous voulez relancer la commande tapée précédemment, appuyez sur la flèche du haut de votre clavier puis sur Entrée. En appuyant plusieurs fois de suite sur la flèche du haut vous pourrez remonter dans l’historique des commandes exécutées.
Parmi la liste des fichiers, au moins un nouveau venu devrait avoir fait son apparition. Il s’agit du fichier représentant votre clé USB fraîchement connectée au serveur. Par exemple si vous aviez à la base deux disques sur le serveur, à savoir /dev/sda et /dev/sdb, depuis l’insertion de votre clé USB, le fichier /dev/sdc représentant la clé USB devrait avoir fait son apparition éventuellement accompagné de sa partition /dev/sdc1 (mais pas toujours). Montez alors la clé USB via la commande : 11. Lors de la saisie du mot de passe, aucun caractère ne va s’afficher, pas même un astérisque. C’est normal, saisissez malgré tout votre mot de passe et validez en appuyant sur la touche Entrée. TICE académie de Versailles
Page 19/157
CHAPITRE 2. INSTALLATION DU SERVEUR SAMBAÉDU3
Samba Édu 3
mount ␣ -t ␣ auto ␣ / dev / sdc1 ␣ / mnt où vous remplacerez /dev/sdc1 par le fichier représentant la partition de votre clé USB qui est apparue suite au branchement de celle-ci. Si jamais seul le fichier /dev/sdc est apparu (pas de fichier /dev/sdc1), alors utilisez ce fichier là pour exécuter la commande précédente. Vérifiez que la clé USB est bien montée. La commande : ls ␣ / mnt devrait lister le contenu de votre clé USB et vous devriez y trouver notamment les deux fichiers setup_se3.data et install_se3.bash. Si ce n’est pas le cas sur votre serveur, cela signifie que la clé USB n’a pas été montée correctement lors de la commande « mount ». Il faudra alors refaire une nouvelle tentative. Inutile de passer à la suite tant que la commande ls␣/mnt ne retourne pas le contenu de votre clé USB. Maintenant que le contenu de votre clé USB est accessible, vous allez copier les deux fichiers setup_se3.data et install_se3.bash dans le dossier /root du serveur par l’intermédiaire des deux commandes ci-dessous : cp ␣ / mnt / setup_se3 . data ␣ / root cp ␣ / mnt / install_se3 . bash ␣ / root Vérifiez alors que les deux fichiers se trouvent bien maintenant dans le dossier /root via la commande : ls ␣ / root qui devrait vous afficher les noms de deux fichiers setup_se3.data et install_se3.bash. Si c’est bien le cas, alors vous pouvez démonter la clé USB via la commande : umount ␣ / mnt Vous pouvez alors débrancher votre clé USB du serveur. Tout est en place maintenant, vous pouvez lancer la commande suivante qui va installer et configurer les paquets se3 sur le serveur : bash ␣ install_se3 . bash L’exécution de cette commande peut prendre du temps car elle installe un certain nombre de paquets via le réseau. Le temps d’exécution de cette commande sera donc en partie fonction du débit de votre connexion Internet. L’installation ne nécessitera votre intervention qu’à un seul moment : lors de la Configuration du compte adminse3. Il vous sera en effet demandé le mot de passe du compte adminse3. Ce compte sera à la fois un compte du domaine Se3 et à la fois un compte administrateur local de toutes les machines Windows intégrées au domaine Se3. Le choix de ce mot de passe est très important.
Le mot de passe du compte adminse3 est un mot de passe sensible et assez pénible à modifier. Ne prenez aucun risque et utilisez uniquement pour ce mot de passe les caractères abc. . . z minuscules et majuscules ainsi que les caractères 0123456789. Et c’est tout ! Par conséquent, pas d’espace et pas de caractère accentué dans ce mot de passe. Évidemment, ce mot de passe devra être précieusement conservé tout au long de la durée de vie du serveur.
TICE académie de Versailles
Page 20/157
CHAPITRE 2. INSTALLATION DU SERVEUR SAMBAÉDU3
Samba Édu 3
Au bout de quelques minutes 12 , le serveur redémarrera de lui-même une fois les installations terminées. Connectez-vous alors une dernière fois avec le compte root et tapez la commande : se3_update_system . sh afin de mettre à jour le système 13 . Si des versions plus récentes de paquets peuvent être installées, alors une confirmation vous sera demandée. Une fois la mise à jour terminée, pour fermer votre session root sans pour autant redémarrer le serveur, tapez : exit Voilà, si vous êtes arrivé(e) à ce stade, alors félicitations, vous avez installé votre serveur SambaÉdu3.
12. Si vous constatez des erreurs au niveau du démarrage du service DHCP, pas de panique. Ces erreurs sont tout à fait normales : le service DHCP n’arrive pas a démarrer car celui-ci n’a pas été encore configuré. Il le sera par vos soins plus loin dans la documentations. 13. Si vous voyez une erreur à la fin de la commande de la forme Can’t send mail : sendmail process failed with error code 1, pas de panique : le serveur Se3 essaye d’envoyer un mail de compte rendu mais n’y arrive pas ce qui est normal car nous n’avons pas encore paramétré l’adresse mail de l’administrateur du système Se3. Ce sera fait plus loin dans la documentation. TICE académie de Versailles
Page 21/157
Chapitre 3 Configurations post-installation Sommaire 3.1
Réglages côté serveur SambaÉdu3 . . . . . . . . . . 3.1.1 L’interface d’administration Web du serveur . . . . . 3.1.2 Choisir le niveau de l’interface . . . . . . . . . . . . 3.1.3 Vérifier l’état du serveur . . . . . . . . . . . . . . . . 3.1.4 Configuration de l’expédition des messages système . 3.2 Réglages côté serveur LCS. . . si vous en avez un . .
TICE académie de Versailles
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23 23 23 24 25 26
CHAPITRE 3. CONFIGURATIONS POST-INSTALLATION
3.1 3.1.1
Samba Édu 3
Réglages côté serveur SambaÉdu3 L’interface d’administration Web du serveur
Maintenant, nous allons laisser de côté la ligne de commandes. Il est désormais possible de configurer le serveur Se3 depuis n’importe quel poste client sur le réseau pédagogique avec un simple navigateur Web. Il suffit de se rendre sur la page d’administration Web du Se3 accessible à l’adresse suivante : http://IP_du_Se3:909
Si vous utilisez un proxy pour accéder à cette adresse, la connexion à votre serveur par ce biais là vous sera peut-être refusée. La solution consiste alors à ajouter l’adresse IP du serveur et son nom DNS aux exceptions du proxy dans les préférences de votre navigateur (« ne pas utiliser le proxy pour. . . »).
Si le réseau pédagogique se trouve derrière un pare-feu SLIS4, alors celui-ci fait office de serveur DNS pour le domaine local constitué par le réseau pédagogique. Dans ce cas, vous pourrez également accéder à la page d’administration Web du Se3 via l’adresse 1 : http://nom_DNS_du_Se3:909 Une fois que vous vous trouvez sur la page d’accueil du serveur Se3, si celle-ci ne s’affiche pas correctement, cliquez sur le bouton de déconnexion indiqué sur la figure 3.1. Vous devriez alors être en mesure de vous authentifier. Pour administrer le serveur Se3, il faudra vous connecter avec le compte admin 2 dont avez indiqué le mot de passe lorsque vous avez rempli le formulaire Générateur de fichier de configuration pour SambaEdu lors de la section 1.2 page 8. Ce mot de passe est indiqué dans le fichier setup_se3.data au niveau de la ligne commençant par SE3PW 3 .
3.1.2
Choisir le niveau de l’interface
Une fois connecté(e), la première chose à faire est de régler le niveau de l’interface à Expérimental afin de bénéficier de toutes les fonctionnalités. Dans le menu de gauche, cliquez sur Configuration générale → Paramètres du serveur. Au niveau du champ Niveau d’interface, cliquez sur Débutant. Un menu déroulant apparaît, sélectionnez alors Expérimental. À la suite de cette manipulation, le menu principal à gauche devrait être plus riche. 1. Hélas, cela ne fonctionnera pas si le réseau pédagogique se trouve derrière le serveur AMON et il faudra vous contenter de l’adresse IP du Se3. 2. Un professeur ou un élève pourra aussi se connecter à cette page avec ses propres identifiants mais bien sûr il n’aura pas les mêmes droits que le compte admin. 3. De toute façon, désormais vous avez intérêt à connaître ce mot de passe par cœur.
TICE académie de Versailles
Page 23/157
CHAPITRE 3. CONFIGURATIONS POST-INSTALLATION
Samba Édu 3
Figure 3.1 – Cliquez sur le bouton déconnexion si la page d’accueil ne s’affiche pas correctement.
3.1.3
Vérifier l’état du serveur
Pour vérifier l’état du serveur, dans le menu principal cliquez sur Informations système → Diagnostic. La page devrait alors mettre quelques secondes à se charger. Si vous avez bien suivi cette documentation, tout devrait être au vert sauf éventuellement les champs ci-dessous : • Importation des clés : c’est tout à fait normal, nous n’avons pas encore effectué la mise à jour de la base de clés de registre Windows. Ce point là, absolument pas essentiel pour le bon fonctionnement du réseau pédagogique, sera vu plus loin dans la documentation. Toutefois, si ce bouclier rouge vous chagrine alors cliquez dessus. Une nouvelle page s’affiche sur laquelle vous allez cliquez sur Effectuer la mise à jour de la base de clés. Vous vous retrouvez encore sur une nouvelle page tout en bas de laquelle se trouve le bouton Prêt pour l’importation des clés nouvelles. Cliquez sur ce bouton (laissez tous les items cochés). Patientez quelques secondes, puis retournez à la page de Diagnostic, le bouclier correspondant au champ Importation des clés devrait être vert désormais. • Vérifie la connexion au serveur de temps : ce point là est très important car votre serveur Se3 doit absolument avoir une horloge bien réglée. En fait ce champ aura en principe un bouclier vert si le réseau pédagogique se trouve derrière un SLIS4, mais le bouclier sera probablement rouge si le réseau se trouve derrière un AMON. Quoi qu’il en soit, si ce bouclier est vert ne faites rien et passez à la suite, s’il est rouge c’est que l’adresse IP spécifiée correspond à un hôte n’offrant pas le service « serveur de temps ». Vous devez alors indiquer un autre serveur de temps. Dans le menu principal à gauche, allez dans Configuration générale → Paramètres serveur. Dans la page, recherchez le champ Serveur de temps et cliquez sur la valeur associée (qui est en principe l’adresse IP de votre passerelle). Vous pouvez alors éditer la valeur de ce champ. Mettez la valeur 1.fr.pool.ntp.org puis cliquez sur Ok. Retournez ensuite sur la page de Diagnostic, le bouclier correspondant au champ Vérifie la connexion au serveur de temps devrait être vert désormais. • Etat du serveur DHCP : il est tout à fait normal que ce champ ne soit pas au vert car vous n’avez pas encore configuré ce service. Le service DHCP est un service crucial pour le bon fonctionnement du réseau pédagogique et il sera étudié plus loin dans la documentation. • Onduleur : il est également tout à fait normal que ce champ ne soit pas au vert car vous n’avez pas encore configuré ce périphérique. Bien sûr, si votre serveur ne possède pas d’onduleur alors vous ne faites rien et vous passez à la suite 4 . Si vous possédez un onduleur alors il faut d’abord 4. En revanche, nous vous conseillons vivement d’essayer de vous procurer un onduleur au plus vite. En effet, le serveur Se3 n’aime pas du tout les arrêts brutaux suite à des (petites) coupures de courant (mais alors pas du tout). TICE académie de Versailles
Page 24/157
CHAPITRE 3. CONFIGURATIONS POST-INSTALLATION
Samba Édu 3
le brancher sur votre serveur. Par précaution, effectuez ce branchement une fois le serveur éteint : pour ce faire, allez dans Configuration générale → Action serveur, puis cliquez sur Stopper le serveur. Une fois le branchement effectué correctement, vous pouvez redémarrer manuellement le serveur. Ensuite, connectez-vous à nouveau sur l’interface d’administration Web du Se3 5 , puis allez dans Configuration générale → Onduleur. Choisissez successivement la marque de l’onduleur puis le nom du modèle. L’installation est en principe automatique. Retournez ensuite sur la page de Diagnostic, le bouclier correspondant au champ Onduleur devrait être vert désormais.
3.1.4
Si jamais le champ Mise à jour de votre serveur Se3 situé en haut de la page Diagnostic est rouge, évitez d’effectuer la mise à jour via l’interface d’administration Web et faites la mise à jour en ligne de commandes en utilisant la commande se3_update_system.sh. En effet, la mise à jour peut impliquer des questions auxquelles il faut parfois répondre « non » alors que via l’interface la réponse par défaut est toujours « oui ».
Configuration de l’expédition des messages système
Toujours dans l’interface d’administration Web du Se3, allez dans Configuration générale → Paramètres serveur et placez-vous au niveau de la partie Configuration de l’expédition des messages système du tableau. • Si le réseau pédagogique est situé derrière un serveur AMON, alors laissez le champ Domaine tel quel. • Si en revanche, le réseau est situé derrière un serveur SLIS4, alors indiquez dans le champ Domaine le nom du domaine public attribué à l’établissement : il s’agit du nom FQDN public du SLIS4. Il est de la forme clg-nom-ville.ac-versailles.fr si vous êtes en collège ou de la forme lyc-nom-ville.ac-versailles.fr si vous êtes en lycée (voir la figure 3.2). Ainsi configuré, les adresses courriel officielles des utilisateurs du domaine (élèves et professeurs) au moment de la création des comptes dans l’annuaire du Se3 seront automatiquement du type
[email protected] ou bien
[email protected] et les adresses mail figurant dans l’annuaire du serveur Se3 correspondront aux adresses mails dont disposent les utilisateurs sur le serveur LCS.
Figure 3.2 – Réglage du domaine de messagerie. Cliquez ensuite sur l’icône indiqué par la flèche rouge sur la figure 3.2 en regard du champ Expédition Une page de configuration du service SMTP s’affiche.
des messages système.
Ces extinctions brutales peuvent corrompre des données systèmes vitales pour le bon fonctionnement du serveur. Un serveur Se3 sans onduleur est une source potentielle de problèmes pénibles. 5. Attention, celle-ci ne sera pas accessible immédiatement, laissez le temps au serveur de démarrer l’ensemble de ses services. TICE académie de Versailles
Page 25/157
CHAPITRE 3. CONFIGURATIONS POST-INSTALLATION
Samba Édu 3
1. Si le réseau pédagogique se trouve derrière un serveur SLIS4, remplissez les trois champs ainsi : • Domaine : indiquez à nouveau clg-nom-ville.ac-versailles.fr ou lyc-nom-ville.ac-versailles.fr suivant votre cas. • Serveur SMTP : indiquez l’adresse IP 192.168.78.6, qui est l’adresse IP privée du LCS qui est aussi serveur SMTP. • Boîte de réception : indiquez n’importe quelle adresse mail valide. Des messages automatiques provenant du serveur Se3 seront envoyés à cette adresse (quand il y aura un problème par exemple). 2. Si le réseau pédagogique se trouve derrière un serveur AMON, remplissez les trois champs ainsi : • Domaine : indiquez le domaine de votre FAI. Par exemple, si votre FAI est Nerim, alors indiquez nerim.net. • Serveur SMTP : indiquez le nom du serveur SMTP de votre FAI. Par exemple, si votre FAI est Nerim, alors indiquez smtp.nerim.net. • Boîte de réception : indiquez n’importe quelle adresse mail valide. Des messages automatiques provenant du serveur Se3 seront envoyés à cette adresse (quand il y aura un problème par exemple). Dans les deux cas, peu de temps après avoir cliqué sur Valider, vous devriez recevoir un courriel intitulé Test de la configuration de votre serveur Se3 à destination de l’adresse mail que vous avez spécifiée précédemment. Ce mail attestera de la bonne configuration des paramètres SMTP.
3.2
Réglages côté serveur LCS. . . si vous en avez un
Si vous avez un LCS–SLIS4, alors il est possible de faire en sorte que les utilisateurs du domaine pédagogique (élèves et professeurs) aient les mêmes identifiants sur le LCS et sur le Se3. Pour ce faire, il faudra indiquer au LCS de consulter, non plus son propre annuaire local, mais celui du serveur Se3. Il n’y aura donc pas synchronisation d’annuaires, mais simplement la mise en place d’un annuaire unique (celui du Se3), à la fois consulté par le Se3 lui-même et par le LCS.
Attention, cette manipulation n’est pas sans conséquence du côté du LCS. En effet, si le LCS a été utilisé avant l’installation du serveur Se3, une fois la mise en place de l’annuaire unique effectuée, il est très probable que certains comptes ne fonctionnent plus correctement sur le LCS (après connexion sur le LCS, vous pourrez tomber sur des messages d’erreurs assez obscurs et malheureusement totalement bloquants). Pour éviter ce genre de soucis, il n’y aura qu’une seule solution : demander sur le forum ac-versailles.assistance-technique.slis de l’académie de Versailles à ce que « le répertoire /home de votre LCS soit vidé complètement ». De cette manière, vous ne rencontrerez pas de problème de connexion sur le LCS mais en revanche les données des « anciens » comptes du LCS seront alors définitivement perdues.
Pour indiquer au LCS de consulter l’annuaire du Se3, il faut vous connecter à la page d’accès en mode sans échec du LCS comme cela a été vu lors de la section 1.1.3 page 6. Dans le tableau
TICE académie de Versailles
Page 26/157
CHAPITRE 3. CONFIGURATIONS POST-INSTALLATION
Samba Édu 3
Paramètres LDAP,
changez la valeur du champ Adresse du serveur LDAP (ldap_server) : au lieu de localhost, indiquez l’adresse IP de votre serveur Se3 puis cliquez sur Valider. Suite à cette manipulation, vous devriez pouvoir vous connecter au LCS avec les identifiants des comptes de l’annuaire du Se3. Vous pouvez tester par exemple les identifiants du compte admin (le compte admin avec lequel vous vous connectez à l’interface d’administration Web du Se3). Si jamais il vous est impossible de vous connecter au LCS, alors vous pourrez toujours retourner à la page d’accès en mode sans échec du LCS en utilisant toujours les mêmes identifiants que précédemment : ces identifiants là (ceux qui permettent d’accéder à la page d’accès en mode sans échec du LCS) sont toujours les mêmes indépendamment de l’annuaire consulté par le LCS. Vous serez ainsi toujours en mesure de repositionner les paramètres tels qu’ils étaient avant modification.
TICE académie de Versailles
Page 27/157
Chapitre 4 Le module DHCP Sommaire 4.1 4.2 4.3 4.4
Introduction au DHCP, pour ceux qui le connaissent mal . . . . . . . . Activation du module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Comment choisir son plan d’adressage avec un serveur DHCP . . . . . Configuration de votre serveur DHCP . . . . . . . . . . . . . . . . . . . . 4.4.1 Configurer le module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.2 Comment réserver des adresses IP ? . . . . . . . . . . . . . . . . . . . . . . 4.4.3 Import - Export : comment réserver des adresses en masse ? . . . . . . . . . 4.4.4 Cas des VLANS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5 Dépannage et FAQ pour le module DHCP . . . . . . . . . . . . . . . . . 4.5.1 Mon DHCP est en panne ! Que faire ? . . . . . . . . . . . . . . . . . . . . . 4.5.2 Démarrer le serveur à la main . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.3 Observer le service DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . .
TICE académie de Versailles
29 30 30 31 31 32 34 34 35 35 36 36
CHAPITRE 4. LE MODULE DHCP
Samba Édu 3
Plusieurs fonctionnalités importantes de SambaÉdu3 s’appuient sur le DHCP : intégration distante des clients au domaine, clonage, déploiement des applications. . . Il est donc important de bien savoir le paramétrer pour tirer le meilleur parti de votre serveur SambaÉdu3.
4.1
Introduction au DHCP, pour ceux qui le connaissent mal
Le service DHCP a pour fonction, dans un réseau local, de « donner » aux ordinateurs qui le demandent une adresse IP valable et utilisable. Imaginez un collègue qui connecte son ordinateur personnel à une prise réseau : avec le dhcp il n’a pas besoin de configurer sa connexion ni de vous demander quelle adresse il doit utiliser, c’est le serveur qui s’en charge de sorte qu’il n’a pas à se préoccuper de ces réglages pour utiliser son ordinateur. Pour cela, votre serveur a besoin que vous lui indiquiez une plage d’adresse, c’est à dire un interval dans lequel il pourra puiser des adresses disponibles pour les ordinateurs qui en feront la demande. Au fur et à mesure, le serveur sait quelles adresses il a attribuées et en choisit de nouvelles, ce qui a deux conséquences importantes : • Aucun ordinateur ne doit prendre manuellement une adresse dans la plage d’adressage dynamique, qui est réservée au serveur • Il faut prévoir une plage d’adressage suffisante en fonction du nombre de clients qui se connectent à votre réseau Pour éviter de laisser une adresse “utilisée” inutilement alors que le client est éteint, un système de bail est prévu : lorsqu’un un client obtient une adresse de la part du serveur, celle-ci lui est octroyée durant une période précise. Lorsque cette période arrive à échéance, le client réitère sa demande pour prolonger ce bail. S’il ne le fait pas et à l’issue du bail, l’adresse devient de nouveau disponible pour d’autres machines. Un serveur DHCP envoie au client plusieurs informations importantes en plus de la seule adresse IP : • • • •
L’adresse L’adresse L’adresse L’adresse
de la passerelle et le masque du réseau local du ou des serveurs DNS du serveur WINS du serveur de temps (NTP)
Les avantages à utiliser un DHCP sont nombreux : • Ne pas avoir à configurer manuellement les clients ni à maintenir une liste des adresses IP utilisées • Pouvoir modifier rapidement une valeur sur tout le réseau : adresse des DNS, passerelle, etc. . . • Faciliter l’utilisation de votre réseau par des équipements nomades • Dans le cadre du serveur SambaÉdu3, l’utilisation du DHCP est nécessaire pour exploiter au mieux d’autres outils, comme le clonage, ou la sauvegarde des postes.
TICE académie de Versailles
Page 29/157
CHAPITRE 4. LE MODULE DHCP
4.2
Samba Édu 3
Il ne peut pas y avoir qu’un seul serveur DHCP sur un réseau. Il convient donc avant d’activer le service DHCP du serveur SambaÉdu3 de vérifier qu’il n’y en a pas d’autre sur le réseau (sur le SLIS4, par exemple, ou un autre serveur.
Activation du module
Figure 4.1 – Activation du module dhcp L’activation du module DHCP se fait par l’intermédiaire du menu habituel. Il est dorénavant automatiquement activé sur un serveur, ce qui ne veut pas dire que le service de DHCP est en route : tant que vous ne l’avez pas configuré il reste arrêté. Rendez-vous sur le menu « configuration » pour le mettre en service.
4.3
Comment choisir son plan d’adressage avec un serveur DHCP
Utiliser un DHCP ne signifie pas qu’on laisse le serveur gérer seul les adresses distribuées. Si vous le souhaitez celui-ci pourra au choix attribuer une adresse dynamique qu’il choisira dans celles dont il dispose ou bien fonctionner par réservation d’adresse. 1. De manière dynamique : le client demande une adresse lorsqu’il en a besoin, au démarrage ou à l’expiration de son bail, le serveur en choisit une dans la plage d’adressage dynamique. Avec cette configuration un même client n”obtiendra pas forcément la même IP à chaque demande. 2. Par réservation d’adresse : on associe une IP à l’adresse MAC de la carte réseau. Le DHCP attribuera donc toujours la même IP à un même client. Un bon plan d’adressage réseau consistera à établir 3 plages d’adresses distinctes : • Une première plage sera utilisée par des adresses IP fixes, attribuées manuellement : cela concerne principalement les serveurs, d’éventuels routeurs, ou bien encore des switchs manageables. On peut aussi paramètrer en IP fixes des imprimantes ou des bornes wifi. Néanmoins, la réservation d’adresse via le dhcp est aussi possible pour ce type de périphériques, ce qui facilite leur configuration. • Une deuxième plage, la plus importante, regroupera tous les clients du réseau pour lesquels on réservera une adresse dans le dhcp. Prévoir de la marge pour les nouveaux clients qui seront TICE académie de Versailles
Page 30/157
CHAPITRE 4. LE MODULE DHCP
Samba Édu 3
livrés ultérieurement. La configuration des clients, dans le système d’exploitation sera dynamique (« obtenir automatiquement une adresse IP », ou « utiliser dhcp »), mais le serveur leur donnera toujours la même adresse IP. Ce qui combine les avantages d’un adressage fixe et d’un adressage dynamique. • Une troisième plage, à adressage dynamique, attribuera des IP aux ordinateurs « de passage » : les portables personnels des professeurs, les ordiphones qui se connecteraient aux bornes wifi, les nouvelles machines au moment de leur installation. . . Exemple de choix possibles pour les plages d’adressage : addresses fixes (serveurs, imprimantes...) 172.20.0.1 7→ 172.20.0.100 192.168.1.1 7→ 192.168.1.10
4.4
adresses dynamiques 172.20.1.1 7→ 172.20.1.254 192.168.1.11 7→ 192.168.1.50
adresses réservées aux clients 172.20.2.1 7→ 172.20.254.254 192.168.1.51 7→ 192.168.1.245
Configuration de votre serveur DHCP
Établissez sur le papier, comme indiqué ci-dessus, trois plages d’adressage pour votre réseau : les adresses fixes, les adresses réservées, les adresses dynamiques. Souvenez-vous que ces plages ne doivent en aucun cas se recouper ! Lorsque vous avez établi votre plan d’adressage vous pouvez passer à la configuration du module.
4.4.1
La configuration du module se fait de préférence clients éteints ou bien en ayant bien en tête que si l’on permet au DHCP d’attribuer des adresses qui sont déjà en utilisation (adresses fixes, ancien dhcp), on crééra des conflits d’adresses. Même si votre plan d’adressage est rigoureux, les clients vont conserver pendant un temps leurs anciennes adresses : anticipez donc au mieux cette opération.
Configurer le module
La configuration consiste généralement à indiquer le début et la fin de la plage dynamique et, en cliquant sur « Modifier », à activer le service. Dans l’exemple ci-dessous, les IP allant de 192.168.1.100 à 192.168.1.200 feront partie de la plage d’adresses dynamiques, elles seront au fur et à mesure attribuées aux ordinateurs qui en feront la demande sans réservation particulière (ordinateurs de passage ou non intégrés au domaine). Les valeurs par défaut conviennent, voici quelques indications pour les renseigner : • Interface d’écoute : nom de la carte réseau qui « écoute » les demandes de dhcp : généralement eth0. • Nom du domaine : nom du domaine, au sens IP de « nom de domaine », à adapter en fonction de votre dns local. • Activation du dhcp au boot : cocher oui ! • Bail : conserver les valeurs par défaut, exprimées en secondes. TICE académie de Versailles
Page 31/157
CHAPITRE 4. LE MODULE DHCP
Samba Édu 3
Figure 4.2 – Configuration du module • Serveur de temps : le SLIS4 ou à défaut la passerelle de votre réseau qui doit faire office de serveur de temps, voire celui de votre FAI. • Serveur Wins : indiquer l’IP du serveur SambaÉdu3 • DNS : indiquer le ou les adresses IP des DNS. À priori, le SLIS4, le AMON ou votre routeur. • Passerelle, il s’agit de votre SLIS4, de votre AMON ou de votre routeur. • Serveur TFTP et la suite : conservez les valeurs indiquées par défaut. Après configuration du serveur, cliquez sur Modifier. Le serveur démarre et l’interface indique : « le serveur dhcp est actif ». À partir de ce moment, si des clients demandent une adresse IP, on peut voir leur nom dans le menu « Gestion des baux ». Si c’est le cas, alors votre serveur dhcp fonctionne correctement !
4.4.2
Comment réserver des adresses IP ?
Une fois le serveur configuré, il attribue aux clients les adresses de sa plage dynamique, mais il est aussi possible d’effectuer une réservation d’adresse pour chaque machine et de décider quelle adresse sera attribuée à chaque demande à un client particulier. On peut le faire manuellement depuis le menu « Gestion des baux » en modifiant l’adresse actuelle du poste par une autre et en validant l’action « réservation » : TICE académie de Versailles
Page 32/157
CHAPITRE 4. LE MODULE DHCP
Samba Édu 3
Figure 4.3 – Baux actifs
Figure 4.4 – Réservation d’adresses puis en cliquant sur « Valider les actions » :
Figure 4.5 – Valider la réservation Attention, cette nouvelle adresse ne sera pas immédiatement effective : votre client va conserver son ancienne adresse, jusqu’à ce qu’il renouvelle sa demande lors de l’échéance du bail ou au prochain re-démarrage. Cela est particulièrement important si vous tentez dans la foulée une « intégration à distance » : le serveur ne trouvera pas le client qui aura encore une ancienne adresse.
Rappel : une IP réservée ne peut pas faire partie de la plage dynamique, au risque de générer un conflit d’adresses IP sur votre réseau !Souvenez-vous que vous devez réserver en dehors de la plage dynamique qui est utilisée par le serveur pour attribuer les adresses aux clients sans réservation.
Dans l’exemple ci-dessus, la station « client1 » fait déjà partie du domaine, contrairement à la machine « client2 » pour laquelle on vient d’effectuer une réservation. Il est possible de modifier le nom et l’IP d’une machine (à condition de ne pas lui attribuer une IP de la plage dynamique !). Il est aussi possible à partir de ce même menu de demander une intégration à distance de la machine, reportez-vous au chapitre sur l’intégration des postes clients.
Rappel : l’adresse affichée dans le DHCP n’est pas immédiatement appliquée sur la station. Il faut donc la faire redémarrer ou attendre suffisamment longtemps ou encore lui appliquer les commandes ipconfig /release puis ipconfig /renew pour qu’elle ait la bonne IP.
TICE académie de Versailles
Page 33/157
CHAPITRE 4. LE MODULE DHCP
Samba Édu 3
Figure 4.6 – Réservations actives
4.4.3
Import - Export : comment réserver des adresses en masse ?
Il est aussi possible de réserver en une fois de multiples adresses IP, ce qui est très pratique dans le cadre d’une migration d’un serveur dhcp vers un autre. La première solution consiste à utiliser un formulaire et d’y entrer pour chaque machine sur une ligne l’adresse IP, le nom de machine et l’adresse MAC, en séparant chaque champ par un point-virgule :
Figure 4.7 – Import d’adresses Il est aussi possible d’importer un fichier au format csv, contenant les mêmes informations : IP;NOM;ADRESSEMAC. Pour modifier complètement un plan d’adressage il est possible de procéder ainsi : 1. Extraction de la liste des machines intégrées avec leur nom, leur IP et leur adresse MAC 2. Modification de ces valeurs dans un tableur 3. Importation du fichier csv dans le module DHCP
Figure 4.8 – Export d’adresses Pour exporter les entrées existantes, allez dans DHCP / Import-Export, choisissez Générer le CSV d’après l’annuaire LDAP. Éditez le fichier dans un tableur et exportez-le toujours au format CSV. Importez ensuite ce fichier dans le module.
4.4.4
Cas des VLANS
Si votre réseau pédagogique comporte plusieurs VLANs, il est possible d’avoir une configuration particulière du dhcp pour chaque vlan particulier. Pour cela il faut dans un premier temps se connecTICE académie de Versailles
Page 34/157
CHAPITRE 4. LE MODULE DHCP
Samba Édu 3
ter en mode sans échec (http://:909/setup/) puis modifier l’entrée dhcp_vlan tout en bas de page en indiquant le nombre de VLANs.
Figure 4.9 – Spécifier le nombre de VLANs Revenir dans l’interface de configuration du DHCP et sélectionner chaque VLAN pour le configurer.
Figure 4.10 – Configurer les VLANs
4.5
Dépannage et FAQ pour le module DHCP
Si tous vos clients utilisent le dhcp, une panne de celui-ci entraînera rapidement des problèmes de connexion.
4.5.1
Mon DHCP est en panne ! Que faire ?
Premièrement, ne paniquez pas ! ;-) Si le DHCP est en panne, les clients n’ont plus d’adresse IP valable, ils ne peuvent donc plus joindre le serveur et il devient impossible d’ouvrir une session sur le réseau. Il faut donc : 1. Ouvrir une session locale (administrateur ou adminse3) 2. Vérifier que le poste a une adresse non valable en 169.x.y.z : en tapant ipconfig dans un terminal par exemple 3. Si c’est le cas, attribuer manuellement une adresse IP valable au client, par exemple 192.168.1.113 en fonction de votre réseau 4. Vous connecter au SambaÉdu3 et tenter de redémarrer le module 5. Si le module redémarre, repasser le poste en dhcp, sinon... voir ci-dessous.
TICE académie de Versailles
Page 35/157
CHAPITRE 4. LE MODULE DHCP
4.5.2
Samba Édu 3
Démarrer le serveur à la main
Si votre serveur ne démarre pas via l’interface d’administration, vous pouvez le redémarrer manuellement, cela ne fonctionne pas nécessairement mieux, mais peut-être aurez-vous un message d’erreur qui vous guidera. Pour arrêter, démarrer ou rédémarrer le service lancez l’une de ces commandes en tant que root : /etc/init.d/dhcp3-server␣stop /etc/init.d/dhcp3-server␣start /etc/init.d/dhcp3-server␣restart
4.5.3
Observer le service DHCP
Si vous souhaitez observer en temps réel les logs du service dhcp, faites : tail␣-f␣/var/log/daemon.log ce qui vous permet de visualiser les logs de tous services, dont le dhcp. Pour ne voir que les logs du dhcp : tail␣-f␣/var/log/daemon.log␣|␣grep␣dhcpd Quittez avec CTRL+C
TICE académie de Versailles
Page 36/157
Chapitre 5 L’Antivirus sur le serveur
TICE académie de Versailles
CHAPITRE 5. L’ANTIVIRUS SUR LE SERVEUR
Samba Édu 3
Il faut d’abord installer le module.
L’antivirus Clamav est opérationnel après l’installation. Il ne s’agit pas d’une protection résidente sur les postes de votre réseau : l’antivirus Clamav est simplement capable de scanner les fichiers stockés sur le serveur, correspondant donc aux documents des utilisateurs et aux partages classes. La présence d’un antivirus sur le serveur ne signifie pas que les clients doivent être exempts de l’installation d’une solution antivirus. Il est donc utile de programmer régulièrement un scan des fichiers qui seraient éventuellement passés au travers du scan effectué par l’antivirus installé sur les clients. Par ailleurs, il est parfois plus facile d’effacer des fichiers infectés sur le serveur que depuis un poste client infecté. La mise à jour manuelle peut être lancée à partir de « Installation »
Pour mettre à jour clamav à partir du serveur au lieu de l’interface : apt-get update puis apt-get install se3-clamav
TICE académie de Versailles
Page 38/157
CHAPITRE 5. L’ANTIVIRUS SUR LE SERVEUR
Samba Édu 3
Le scan sollicite fortement les ressources du serveur, et le ralentit donc considérablement. Le scan pouvant durer plusieurs heures selon le nombre de fichiers présents, il est préférable de le programmer le samedi soir.
Par défaut, les deux emplacements susceptibles de contenir des fichiers infectés sont /home et /var/se3. Il est aussi possible d’ajouter un répertoire à scanner, en saisissant son chemin dans le champ « ajout de répertoire ». Il peut arriver que Clamav considère comme infectés des fichiers qui ne le sont pas. Tant que Clamav ne possède pas de dossier de quarantaine où placer les fichiers considérés comme infectés, il est dangereux de cocher l’option « Suppression des Virus ». Il vaut mieux prendre une décision à la réception d’un courriel (à configurer dans « Installation ») ou à l’observation des logs en cliquant sur Journal de Clamav.
TICE académie de Versailles
Page 39/157
CHAPITRE 5. L’ANTIVIRUS SUR LE SERVEUR
Samba Édu 3
L’option « scan de fichier » permet de vérifier un fichier accessible sur le client depuis lequel on s’est connecté à l’interface.
TICE académie de Versailles
Page 40/157
Chapitre 6 Création des comptes utilisateurs et des groupes Sommaire 6.1
Générer l’annuaire du serveur à partir de SCONET . . . . . . . . . . . 6.1.1 Comment obtenir les fichiers SCONET ? . . . . . . . . . . . . . . . . . . . . 6.2 La toute première importation sur un serveur neuf . . . . . . . . . . . . 6.2.1 Création des classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3 L’importation de début d’année . . . . . . . . . . . . . . . . . . . . . . . . 6.3.1 L’importation du nouvel annuaire . . . . . . . . . . . . . . . . . . . . . . . 6.3.2 Le rafraîchissement des classes après la procédure d’importation annuelle . 6.4 Les autres importations réalisées en cours d’année scolaire . . . . . . . 6.4.1 Le rafraîchissement des classes . . . . . . . . . . . . . . . . . . . . . . . . .
TICE académie de Versailles
42 42 42 45 46 46 47 48 49
CHAPITRE 6. CRÉATION DES COMPTES UTILISATEURS ET DES GROUPES
6.1
Samba Édu 3
Générer l’annuaire du serveur à partir de SCONET
Il est possible de créer un compte à chaque utilisateur de l’établissement directement via des fichiers extraits de SCONET, la base de données de l’établissement comprenant, entre autres, les professeurs, les élèves et les classes. Il est aussi possible de créer un annuaire manuellement via des fichiers textes (Cf. documentation officielle du projet SambaÉdu3.) Il existe trois cas de figure rencontrés chronologiquement : • la toute première importation sur un serveur SambaÉdu3 neuf, • l’importation en début d’année scolaire, • les autres importations en cours d’année scolaire,
6.1.1
Comment obtenir les fichiers SCONET ?
Cette opération consiste à extraire des fichiers aux formats .csv ou, de préférence, .xml à partir de SCONET. La procédure ci-dessous traite exclusivement d’importations de fichiers au format .xml. Le mode d’emploi pour générer ces fichiers est en ligne à l’adresse : http ://wwdeb.crdp.ac-caen.fr/mediase3/index.php/Gestion_des_utilisateurs
6.2
L’extraction de ces fichiers ne peut pas être réalisée à partir de n’importe quel ordinateur du réseau administratif. Il faut la demander au chef d’établissement, à un de ses adjoints ou à un secrétaire de direction.
La toute première importation sur un serveur neuf
Dans le cas d’un serveur SambaÉdu3 neuf dont l’annuaire est « vide », une fois les fichiers .xml créés et enregistrés sur un support (clé USB par exemple), il faut cliquer successivement sur : • « Annuaire » • « Accès à l’Annuaire » • « Importer les comptes en masse... ».
TICE académie de Versailles
Page 42/157
CHAPITRE 6. CRÉATION DES COMPTES UTILISATEURS ET DES GROUPES
Samba Édu 3
Il faut ensuite cliquer sur « directement via des fichiers CSV/XML de sconet ».
Fichier optionnel de logins : Il y a possibilité d’importer un fichier de correspondances de type ’employeeNumber ;login’ préalablement créé afin d’imposer des logins aux nouveaux utilisateurs. Chaque ligne de ce fichier sera du type P1234;identifiant pour les professeurs et 1234;identifiant pour les élèves. Préfixe éventuel : Utile uniquement s’il y a dans le même établissement plusieurs structures. Exemple : un lycée d’enseignement général et un lycée professionnel. Le préfixe permet d’ajouter TICE académie de Versailles
Page 43/157
CHAPITRE 6. CRÉATION DES COMPTES UTILISATEURS ET DES GROUPES
Samba Édu 3
aux noms des groupes le type de structure. Par exemple, si vous indiquez LP, les noms des groupes classes prennent la forme : Classe_LP_2-3. Cela est d’autant plus important pour une cité scolaire (regroupant par exemple un collège et un lycée). Dans ce cas, il est préférable d’importer d’abord la structure du collège (avec le préfixe CLG par exemple), puis la structure du lycée (avec le préfixe LYC par exemple). Importation de début d’année : Il n’est pas nécessaire de cocher cette option lors de la toute première importation d’un annuaire sur un serveur SambaÉdu3. Simulation : L’interface simule les changements sans agir sur l’annuaire, les nouveaux comptes et les comptes retrouvés (créés auparavant à la main et pour lesquels l’employeeNumber n’était pas renseigné) sont affichés sans être pour autant créés. Afficher les dates et heures dans l’import : Pour estimer la durée de l’importation. Les autres paramètres de l’écran d’importation proposés par défaut conviennent dans la plupart des cas. La validation débutera l’opération d’importation. Coté serveur, un petit « top » en ligne de commande permet de suivre les services qui génèrent le contenu de l’annuaire, à savoir slapd et php.
Pendant l’opération d’importation, une page web présentant l’avancée du processus s’affiche et se recharge régulièrement. L’opération peut être assez longue, patience... Une fois l’importation terminée, une recherche dans l’annuaire permet de vérifier les données. Si la configuration de l’expédition des mails a été réalisée sur le serveur SambaÉdu3, une copie du message final d’importation est envoyée à l’adresse électronique configurée.
Attention : ne sont créés automatiquement que les comptes des enseignants ayant au moins une classe en responsabilité. Il peut être parfois utile de créer manuellement certains utilisateurs (documentaliste par exemple) - Cf. chapitre suivant
TICE académie de Versailles
Page 44/157
CHAPITRE 6. CRÉATION DES COMPTES UTILISATEURS ET DES GROUPES
6.2.1
Samba Édu 3
Création des classes
À ce stade, tous les utilisateurs sont dans l’annuaire, mais les classes (c’est-à-dire le contenu du partage H :) ne sont pas encore créées. À partir du menu « Gestion des partages » - « Répertoire Classes », il faut sélectionner toutes les classes dans la liste, puis cliquer sur le bouton « Créer ». Les dossiers des utilisateurs dans le répertoire « Classes » et toutes les ACLs (autorisations) qui s’y rattachent sont ainsi créés automatiquement.
TICE académie de Versailles
Page 45/157
CHAPITRE 6. CRÉATION DES COMPTES UTILISATEURS ET DES GROUPES
6.3 6.3.1
Samba Édu 3
L’importation de début d’année L’importation du nouvel annuaire
Il faut procéder à l’importation des utilisateurs comme décrit précédemment et en ayant bien pris la précaution de COCHER le bouton « Importation de début d’année », ce qui va entraîner les opérations suivantes sur l’annuaire LDAP seulement : • conservation de tous les utilisateurs (élèves, professeurs, ...) et de leurs dossiers personnels (répertoire « home »), • suppression de tous les groupes Classes, Equipes, Cours, Matières existants, ainsi que de leurs contenus, • ajout des nouveaux utilisateurs, • création de tous les groupes de la nouvelle structure, • affectation des utilisateurs à ces groupes et déplacement des répertoires élèves de leur ancienne vers leur nouvelle classe. Cocher le bouton « Importation de début d’année » modifie le contenu des dossiers « Classe », existant dans la partition /var/se3 du serveur Se3. Les anciens travaux d’élèves figurant dans leur ancienne classe sont alors déplacés dans un sous-répertoire « archive » dans le répertoire de leur nouvelle classe. Ce dossier « archive » est disponible tant que l’opération de nettoyage des classes ne sera réalisée par admin. Les autres dossiers (_travail, _devoirs...) des répertoires Classes ne sont pas modifiés (il faut donc les nettoyer manuellement). TICE académie de Versailles
Page 46/157
CHAPITRE 6. CRÉATION DES COMPTES UTILISATEURS ET DES GROUPES
Samba Édu 3
À l’issue de cette importation de début d’année, les « home » des utilisateurs (professeurs, élèves...) qui ont quitté l’établissement sont encore présents sur le disque dur du serveur SambaÉdu3. Il faudra penser à procéder à leur nettoyage au bout de quelques semaines, une fois la liste des utilisateurs stabilisée (Cf. chapitre suivant). Pour certains utilisateurs (cas des documentalistes, des CPE... non rattachés à une classe), il est parfois utile que leur compte ne soit pas mis à la corbeille après chaque importation de début d’année (ces utilisateurs ne pouvant plus ouvrir de session sur le domaine). Pour éviter cela, il est nécessaire de leur accorder le droit « no_Trash_user » (Cf. chapitre suivant).
6.3.2
La procédure d’« Importation de début d’année » se fait une seule fois, uniquement en début d’année au moment de la création de la nouvelle structure pédagogique de l’établissement. Dans le cadre d’une cité scolaire (regroupant un collège et un lycée par exemple), il ne faut cocher qu’une seule fois « Importation de début d’année » au moment de l’importation de la première structure.
Le rafraîchissement des classes après la procédure d’importation annuelle
À partir du menu « Gestion des partages » - « Répertoire Classes », il faut cliquer sur le bouton « Rafraichir toutes les classes » afin que le dossier « Classes » reflète la nouvelle structure pédagogique de l’établissement. Les nouvelles classes sont automatiquement créées, les dossiers des utilisateurs de ces nouvelles classes et toutes les ACLs (autorisations) qui s’y rattachent sont également créés automatiquement. Les travaux d’élèves sont stockés dans un sous-dossier « archive » figurant dans le dossier de leur nouvelle classe (Cf. explications ci-dessus).
TICE académie de Versailles
Page 47/157
CHAPITRE 6. CRÉATION DES COMPTES UTILISATEURS ET DES GROUPES
Samba Édu 3
En début d’année, les informations issues des bases SCONET sont incomplètes car les professeurs ne sont pas encore reliés à leurs classes actuelles. Pour pallier ce problème, il est possible au moment de la création ou du rafraîchissement des classes de cocher « Droits du groupe Profs », cela permet à tous les enseignants de voir temporairement toutes les classes et d’utiliser pleinement le partage H :, en attendant que les bases SCONET soient à jour.
6.4
Les autres importations réalisées en cours d’année scolaire
Au début d’année, les bases SCONET sont incomplètes, voire erronées : • tous les élèves et les enseignants ne sont pas présents, certains arrivent après le début de l’année, • des élèves peuvent changer de classe, • les professeurs ne sont liés à leurs classes qu’après la « remontée des services » qui a lieu après la signature des VS, en général courant octobre (voir avec le chef d’établissement pour connaître la date exacte de cette opération). Il est par conséquent utile de procéder à des importations en cours d’année pour corriger ces imperfections. Pour cela, il faut :
TICE académie de Versailles
Page 48/157
CHAPITRE 6. CRÉATION DES COMPTES UTILISATEURS ET DES GROUPES
Samba Édu 3
• générer de nouveau les fichiers SCONET, • cliquer successivement sur « Annuaire » - « Accès à l’Annuaire » - « Importer les comptes en masse... », • cliquer ensuite sur « directement via des fichiers CSV/XML de sconet ». • Ne PAS cocher « Importation de début d’année » et ne pas supprimer les partages sur le serveur.
6.4.1
En cours d’année scolaire, on importe simplement les nouveaux utilisateurs sans cocher « Importation de début d’année ».
Le rafraîchissement des classes
À partir du menu « Gestion des partages », « Répertoire Classes », il faut soit : • sélectionner une ou plusieurs classes et cliquer sur le bouton « Rafraichir », • cliquer sur le bouton « Rafraichir toutes les classes ». Cette opération permet de mettre à jour les ACLs (autorisations) sur les fichiers du répertoire « Classes ».
Le rafraîchissement des classes est nécessaire après chaque ajout d’utilisateur ou de groupe. Si les bases SCONET sont à jour, il ne faut pas oublier de décocher la case « Droits du groupe Profs » pour que la structure de l’annuaire du serveur SambaÉdu3 soit conforme à celle de l’établissement
Conclusion La première importation sur une serveur SambaÉdu3 neuf peut se faire sans cocher l’option « Importation de début d’année ». Le fait de cocher cette option lors de la toute première imporTICE académie de Versailles
Page 49/157
CHAPITRE 6. CRÉATION DES COMPTES UTILISATEURS ET DES GROUPES
Samba Édu 3
tation, n’a aucune conséquence néfaste sur le fonctionnement du serveur SambaÉdu3. Par contre, procéder au basculement d’une année scolaire sur l’autre nécessite non seulement de cocher cette case, mais également de suivre une méthode précise pour obtenir le but recherché. En cas d’erreur : Sur le serveur SambaÉdu3, il faut lancer le script peopleClean.pl qui effacera de l’annuaire tous les comptes des utilisateurs (mais pas les répertoires Classes). Ensuite, en admin sur l’interface du serveur SambaÉdu3, il faut supprimer tous les répertoires des classes puis importer les bases SCONET en cochant la case « Importation de début d’année ».
TICE académie de Versailles
Page 50/157
Chapitre 7 Gestion des utilisateurs dans l’annuaire Sommaire 7.1 7.2 7.3
L’annuaire du serveur SE3 . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 L’ajout manuel d’un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . 52 Les actions sur les utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . 54
TICE académie de Versailles
CHAPITRE 7. GESTION DES UTILISATEURS DANS L’ANNUAIRE
7.1
Samba Édu 3
L’annuaire du serveur SE3
Le serveur SambaÉdu3 propose un annuaire dont la structure est adaptée à une institution scolaire. Chaque utilisateur appartient à une des trois catégories suivantes : professeurs, élèves ou administratifs. Il appartient ensuite à des groupes secondaires : classes, matières ou groupes créés localement (ciné-club, club théâtre, etc.). Techniquement, l’annuaire du serveur SambaÉdu3 repose sur un programme nommé OpenLdap. LDAP est un protocole ouvert et standardisé permettant d’associer un mot de passe à chaque utilisateur, ainsi que la gestion de l’authentification. D’autres programmes et d’autres machines peuvent utiliser l’annuaire LDAP du serveur SambaÉdu3. Il est ainsi possible de configurer un serveur LCS pour qu’il interroge l’annuaire du serveur SambaÉdu3, cela permet aux utilisateurs de s’authentifier avec les mêmes informations sur plusieurs outils du réseau (Cf. chapitre 3). Il est également possible d’utiliser l’annuaire LDAP du serveur SambaÉdu3 avec des applications web hébergées dans l’établissement : Claroline, Spip, etc. L’annuaire du serveur SambaÉdu3 est très important, il faut donc veiller à le sauvegarder régulièrement, en plus des sauvegardes habituelles réalisées automatiquement sur le serveur SambaÉdu3. Pour exporter cet annuaire sur une clé USB, il faut cliquer successivement sur : • • • •
« « « « .
7.2
Annuaire » Administration LDAP » Export LDAP » et ne pas mettre de filtre Valider »
L’ajout manuel d’un utilisateur
Dans l’interface de gestion, il faut cliquer successivement sur « Annuaire » - « Accès à l’annuaire » puis « Ajouter un utilisateur » et saisir les paramètres de l’utilisateur à créer.
Attention, il est très difficile de changer le sexe d’un utilisateur ultérieurement. Le mot de passe à créer doit comporter entre 4 et 8 caractères et être composé d’au moins une lettre et/ou chiffre et/ou un caractère diacritique. Une fois l’utilisateur créé, il faut l’intégrer à des groupes secondaires. Sur un serveur SambaÉdu3, les principaux groupes secondaires sont : TICE académie de Versailles
Page 52/157
CHAPITRE 7. GESTION DES UTILISATEURS DANS L’ANNUAIRE
Samba Édu 3
• classes (les élèves d’une classe), • matières (les enseignants d’une même discipline), • équipes (les professeurs d’une même classe).
Il est parfois utile d’activer le filtre des groupes secondaires. Exemple : intégration d’une élève à la classe de 3ème2 (302).
Ne pas oublier de « rafraîchir » les classes afin de créer le répertoire de chaque nouvel utilisateur.
TICE académie de Versailles
Page 53/157
CHAPITRE 7. GESTION DES UTILISATEURS DANS L’ANNUAIRE
7.3
Samba Édu 3
Les actions sur les utilisateurs
L’administrateur peut modifier bon nombre de paramètres concernant un utilisateur sélectionné : • ajouter à des groupes (Cf. ci-dessus) ou enlever l’utilisateur de certains groupes, • modifier le compte pour changer le nom, le prénom ou le mot de passe d’un utilisateur. Attention : L’identifiant ne peut pas être modifié après création d’un utilisateur, • réinitialiser le mot de passe si un utilisateur a modifié son mot de passe et qu’il l’a ensuite oublié, cette action permet de remettre le mot de passe par défaut, c’est-à-dire la date de naissance au format ANNEEMOISJOUR, sans séparateur : 19920518, • désactiver ce compte : le compte existe toujours, mais l’utilisateur ne peut plus ouvrir de session, • activer ce compte pour réactiver un compte désactivé, • supprimer le compte : le compte est détruit dans l’annuaire LDAP, il restera éventuellement à effacer le répertoire personnel de l’utilisateur dans la partition /home/login et son profil dans /home/profiles/login , • régénérer le profil Windows : le profil actuel de l’utilisateur est supprimé, il sera régénéré à la prochaine ouverture de session comme si l’utilisateur venait d’être ajouté à l’annuaire (l’utilisateur peut le faire lui-même avec le raccourci : Réparer mon compte sur son bureau), • verrouiller le profil Windows : le profil ne peut plus être modifié, • envoyer un Pop Up : un popup apparaît sur le poste de l’utilisateur connecté, • voir les connexions : permet d’afficher l’historique des connexions de l’utilisateur, • gérer les droits : l’administrateur peut déléguer un certain nombre de droits à un utilisateur. – se3_is_admin : administrateur du serveur SambaÉdu3 (tous les droits), – Annu_is_admin : gestion de l’annuaire des utilisateurs (ajout ou suppression d’élèves, de groupes...) – sovajon_is_admin : donne le droit à un professeur de réinitialiser le mot de passe d’un de ses élèves, donc le remettre au format ANNEEMOISJOUR de naissance, – system_is_admin : visualisation des informations système du serveur SambaÉdu3, – computers_is_admin : gestion des clients (ajout ou suppression de machines à des parcs, état des machines...), – printers_is_admin : gestion des files d’impression des imprimantes d’un parc, – echange_can_administrate : gestion des répertoires « _echanges » dans les répertoires classes, – inventaire_can_read : accès à l’interface d’inventaire pour consultation, – annu_can_read : permet de faire des recherches dans l’annuaire, – maintenance_can_write : accéder à l’interface de maintenance pour déclarer une panne, – parc_van_view : pour visualiser la liste des parcs, – parc_can_manage : pour pouvoir gérer un parc, – firefox_is_admin : pour administrer les profils Firefox, – no_Trash_users : pour qu’un compte (cas du documentaliste par exemple) ne soit pas mis à la poubelle suite à une importation de début d’année (Cf. chapitre précédent), – fond_can_change : pour gérer le module fond d’écran, TICE académie de Versailles
Page 54/157
CHAPITRE 7. GESTION DES UTILISATEURS DANS L’ANNUAIRE
Samba Édu 3
– parc_can_clone : pour donner le droit à un utilisateur d’utiliser le module de clonage, – unison_users : pour permettre à un utilisateur de synchroniser ses données stockées sur le serveur SambaÉdu3 et un disque externe. Tout nouveau droit accordé à un utilisateur va entraîner une modification de son interface au niveau du serveur SambaÉdu3.
TICE académie de Versailles
Page 55/157
CHAPITRE 7. GESTION DES UTILISATEURS DANS L’ANNUAIRE
Samba Édu 3
Par défaut, un élève n’a aucun droit, un professeur a le droit de lire l’annuaire (droit annu_can_read). Cependant, pour une meilleure utilisation du réseau, l’administrateur peut accorder certains droits aux enseignants, notamment : • sovajon_is_admin pour permettre aux enseignants d’administrer les comptes utilisateurs de leurs élèves (réactivation du mot de passe par défaut, modification de certaines données, activation ou désactivation du compte...), • printers_is_admin pour permettre aux enseignants de vider les files d’impression des imprimantes situées dans les parcs qu’ils utilisent avec leurs élèves, • maintenance_can_write pour mettre en place un suivi automatisé des pannes du parc informatique, • echange_can_administrate pour permettre aux enseignants d’activer ou de désactiver le répertoire « _echanges » de leurs classes en fonction de leurs besoins, • parc_van_view pour permettre aux enseignants d’avoir une vue d’ensemble sur les machines d’un parc. Si vous souhaitez mettre en place la délégation forte de parcs auprès de certains utilisateurs, ces derniers doivent bénéficier du droit parc_can_manage.
TICE académie de Versailles
Page 56/157
Chapitre 8 Intégrer une machine dans le domaine Se3 Sommaire 8.1 8.2 8.3
Mise à jour des machines . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Mise au domaine à distance . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Mise au domaine manuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
TICE académie de Versailles
CHAPITRE 8. INTÉGRER UNE MACHINE DANS LE DOMAINE SE3
Samba Édu 3
La mise au domaine peut se faire soit à distance en utilisant l’interface web, soit en intervenant directement sur la machine cliente. Dans les deux cas, un certain nombre de préalables doivent être levés sur la station.
8.1
Mise à jour des machines
La gestion correcte des profils distants, et le nettoyage du dossier « C :\Documents and Settings » est optimisée pour fonctionner avec des clients sous Windows XP SP3. Des problèmes de connexion (profil distant non trouvé) peuvent se produire avec un poste non mis à jour ou d’autres dysfonctionnements qui pourraient encombrer le réseau local. Il est nécessaire d’avoir des clients à jour et si possible d’utiliser le correctif UPHClean fourni par Microsoft pour optimiser le réseau sambaedu. La meilleure façon de mettre en oeuvre UPHClean est d’utiliser les outils du serveur, en particulier Wpkg qui est décrit plus loin dans ce manuel. Si vous êtes obligés d’installer UPHClean manuellement, il est disponible à cette adresse : http ://www.microsoft.com/downloads/details.aspx ?FamilyID=1B286E6D8912-4E18-B570-42470E2F3582&displaylang=fr
Dans tous les cas : - Désactiver le pare-feu de windows ainsi que ceux éventuellement installés par les logiciels antivirus (le parefeu de symantec est particulièrement « agressif » et bloque le fonctionnement normal d’une station Windows dans un domaine SambaÉdu3). - Désactiver, dans le menu « Outils » -> « Options des dossiers » du poste de travail, le partage de fichier simple.
- S’assurer - particulièrement dans le cas d’une intégration à distance - que le compte local « administrateur » est bien protégé par un mot de passe, ce qui n’est pratiquement jamais le cas pour les machines fournies en dotation par les collectivités territoriales. - Enfin, il est fortement conseillé d’avoir des stations en IP fixes : • soit par la mise en place de réservations d’adresse au niveau du serveur DHCP de SambaÉdu3 (c’est la configuration préconisée)
TICE académie de Versailles
Page 58/157
CHAPITRE 8. INTÉGRER UNE MACHINE DANS LE DOMAINE SE3
Samba Édu 3
• soit de mettre des adresses « en dur » dans la configuration réseau de la station. Dans ce dernier cas, il faut impérativement - outre l’adresse, le masque, la passerelle (en général le slis) et le serveur DNS (le slis également), configurer le serveur SambaÉdu3 comme serveur WINS.
- Pour finir, et s’il y a lieu d’utiliser par la suite certaines fonctionalités particulières (clonage des stations, réinstallation unattended, etc ...), il faut activer dans le BIOS de la machine l’otion « boot PXE » c’est à dire donner la possibilité à la station au démarrage d’aller chercher un système d’exploitation sur le réseau plutôt que sur un disque dur local. Ce boot « sur la carte réseau », doit être placé en tête des priorités. Toujours dans le BIOS, l’option « Wake-On-Lan » (la possibilité d’allumer la machine à distance) peut également être activé, ce qui permettra de programmer des actions de clonage, de restauration ou d’installation d’OS à distance, y compris si les machines sont éteintes.
8.2
Mise au domaine à distance
Dans ce cas, le serveur DHCP doit être configuré et actif sur le SambaÉdu3. Au démarrage, la machine obtient une adresse dans la plage dynamique du DHCP. Elle apparaît dans l’interface web, dans le menu « Serveur dhcp » -> « Gestion des baux ».
Dans un premier temps, on modifie l’adresse IP de la machine pour lui en donner une EN DEHORS DE LA PLAGE DYNAMIQUE, et dans le champs déroulant « action », on sélectionne « Réserver » puis on clique sur le bouton « Valider les réservations ». La machine disparait alors de la liste des baux en cours, pour apparaître dans celle des « réservations actives ».
TICE académie de Versailles
Page 59/157
CHAPITRE 8. INTÉGRER UNE MACHINE DANS LE DOMAINE SE3
Samba Édu 3
Assurez vous par un « ipconfig /renew » dans une fenêtre cmd que la machine dispose bien de sa nouvelle IP. Il est possible d’ors et déja de lui faire rejoindre un parc, si au moins un parc existe, en le selectionnant dans la liste déroulante. La machine à la fin du processus d’intégration démarrera alors l’installation des logiciels programmés pour être déployé sur le parc en question. Cette opération est optionnelle. Dans le menu « action », choisir « Intégrer », donner le mot de passe de l’administrateur local de la machine dans le champ adéquat et cliquer sur le bouton « Valider les actions ». La machine va s’éteindre et redémarrer plusieurs fois. Laisser le processus suivre son cours jusqu’à obtention d’une boîte de dialogue d’ouverture de session. A la première ouverture de session, la machine va terminer son installation (vous verrez des fenêtres de scripts s’ouvrir et se fermer rapidement). Il est conseillé de rebooter une dernière fois la machine pour terminer son intégration.
8.3
Mise au domaine manuelle
Cette mise au domaine peut se faire si l’adressage IP des sations est configuré « en dur », ou si la mise au domaine à distance échoue. Sur la station, après avoir ouvert une session avec le compte « administrateur » local, choisir dans le menu « démarrer » la fonction « Exécuter », et dans la boite de dialogue, entrer la commande suivante : \\se3\netlogon (ou se3 est le nom netbios du serveur sambaedu) Dans la boite de dialogue suivante, entrer l’identifiant « adminse3 » et le mot de passe affecté à ce compte lors de la mise en place du serveur. Ouvrir le dossier « Domscripts » et lancer le script « RejointSE3.cmd ». Le processus d’intégration commence alors et provoque plusieurs arrêts et redémarrages successifs de la machine, jusqu’à obtention d’une boîte de dialogue d’ouverture de session. A la première ouverture de session, la machine va terminer son installation (vous verrez des fenêtres de scripts s’ouvrir et se fermer rapidement). Il est conseillé de rebooter une dernière fois la machine pour terminer son intégration.
TICE académie de Versailles
Page 60/157
Chapitre 9 Gérer les parcs machines Sommaire 9.1 9.2 9.3 9.4 9.5 9.6 9.7
À quoi servent les parcs ? . . . . . . . . . . . . . . Création d’un parc . . . . . . . . . . . . . . . . . . Ajout d’une machine supplémentaire à un parc Liste des parcs et actions possibles . . . . . . . . Suppression de machines . . . . . . . . . . . . . . Délégation de la gestion du parc . . . . . . . . . Actions sur un parc . . . . . . . . . . . . . . . . .
TICE académie de Versailles
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
62 62 63 63 65 66 67
CHAPITRE 9. GÉRER LES PARCS MACHINES
9.1
Samba Édu 3
À quoi servent les parcs ?
Un parc est un groupe de machines, il permet de les regrouper selon certains critères : machines d’une salle particulière, d’un certain modèle, possédant tel ou tel périphérique. Une machine peut appartenir à plusieurs parcs, ce qui permet de multiples combinaisons : ordinateur du parc « tni » et du parc « salleinfo » , ordinateur du parc « dvd » et du parc « salledesprofs » , etc. Les parcs sont utilisés pour personnaliser les bureaux d’une salle, pour exécuter des actions (allumage automatique d’une salle par exemple), pour installer des applications automatiquement avec le module Wpkg, pour cloner et sauvegarder des machines. Il est donc important de classer les équipements en plusieurs ensembles. Une configuration simple et classique consiste au minimum à créer : • un parc par salle • un parc regroupant toutes les machines (cela peut être très utile pour éteindre tous les postes le soir) Lors de la première connexion d’une machine au réseau, le nom Windows (NetBios) de celle-ci sera automatiquement inscrit dans l’annuaire LDAP du serveur. Il est donc judicieux de bien choisir le nom de chaque machine de manière à pouvoir facilement les identifier, par exemple salle103pc10.
9.2
Création d’un parc
L’ajout d’un parc permet d’y associer un « template », cela vous permettra d’agir sur l’environnement par défaut des machines du parc (logiciel, raccourcis, imprimante, etc).
Ce « template » est géré comme tous les autres « templates » de groupe.
La création d’un parc impose l’ajout d’une machine. TICE académie de Versailles
Page 62/157
CHAPITRE 9. GÉRER LES PARCS MACHINES
9.3
Samba Édu 3
Ajout d’une machine supplémentaire à un parc
Comme ci-dessus. Auparavant, choisir le parc, puis cliquer sur « valider ».
Notez, sur la partie basse de l’illustration ci-dessus, qu’il est possible de créer un dossier de template ultérieurement pour un parc existant auquel on n’aurait pas affecté de template lors de sa création. Il est toutefois conseillé de le faire dès la création du parc.
9.4
Liste des parcs et actions possibles
Il est possible d’accéder à la liste des parcs existants sur le réseau afin d’en assurer la gestion.
TICE académie de Versailles
Page 63/157
CHAPITRE 9. GÉRER LES PARCS MACHINES
Samba Édu 3
Les stations apparaissent dans un tableau permettant de recenser divers renseignements : • La première colonne permet un accès direct vers l’inventaire de la station (à condition que le service soit activé). • Le nom de la station dans la 2ème colonne est cliquable et permet d’accéder à l’historique des connexions de la station. • L’adresse IP de la station ou de l’imprimante est affichée. • La date de la dernière connexion à la station. Cette dernière apparait en rouge si > 1 mois • Une case à cocher permet de supprimer la machine du parc. • La dernière colonne permet de supprimer complètement une machine : elle sera alors supprimée de tous les parcs (et donc de l’annuaire).
TICE académie de Versailles
Page 64/157
CHAPITRE 9. GÉRER LES PARCS MACHINES
Samba Édu 3
Les icônes au dessus de l’interface permettent d’accéder aux différentes actions à effectuer sur le parc.
9.5
Suppression de machines
Vous pouvez : • Effacer des machines d’un parc. • Effacer des parcs de l’annuaire. • Effacer des machines n’appartenant à aucun parc. La suppression d’une machine d’un parc n’entraîne pas la suppression définitive de la machine de l’annuaire. Elle peut donc continuer à exister dans d’autres parcs ou sans parc. Attention : Pour les versions récentes de SambaÉdu3, un parc vide est détruit. Donc lorsque vous supprimez la dernière machine, le parc est supprimé en même temps. TICE académie de Versailles
Page 65/157
CHAPITRE 9. GÉRER LES PARCS MACHINES
9.6
Samba Édu 3
Délégation de la gestion du parc
Il existe deux types de délégations : • une délégation faible : « permettre à l’utilisateur de suivre le parc », qui consiste au seul droit de lister les machines d’un parc • une délégation forte qui permet d’accéder aux actions sur le parc
La délégation forte permet aussi à un utilisateur d’intervenir sur le « template » associé au parc, contrairement à la délégation faible, qui permet simplement de suivre le parc dans l’interface. Ce « template » apparaît alors dans le dossier « Mes Documents/Délégation » de l’utilisateur. Le menu délégation permet de la même manière de déléguer un « template » quelconque (groupe ou utilisateur). Si l’on souhaite aussi que l’utilisateur soit administrateur des machines de son parc et qu’il puisse donc modifier leurs configurations et installer des applications, on peut utiliser le paquet proposé par le module wpkg : delegationIsAdminLocal.xml. Pour en savoir plus, consultez le chapitre consacré à Wpkg. En couplant ce droit avec printers_is_admin, la personne sera en mesure de gérer les imprimantes de son parc.
TICE académie de Versailles
Page 66/157
CHAPITRE 9. GÉRER LES PARCS MACHINES
9.7
Samba Édu 3
Actions sur un parc
Le menu « Programmer » permet d’allumer ou éteindre à distance les postes clients. Sélectionner un parc pour agir sur toutes les machines qui le composent. État : indique si la machine est éteinte ou allumée. Connexions : indique qui a une session ouverte dessus. Contrôle permet de prendre le contrôle du client, via le programme « bureau à distance » de Windows. L’allumage des postes n’est possible que si l’option « wake on LAN » a été configurée dans leur BIOS.
Attention, le pare-feu sur les clients XP peut empêcher l’extinction des postes...
TICE académie de Versailles
Page 67/157
Chapitre 10 Maintenance de l’annuaire LDAP Sommaire 10.1 Exportation des comptes sous forme de fichier csv . . . . . . . . . . . . 69 10.2 Nettoyage des comptes orphelins . . . . . . . . . . . . . . . . . . . . . . . 70 10.3 Récupération de l’annuaire après un problème . . . . . . . . . . . . . . . 71
TICE académie de Versailles
CHAPITRE 10. MAINTENANCE DE L’ANNUAIRE LDAP
10.1
Samba Édu 3
Exportation des comptes sous forme de fichier csv
Il est possible d’exporter l’annuaire du serveur au format csv, un format texte qui peut ensuite être ouvert dans un tableur. Il est possible d’exporter les comptes élèves et les comptes professeurs. Cela permet par exemple de garder la trace des noms, logins et dates de naissance. Ce fichier peut aussi vous permettre de créer des comptes dans d’autres applications, comme Claroline, spip, etc.
• « Export LDAP » permet d’exporter l’annuaire sous forme de fichier au format ldif. C’est ce qu’il faut faire pour sauvegarder l’annuaire. Cette sauvegarde est essentielle : elle comporte les utilisateurs et les machines de votre réseau. • « Import LDAP » permet de récupérer un annuaire sauvegardé. Toutes les données sont écrasées. • « Replica LDAP » permet la réplication avec un autre SE3, un SLIS, un LCS. Attention : cette option n’est plus compatible entre un Slis4 et un SE3 Etch ou Lenny ! Une autre procédure est à suivre (cf 3.1.5. de ce document).
TICE académie de Versailles
Page 69/157
CHAPITRE 10. MAINTENANCE DE L’ANNUAIRE LDAP
10.2
Samba Édu 3
Nettoyage des comptes orphelins
« Nettoyage des comptes » permet de gérer les comptes « orphelins », c’est-à dire ceux des utilisateurs qui ne sont pas dans le fichier d’extraction généré dans Sconet, et qui ont donc probablement quitté l’établissement. Le serveur va pour établir la liste des comptes orphelins vérifier quels utilisateurs n’appartiennent plus à aucun groupe classes. Ils sont alors placés alors dans la branche « trash » de ldap, la corbeille de l’annuaire. On peut choisir de les détruire, ainsi que leurs dossiers « home ». Cette opération de nettoyage est importante, faute de quoi, les fichiers d’anciens élèves vont s’accumuler sur votre serveur et il deviendra difficile de savoir quels répertoires homes sont effaçables.
Le nettoyage des comptes se fait en plusieurs étapes : • Lancer le processus en cliquant sur “Transfert des comptes orphelins dans la corbeille” : SambaÉdu3 recherche dans l’annuaire les comptes présents qui n’appartiennent plus à aucun groupe, concrètement des professeurs ou des élèves qui ne sont plus dans aucune classe. Ces comptes sont transférés dans la corbeille pour examen. • On peut alors examiner le contenu de la corbeille et décider de récupérer ou non certains comptes. • Une fois le contenu de la corbeille vérifié et après avoir éventuellement récupéré certains comptes, vous pouvez lancer la suppression : « Effacer les homes des comptes orphelins » ou « Déplacer les comptes des homes orphelins vers un dossier temporaire » (dans ce cas ils sont mis dans un dossier « Trash » dans le lecteur X :{} ) puis « Vider la corbeille ».
TICE académie de Versailles
Page 70/157
CHAPITRE 10. MAINTENANCE DE L’ANNUAIRE LDAP
Samba Édu 3
NB : Pensez que si vous avez eu besoin de créer des comptes manuellement (pour certains membres de l’administration, la documentation, les cop...) après une importation de début d’année, ceux-ci vont se retrouver dans la corbeille car ils n’appartiennent à aucun groupe. Pour éviter cette situation, attribuez d’abord le droit « No_Trash_user » aux comptes concernés. Rappel : L’importation annuelle n’agit que sur l’annuaire LDAP : • • • • •
conservation de tous les utilisateurs (élèves, profs, ...), suppression de tous les groupes Classes, Équipes, Cours, Matières, déjà existants, ajout des nouveaux utilisateurs, création de tous les groupes de la nouvelle structure, affectation des utilisateurs à ces groupes.
Cette importation annuelle n’a aucune action sur les dossiers existants dans les partitions /var/se3 et /home du serveur de fichier : elle ne fait que créer et remplir les classes dans l’annuaire, mais ne modifie pas les répertoires associés. Reportez-vous au chapitre consacré à la création des comptes pour plus d’information sur la procédure de début d’année.
10.3
Récupération de l’annuaire après un problème
L’annuaire est sauvegardé régulièrement sur le serveur dans le dossier /var/se3/save/ldap Il peut arriver qu’il tombe en panne, mais il vous est possible de recharger une ancienne version très facilement.
Récupérer automatiquement un annuaire • Ouvrez une session root sur le serveur (via SSH ou directement au clavier). • Lancer le script “restaure_ldap.sh” • Le script liste les sauvegardes présentes sur le serveur, une par jour de la semaine et d’autres plus anciennes. Il vous est possible de copier une ancienne sauvegarde dans /var/se3/save/ldap auparavant pour qu’elle soit listée. • Choisissez la sauvegarde que vous souhaitez réimporter • Entrez son nom et validez
Récupérer manuellement un annuaire • Se connecter sur le serveur en root. • Stopper ldap : /etc/init.d/slapd stop • Sauvegarder DB_CONFIG : cp /var/lib/ldap/DB_CONFIG /root/ TICE académie de Versailles
Page 71/157
CHAPITRE 10. MAINTENANCE DE L’ANNUAIRE LDAP
Samba Édu 3
• Supprimer les fichiers LDAP corrompus : rm -f /var/lib/ldap/* • Réimporter le LDAP : slapadd -c -l /var/se3/save/ldap/jour\_de\_la\_semaine.ldif Le fichier ldif est sauvegardé tout les soirs, il faut donc utiliser celui de la veille. • Recopier DB_CONFIG : cp /root/DB_CONFIG /var/lib/ldap/ • Réindexer (ça ne mange pas de pain) slapindex • Relancer ldap /etc/init.d/slapd start
TICE académie de Versailles
Page 72/157
Chapitre 11 Gérer les ressources et partages Sommaire 11.1 Le partage K (Dossier personnel sur Se3) . . . . 11.1.1 Particularité pour les professeurs . . . . . . . . . 11.2 Le partage H (Classes sur Se3) . . . . . . . . . . 11.2.1 Du point de vue « élève » . . . . . . . . . . . . . 11.2.2 Du point de vue « professeur » . . . . . . . . . . 11.2.3 Du point de vue « administrateur » . . . . . . . 11.3 Le partage I (Docs sur Se3) . . . . . . . . . . . . 11.4 Le partage L (Progs sur Se3) . . . . . . . . . . . 11.5 Les partages suplémentaires de l’administrateur 11.5.1 Le partage X (Admhomes sur Se3) . . . . . . . . 11.5.2 Le partage Y (Admse3 sur Se3) . . . . . . . . . . 11.6 Résumé des droits sur les partages utilisateurs 11.7 Modification des droits sur les partages . . . . .
TICE académie de Versailles
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74 74 74 75 76 77 77 79 79 79 80 81 81
CHAPITRE 11. GÉRER LES RESSOURCES ET PARTAGES
11.1
Samba Édu 3
Le partage K (Dossier personnel sur Se3)
Dans le poste de travail, le lecteur réseau K: correspond au dossier privé « Home » de l’utilisateur sur le serveur et comprend ses fichiers personnels. On y trouve le répertoire « Docs » qui correspond au dossier « Mes documents ». On y trouve également le « Bureau » et le menu « Démarrer » de l’utilisateur. Ces répertoires ne sont en général pas utilisés directement, mais le plus souvent de façon transparente via l’interface Windows : quand un utilisateur enregistre un document dans « Mes Documents », il l’enregistre en fait dans « K :\Docs », qui lui même se trouve sur le serveur SambaÉdu3.
Les utilisateurs peuvent ainsi librement personnaliser les répertoires « Bureau », leur menu « Démarrer » et les retrouver sur n’importe quel poste Windows sur le réseau. Il faut noter que, sur le serveur, le dossier « Home » est créé lorsqu’un utilisateur se connecte pour la première fois sur le domaine. Un répertoire est créé dans se3:/home sur la base d’un modèle situé dans le répertoire du serveur se3:/etc/skel/user. Ce répertoire aura comme nom l’identifiant (uid) de l’utilisateur. Ces espaces sont strictement personnels. Les élèves et les professeurs peuvent échanger des documents dans les autres espaces de stockage en réseau. SambaÉdu3 distingue donc des espaces partagés et des espaces privés. Seul l’utilisateur « admin » peut y avoir accès (voir partage X), mais cet accès doit être considéré comme purement technique, l’administrateur réseau ayant vis à vis des utilisateurs le devoir de respecter leur vie privée.
11.1.1
Particularité pour les professeurs
Si un professeur utilise la « distribution de devoirs », il retrouvera les copies d’élèves directement dans le lecteur K:, dans un répertoire « devoirs ». Pour plus d’informations, voir la documentation sur l’interface pédagogique.
11.2
Le partage H (Classes sur Se3)
Comme nous venons de le voir, dans un réseau SambaÉdu3, le dossier « Mes Documents » est strictement privé, y compris pour les élèves. Les professeurs ne peuvent donc pas y avoir accès. À la place, il faut utiliser le partage « Classes » dédié aux échanges de documents pédagogiques, qui est accessible aux professeurs et aux élèves. TICE académie de Versailles
Page 74/157
CHAPITRE 11. GÉRER LES RESSOURCES ET PARTAGES
11.2.1
Samba Édu 3
Du point de vue « élève »
Il contient les répertoires suivants :
- « login » Un répertoire nommé sous la même forme que le login dans lequel il enregistrera tous les fichiers qui concernent son travail scolaire. Ses professeurs auront accès à celui-ci par exemple pour corriger ses travaux. En fin d’année s’il désire conserver certains de ses travaux, il lui faudra les enregistrer dans K: son répertoire « Mes documents » puisque H: sera effacé.
- travail Un répertoire « _travail » dans lequel l’élève ira chercher les documents déposés par le professeur. Ce répertoire n’est accessible qu’en lecture.
- echange Eventuellement, si l’administrateur l’a créé, un troisième répertoire « _echange » dans lequel les élèves et profs de la classe peuvent partager des documents. Accès en lecture/écriture.
TICE académie de Versailles
Page 75/157
CHAPITRE 11. GÉRER LES RESSOURCES ET PARTAGES
11.2.2
Samba Édu 3
Du point de vue « professeur »
C’est le partage contenant l’ensemble des répertoires classe du professeur. Chacun des répertoires classes contient : • Un répertoire par élève de sa classe dans lequel celui-ci enregistrera tous les fichiers qui concernent son travail scolaire. Le professeur y aura accès, par exemple pour corriger les travaux.
En début d’année, lorsque les données sconet/STSweb ne sont pas à jour, les professeurs ne voient pas leurs classes. La solution consiste alors à cocher l’option « Droits du groupe Profs » dans le menu « Répertoires Classes » de la « Gestion des partages ». Les professeurs auront accès temporairement à l’ensemble des classes.
• Un répertoire « _Travail » dans lequel il enregistrera les documents devant être mis à disposition des élèves. Ce répertoire n’est accessible qu’en lecture pour les élèves, ils ne pourront donc pas modifier ces documents. Les élèves devront alors copier le document dans leur répertoire, s’ils désirent le modifier.
• Un répertoire « _profs » accessible seulement par les professeurs, et permettant d’échanger des informations avec l’équipe pédagogique de la classe.
TICE académie de Versailles
Page 76/157
CHAPITRE 11. GÉRER LES RESSOURCES ET PARTAGES
Samba Édu 3
• Eventuellement, si l’administrateur l’a activé, le répertoire « _echange » dans lequel les élèves et professeurs de la classe peuvent partager des documents. Accès en lecture/écriture.
11.2.3
Du point de vue « administrateur »
L’administrateur a évidemment accès en lecture et écriture à toutes les classes et aux dossiers d’échanges. Comme il a été indiqué ci-dessus, il est le seul à pouvoir créer et autoriser l’utilisation d’un troisième répertoire « _echange » dans lequel les élèves et professeurs de la classe peuvent partager des documents (à moins de déléguer aux professeurs un droit spécial : « _echange_can_administrate »). S’il est verrouillé, il est inaccessible aux utilisateurs. Le déverrouillage peut être éventuellement planifié (par exemple, dans le cas d’un travail de groupe tel que IDD ou TPE)
L’administrateur aura pour rôle de créer les dossiers « classes » en début d’année et de les rafraichir lorsque des élèves ou professeurs arrivent en cours d’année. Pour plus de détails, se reporter au chapitre « L’importation en début d’année » et « En cours d’année : les autres importations ».
11.3
Le partage I (Docs sur Se3)
C’est une zone d’échange de fichiers. • Elle comprend par défaut un répertoire « public » dans lequel l’ensemble des utilisateurs peut ouvrir, enregistrer, supprimer, modifier tous les fichiers. L’usage de ce répertoire doit être temporaire car tout fichier peut-être effacés par n’importe qui.
TICE académie de Versailles
Page 77/157
CHAPITRE 11. GÉRER LES RESSOURCES ET PARTAGES
Samba Édu 3
• Un autre répertoire « media » est visible pour tous les utilisateurs si le module « Système Fonds d’écran » a été activé. Celui-ci contient les fonds d’écran des utilisateurs. Seul l’administrateur peut visualiser le contenu du dossier et gérer les fonds d’écran.
• Dans le profil « professeur » un répertoire supplémentaire « Trombine » est visible et accessible en lecture seule, dans lequel se trouve les fichiers constituant le trombinoscope de tous les utilisateurs (seul admin a les droits sur ce répertoire). Pour alimenter le trombinoscope, il suffira à l’administrateur de déposer toutes les photos au format login.gif, login.png, login.jpg ou login.jpeg. Les fichiers n’étant pas ordonnés par groupe, pour qu’un professeur visualise le trombinoscope d’une classe ou d’un groupe en particulier, il sera plus pratique de passer par l’interface web, dans l’annuaire, sélectionner une classe ou un groupe, puis cliquer sur « Afficher un trombinoscope du groupe ».
• Enfin, le profil de l’administrateur verra dans le partage I, en plus des trois autres, un dossier supplémentaire « deploy », lui permettant de déposer des fichiers ou des dossiers à déployer vers des groupes d’utilisateurs (voir le chapitre « Déploiement de fichiers ou de répertoires » pour plus de précisions).
D’autres répertoires peuvent être créés par l’administrateur en fonction des besoins. Cela peut-être pour un club, un groupe de professeurs, un groupe d’élèves. Seuls les utilisateurs de ces groupes y ont accès. Ces partages et leurs droits sont gérés librement par l’administrateur. Se reporter au chapitre « Les dossiers partagés » pour plus de précisions.
TICE académie de Versailles
Page 78/157
CHAPITRE 11. GÉRER LES RESSOURCES ET PARTAGES
11.4
Samba Édu 3
Le partage L (Progs sur Se3)
C’est dans ce partage que sont installés les logiciels réseau. Il ne faut surtout pas aller les modifier, cela pourrait créer des dysfonctionnements. Le dossier « ro » est en lecture seule, le dossier « rw » est en lecture-écriture.
11.5
Les partages suplémentaires de l’administrateur
L’administrateur, a bien entendu tous les droits sur les répertoires H (Classes), I (Docs) et L (Progs) des autres utilisateurs. Il dispose de deux nouveaux répertoires contenus dans les partages X et Y.
11.5.1
Le partage X (Admhomes sur Se3)
Dans ce partage il y a tous les répertoires homes des utilisateurs du réseau ainsi que les répertoires templates et netlogon : • Homes : L’accès au Home des utilisateurs peut permettre d’ajouter des raccourcis vers des logiciels, ou d’en supprimer, voire d’effacer certaines données. Cet accès doit être utilisé avec discernement et de manière exceptionnelle, les utilisateurs d’un réseau ayant le droit de conserver un espace strictement privé.
TICE académie de Versailles
Page 79/157
CHAPITRE 11. GÉRER LES RESSOURCES ET PARTAGES
Samba Édu 3
• Templates : C’est ici que sont les répertoires au nom des parcs machines, des machines, des groupes, etc. permettant de fabriquer l’environnement des différents utilisateurs suivant la machine sur laquelle il travaille.
• Netlogon : Dans ce répertoire vous avez un fichier par utilisateur dans lequel sont récapitulés tous les scripts (logon.bat des répertoires situés dans templates) de sa dernière connexion. Cela permet de contrôler, débugger les Templates.
11.5.2
Le partage Y (Admse3 sur Se3)
C’est un lien qui pointe vers tous les partages du répertoire /var/se3 du serveur. On y trouve donc entre autres les partages H (Classes), I (Docs) et L (Progs), ainsi que ceux que créés par l’administrateur, mais aussi d’autres partages comme save (contenant les sauvegardes journalières d’un certain nombre de fichiers sensibles), synchro (si le module a été activé), unattended (idem).
A noter que le partage Progs contient des dossiers affichés uniquement ici (et non dans L) comme install, dans ro : inventory, italc, printers (seulement si les modules/logiciels sont actifs TICE académie de Versailles
Page 80/157
CHAPITRE 11. GÉRER LES RESSOURCES ET PARTAGES
11.6
Samba Édu 3
Résumé des droits sur les partages utilisateurs
Les droits disponibles sont les suivants : • Le droit de lecture : il est possible de lire le contenu d’un fichier ou de lister le contenu d’un répertoire. • Le droit d’écriture : il est possible de modifier ou d’effacer un fichier ou d’ajouter et d’effacer des fichiers dans un répertoire • Le droit d’exécuter : il est possible de lancer un exécutable ou d’ouvrir un répertoire Le tableau suivant résume les droits par défaut sur les partages vus ci-dessus. Ces droits sont notés R (read) pour lecture W (write) pour écriture et X (execute) pour exécution.
11.7
Modification des droits sur les partages
Les droits vus sur l’interface :
TICE académie de Versailles
Page 81/157
CHAPITRE 11. GÉRER LES RESSOURCES ET PARTAGES
Samba Édu 3
SambaÉdu3 peut attribuer des droits particuliers à chaque fichier et à chaque répertoire. Il est possible de modifier les droits par défaut à un fichier ou un dossier pour un groupe ou des utilisateurs précis. On peut par exemple donner le droit de lire, d’écrire et d’éxécuter au groupe Profs sur un répertoire et d’autres droits sur ce même répertoire au groupe Elèves.
TICE académie de Versailles
Page 82/157
Chapitre 12 Les dossiers partagés
TICE académie de Versailles
CHAPITRE 12. LES DOSSIERS PARTAGÉS
Samba Édu 3
Le serveur SambaÉdu3 propose plusieurs partages réseau pré-construits : public, classes, personnels. Il est néanmoins parfaitement possible de créer de nouveaux partages et d’y associer des droits specifiques pour répondre à un besoin particulier : club cinéma où élèves et professeurs doivent pouvoir déposer des documents, répertoire privé partagé au niveau d’une équipe de professeurs, répertoire partagé par un petit groupe d’élèves dans le cadre d’un travail en groupe, etc. Pour créer un nouveau partage réseau, à partir du menu « Ressources et partages », sélectionnez « Création de partages » Indiquez : • Nom du partage : C’est le nom du partage qui apparaîtra dans le voisinage réseau de vos stations clientes. • Chemin /var/se3/ : C’est le nom du sous-répertoire qui sera créé dans /var/se3/ (si celui-ci n’est pas créé, le faire à la main soit sur le serveur soit à partir d’un client avec le compte admin). • Commentaire : C’est le commentaire qui sera associé à ce nouveau partage • Utilisateur(s) (autorisés/refusés) : • Autorisés (valid users) : Les utilisateurs ou groupes d’utilisateurs qui ont accès à ce partage. • Refusés (invalid users) : Les utilisateurs qui n’ont pas accès à ce partage. • Utilisateur(s) ayant les droits d’administration sur ce partage : Ce paramètre (admin users) vous permet de préciser les utilisateurs ou les groupes d’utilisateurs ayant les droits d’administration sur ce partage. • Limitation d’accès à un parc : Vous pouvez ici choisir un parc dans la liste afin de limiter l’accès à ce partage aux machines du parc que vous aurez sélectionnées. Si vous laissez ce champ vide, il n’y aura pas de restriction d’accès au niveau parc sur ce partage. (*) Les champs où l’on demande un ou des utilisateurs doivent être renseignés par des utilisateurs ou groupes posix ( Classes_, Cours, Autres...) de l’annuaire ldap. Ils seront séparés d’une virgule et devant les groupes sera noté le caractère @. Exemple : admin, @admins, @eleves Il est possible après la création du répertoire, de modifier ou d’affiner les ACLs (Access Control List). Cliquez sur « Droits sur fichiers », sélectionnez le répertoire puis les sous répertoires ou fichiers pour lesquels vous voulez modifier les droits. Cliquez sur le bouton « Valider ». Vous pouvez modifier les droits pour les utilisateurs et les groupes actuellement propriétaires, modifier les droits hérités pour les nouveaux dossiers ou fichiers créés dans un répertoire.
TICE académie de Versailles
Page 84/157
CHAPITRE 12. LES DOSSIERS PARTAGÉS
Samba Édu 3
Vous pouvez ajouter un utilisateur ou un groupe supplémentaire.
Il est possible de créer un partage et d’y associer un lecteur réseau pour un « template » : Exemple : Ajout d’un lecteur réseau pour le groupe « Profs » Ajoutez un partage réseau dans /var/se3 TICE académie de Versailles
Page 85/157
CHAPITRE 12. LES DOSSIERS PARTAGÉS
Samba Édu 3
Ajoutez la ligne suivante dans le logon.bat du « template » « profs » : net use P : //nomdu serveur/nom du partage Vérifiez avec un compte prof, que le lecteur P a bien été créé.
TICE académie de Versailles
Page 86/157
Chapitre 13 Déploiement de fichiers ou répertoires dans les « homes » Sommaire 13.1 Fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 13.2 Exemple 1 : déployer un dossier contenant une documentation dans les dossiers personnels des utilisateurs . . . . . . . . . . . . . . . . . . . . 89 13.3 Exemple 2 : déployer tous des paramètres de Firefox sur l’ensemble les profils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
TICE académie de Versailles
CHAPITRE 13. DÉPLOIEMENT DE FICHIERS OU RÉPERTOIRES DANS LES « HOMES »
13.1
Samba Édu 3
Fonctionnement
Le menu « Clients Windows » / « Déploiement » permet à l’administrateur d’envoyer un fichier à tous les utilisateurs. Cela est très utile, par exemple pour placer une charte informatique dans tous les répertoires « Mes Documents » ou encore pour fixer certaines configurations en envoyant un fichier .ini dans le répertoire profil des usagers. Le fichier ou répertoire à déployer doit se situer dans le répertoire partagé « I :\deploy ». Pour éviter que des fichiers oubliés dans ce répertoire soient déployés, il est indispensable de ne mettre qu’un et un seul fichier ou répertoire à la racine « deploy ». S’il y en a plusieurs, lorsque vous validerez, un message d’erreur apparaîtra et l’opération sera stoppée.
On accède donc à une page sur laquelle les renseignements ci-dessous sont demandés : • Répertoire dans lequel sera effectuée la copie : Ces répertoires correspondent aux contenus des « home » de chaque utilisateur. • Voulez-vous écraser le répertoire ou fichier si celui-ci existe déjà ? : Cela permet d’éviter d’écraser un fichier s’il existe déjà pour quelques utilisateurs. Ils pourront ainsi conserver leurs données. • Sélectionner le(s) groupe(s) pour le déploiement : Un ou plusieurs groupes classés par catégorie peuvent être sélectionnés avec l’aide des touches ctrl et shift. Après validation quelques tests sont effectués et un récapitulatif de vos choix est présenté. Ce qui vous permet de confirmer ou pas le déploiement.
TICE académie de Versailles
Page 88/157
CHAPITRE 13. DÉPLOIEMENT DE FICHIERS OU RÉPERTOIRES DANS LES « HOMES »
13.2
Samba Édu 3
Ne pas oublier d’enlever les fichiers du répertoire « Deploy » une fois l’opération terminée
Exemple 1 : déployer un dossier contenant une documentation dans les dossiers personnels des utilisateurs
Dans cet exemple, on considère que l’on veut mettre à disposition dans le « Mes documents » des utilisateurs un dossier contenant des documentations sur les différents services de l’établissement (par exemple comment se servir de l’interface SambaÉdu3, comment accéder à l’ENT, etc.) et ceci en fonction du profil professeur ou élève. Il s’agit dans un premier temps de créer un dossier « Aide utilisateur élève » correspondant au profil élève, puis un autre dossier « Aide utilisateur prof » contenant les documents d’aide pour les professeurs. Pour déployer ces dossiers, il faut se connecter en « admin », puis placer le premier dossier élève dans « I :\deploy ». Se rendre ensuite sur l’interface du SambaÉdu3, puis menu « Clients Windows » / « Déploiement ». Choisir le répertoire de déploiement : cliquer sur Docs. Approuver l’option « Voulez-vous écraser le répertoire ou le fichier si celui-ci existe déjà ? ». Sélectionner le groupe « Elève » situés dans « Autres » à droite de l’écran. Un récapitulatif est présenté. Confirmer l’opération s’il n’y a pas eu erreur dans les manipulations ci-dessus. • Renouveler l’opération en remplacant d’abord le dossier « Aide utilisateur élève » par celui correspondant aux professeurs dans « I :\deploy ». Cette fois, il s’agira de choisir le groupe Profs pour le déploiement. • • • •
Il ne reste plus qu’à nettoyer le dossier « Deploy ».
13.3
Exemple 2 : déployer tous des paramètres de Firefox sur l’ensemble les profils
On souhaite dans notre exemple déployer sur l’ensemble des profils utilisateurs une configuration complète de Firefox (marques-pages, paramètres de proxy, etc.) On considère que la même version de Firefox est installée sur l’ensemble du parc (cf chapitre « Déploiement automatisé d’applications » Firefox est géré dans chaque session utilisateur par un ensemble de fichiers situés dans chaque « home », ce qui permet à chacun de personnaliser son navigateur. Ce dossier est situé dans « K :\profil\appdata\Mozilla\Firefox\Profiles \default » sur SE3 et il est nécessaire d’activer l’affichage des TICE académie de Versailles
Page 89/157
CHAPITRE 13. DÉPLOIEMENT DE FICHIERS OU RÉPERTOIRES DANS LES « HOMES »
Samba Édu 3
fichiers et dossiers cachés pour le visualiser. On configure tout d’abord Firefox dans un profil (le plus commode est admin, mais cela peut être n’importe quel utilisateur) avec tous les paramètres voulus. Ensuite, il suffit de quitter Firefox, puis de copier le répertoire « default » dans « I :\deploy ». S’il s’agit de la configuration d’un autre utilisateur qu’admin, nous utiliserons le partage X pour aller récupérer le dossier dans le home de l’utilisateur. Il ne reste plus qu’à se rendre dans l’interface de SambaÉdu3, dans le menu « Clients Windows » / « Déploiement ». • Choisir le répertoire de déploiement : cliquer successivement sur profil, appdata, Mozilla, Firefox, Profiles. • Approuver l’option « Voulez-vous écraser le répertoire ou le fichier si celui-ci existe déjà ? ». • Sélectionner à l’aide de la touche CTRL tous les groupes situés dans « Autres » à droite de l’écran. • Un récapitulatif est présenté. Confirmer l’opération s’il n’y a pas eu erreur dans les manipulations ci-dessus. Tous les utilisateurs ont maintenant hérités des réglages de l’utilisteur modèle dans Firefox. Bien entendu, on pourrait envisager ce déploiement que pour quelques utilisateurs ou groupes. Il ne reste plus qu’à nettoyer le dossier « Deploy ». A noter que cette manipulations ne concerne que les utilisateurs présents dans l’annuaire. Pour tout nouvel utilisateur, il peut être intéressant de remplacer le dossier « default » dans le « home » de l’utilisateur modèle skeluser. Cette manipulation faite, tout nouvel utilisateur bénéficiera d’une bonne configuration lors de la création de son compte.
TICE académie de Versailles
Page 90/157
Chapitre 14 Gestion des devoirs par les professeurs Sommaire 14.1 14.2 14.3 14.4 14.5
Que fait la distribution de devoir ? Distribuer le devoir . . . . . . . . . Récupération des devoirs . . . . . . Envoi de corrigés . . . . . . . . . . . Gestion des devoirs . . . . . . . . .
TICE académie de Versailles
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
92 92 93 94 94
CHAPITRE 14. GESTION DES DEVOIRS PAR LES PROFESSEURS
14.1
Samba Édu 3
Que fait la distribution de devoir ?
Le module distribution de devoir permet à un professeur trois types de distributions : • une distribution simple qui lui permet d’envoyer un ou plusieurs fichiers à certains élèves ou à une classe entière, par exemple un énoncé, un document, une fiche de TD. • une distribution de devoirs qui lui permet d’envoyer un sujet, puis dans un deuxième temps de récupérer les travaux d’élèves, sous forme de fichiers • une distribution complète de devoir qui lui permet, d’envoyer un sujet, de récupérer les travaux d’élèves, puis de les corriger et de les renvoyer corrigés aux élèves
14.2
Distribuer le devoir
Indiquez les paramètres de distribution : Le document de type « devoir » permet par la suite une gestion de la récupération à la différence de « simple distribution ». Suite à la validation, sélectionnez la ou les classes concernées. Dans le cas d’un devoir, son nom sera aussi le nom du dossier contenant le devoir reçu par les élèves.
Il faut veiller à ce qu’il soit unique, sans caractères spéciaux, sans espaces ni accents, par exemple « FrancaisTD1 ».
Après la distribution le fichier sera donc dans le répertoire “Classes/Nom_de_la_classe/Nom_eleve/Nom_ Le nom du fichier à rendre sera le nom du fichier que les élèves indiqueront au moment de rendre leur travail. L’extension est libre : si vous indiquez ”td“ dans le champ ”Fichier à rendre“ du formullaire, les élèves pourront enregistrer leur travail sous la forme td.pdf ou td.odt ou encore td.jpg. Indiquez la date de retour et un commentaire.
TICE académie de Versailles
Page 92/157
CHAPITRE 14. GESTION DES DEVOIRS PAR LES PROFESSEURS
Samba Édu 3
Sélectionnez le fichier à distribuer.
Cette action permet la création d’un dossier au nom du devoir dans H:\nom de la classe\nom de l’élève.
14.3
Récupération des devoirs
La récupération se fait en cliquant sur le bouton « 1ère récupération ». Les actions de « récupération » recherchent le fichier du devoir préparé par chaque élève dans le dossier du devoir de leur répertoire de classe. Cette recherche s’appuie sur le nom du fichier indiqué au moment de la création du devoir, de sorte que les élèves doivent obligatoirement nommer ce fichier du nom indiqué dans « fichier à rendre » (avec une casse quelconque). S’il est trouvé, celui-ci est recopié dans le poste de travail du professeur avec le chemin K:\Devoirs\nom du devoir, en prenant le nom de chaque élève et en gardant l’extension d’origine, afin de faciliter la liaison avec le logiciel correspondant. TICE académie de Versailles
Page 93/157
CHAPITRE 14. GESTION DES DEVOIRS PAR LES PROFESSEURS
Samba Édu 3
L’action « Terminer » est déclenchée au moment où le professeur le souhaite (par exemple lorsque la date d’échéance prévue pour le devoir est dépassée). Il est alors possible par la suite d’envoyer des corrigés.
14.4
Envoi de corrigés
2 types de documents sont disponibles : • Envoi des « devoirs corrigés » : une copie corrigée du devoir de l’élève sera envoyée dans le dossier adéquat sous le nom standard DEVOIR-CORRIGE (en gardant son extension). Cette fonction implique que le professeur ouvre chaque ”copie“ d’élève, la corrige et l’annote directement dans le logiciel, puis la renvoie aux élèves. • Envoi d’un « corrigé-modèle » : Le fichier contenant le corrigé-type sera envoyé à chaque élève concerné, qui le recevra sous le nom CORRIGE (en gardant son extension).
14.5
Gestion des devoirs
Cette page permet de modifier les propriétés d’un devoir ainsi que reprendre la récupération d’un devoir ou bien l’archiver (dans ce cas, il n’y a plus d’action possible).
TICE académie de Versailles
Page 94/157
Chapitre 15 Gérer les « templates » (modèles) Sommaire 15.1 15.2 15.3 15.4 15.5 15.6 15.7
Fonctionnement des templates . . . . . . Les sous-répertoires associés aux groupes Le répertoire base . . . . . . . . . . . . . . Application et combinaison de templates Le sous-répertoire skeluser . . . . . . . . . Le script de connexion . . . . . . . . . . . Cas de windows XP et 2000 . . . . . . . .
TICE académie de Versailles
. . . . . . . . . . . . . . . . . . 96 d’utilisateurs ou de machines 97 . . . . . . . . . . . . . . . . . . 98 . . . . . . . . . . . . . . . . . . 98 . . . . . . . . . . . . . . . . . . 99 . . . . . . . . . . . . . . . . . . 99 . . . . . . . . . . . . . . . . . . 100
CHAPITRE 15. GÉRER LES « TEMPLATES » (MODÈLES)
15.1
Samba Édu 3
Fonctionnement des templates
Les « templates » sont des répertoires qui permettent de construire le bureau type des utilisateurs de votre réseau et d’offrir à tout le monde les mêmes raccourcis. À chaque connexion d’un utilisateur le système observe à quel(s) groupe(s) il appartient et à quel(s) parc(s) appartient la machine sur laquelle il se connecte. Pour chaque groupe et chaque parc, le serveur ajoute les raccourcis prévus : l’utilisateur hérite sur son bureau et dans son menu démarrer de toutes les icônes présentes dans les différents templates exécutés. L’appartenance dans l’annuaire LDAP d’un utilisateur à un groupe (ou d’un PC à un parc machine), permet l’exécution du template ayant le même nom. Par exemple, un élève de la classe « classe_elec » se connectant sur un PC du parc machine « cdi », héritera des configurations présentes dans les répertoires « base », « eleve », « classe_elec », « cdi » du répertoire template. Un prof se connectant sur la même machine héritera lui des configurations présentes dans les répertoires « base », « prof », « cdi » (plus celles des autres groupes auxquels il appartient). Le bureau peut donc être géré très finement en fonction de l’utilisateur et de la machine sur laquelle il se connecte. Les templates sont gérés par l’administrateur à partir du répertoire templates dans le partage X:\admhomes\templates. Dans ce répertoire, on créé un répertoire pour chaque groupe ou chaque parc pour lequel on souhaite définir une configuration type. Le répertoire de chaque template contient : • un ou des scripts logon.bat lancé au login de l’utilisateur, ils exécutent certaines commandes windows, comme l’installation d’un partage réseau, d’une imprimante propre à un parc ou un groupe. • un répertoire Bureau où l’on place des fichiers, en général, des raccourcis • un répertoire Demarrer où l’on place des raccourcis à ajouter au menu Démarrer
Le bureau et le répertoire Démarrer d’un utilisateur se composent à partir de l’ajout des fichiers figurant dans 3 endroits : sur le poste “/documents and settings/all users”, sur le serveur le bureau personnel de l’utilisateur et sur le serveur les répertoires “templates”.
TICE académie de Versailles
Page 96/157
CHAPITRE 15. GÉRER LES « TEMPLATES » (MODÈLES)
15.2
Samba Édu 3
Les sous-répertoires associés aux groupes d’utilisateurs ou de machines
Les templates correspondent soit à des groupes d’utilisateurs, soit à des parcs de machines. Le nom du répertoire à créer dans X:\admhomes\templates doit être identique au nom du groupe ou au nom du parc, en particulier il doit être écrit en minuscules afin que celui-ci puisse fonctionner. A la création d’un parc, il vous est demandé si vous souhaitez ou non créer un « template pour ce parc ». Si vous avez coché cette option, le serveur aura créé un répertoire au nom du parc dans X:\admhomes\templates.
Certains templates sont créés à l’installation de SE3 afin d’assurer un fonctionnement minimum : • • • •
admin base eleves profs
Le contenu de vos répertoires de templates doivent avoir une arborescence particulière : • un répertoire « Bureau » • un répertoire « Demarrer » • à la racine d’éventuels scripts de login : logon.bat (pour tous les clients), logon_Win2K.bat et logon_Win95.bat si vous avez des clients 9x et 2000 Si vous souhaitez créer un nouveau template, utilisez l’interface « Parc »/ « Ajout »/ « Créer les dossiers de templates », ou bien créez un nouveau répertoire dans X:\admhomes\templates au nom du groupe ou du parc et contenant les répertoires nécessaires.
TICE académie de Versailles
Page 97/157
CHAPITRE 15. GÉRER LES « TEMPLATES » (MODÈLES)
15.3
Samba Édu 3
Le répertoire base
Le répertoire base est le premier template exécuté. Celui-ci est appliqué à tous les utilisateurs, quels que soient leurs groupes, il est donc souvent préférable de faire les modifications sur d’autres templates (profs et eleves par exemples), sauf si vos paramétrages concernent tous les utilisateurs du réseau. Dans le répertoire base, on trouve les scripts de connexion par défaut appliqués au démarrage des clients en fonction de l’OS (logon.bat, logon_Win2K.bat, logon_Win95.bat). • Par défaut, seul logon.bat est utilisé, il permet les connexions aux lecteurs réseaux « Home », « Docs », « Classes », « Progs ». • Dans le sous-répertoire « Bureau », vous pouvez ajouter des icônes qui apparaîtront sur le bureau des utilisateurs de ce groupe, dès la prochaine connexion. • Dans le sous-répertoire « Démarrer », vous pouvez paramétrer les icônes du menu démarrer qui apparaîtront sur le bureau des utilisateurs de ce groupe, dès la prochaine connexion.
15.4
Application et combinaison de templates
La construction de l’environnement utilisateur se fait selon le parc machine sur lequel il se connecte, selon les groupes auxquels il appartient ou les deux ensemble (double template). • Cas du parc de machines : Après avoir défini un parc de machine, créer une copie du répertoire base au nom de votre parc de machine. Attention, le nom doit être en minuscule. Toutes les modifications que vous apportez à ce répertoire se répercuteront dans le parc choisi. • Cas d’un groupe : Les mêmes modifications sont possibles. Les répertoires élèves et profs préexistants permettent de travailler sur les groupes les plus utiles. Il est possible de créer un groupe particulier en cas de nécessité ou d’utiliser les groupes classes, mais dans ce cas, il faut veiller à passer tous les noms en minuscules. • Ex : classe_4g4 , equipe_4g4 , ..... Attention, le groupe classe ne contient pas les professeurs de la classe, il faut donc traiter deux répertoires un pour les profs « equipe_4g4 » et un pour la classe « classe_4g4 » si l’on veut travailler sur une classe et ses professeurs. Il est également possible de travailler uniquement sur une matière dans la classe, par exemple créer un répertoire « cours_maths_4g4 » dans templates permet de travailler sur le bureau des élèves de 4G4 et sur le bureau du prof de maths de la classe. • Cas des doubles templates : Si vous souhaitez combiner l’application du template en fonction par exemple du parc machine « graveur » et du groupe « profs », il faut créer un répertoire de template appelé « profs@@graveur » les deux arobases permettant la combinaisons de deux groupes ou parcs. Dans cet exemple, seuls les utilisateurs du groupe « profs » connectés sur une machine appartenant au parc machine « graveur » hériteront des raccourcis que vous aurez placés dans X:\admhomes\templates\profs@@graveur\Bureau.
TICE académie de Versailles
Page 98/157
CHAPITRE 15. GÉRER LES « TEMPLATES » (MODÈLES)
Samba Édu 3
Il est possible de faire des doubles templates de type : • • • •
utilisateur@@machine utilisateur@@parc_machine groupe_utilisateur@@machine groupe_utilisateur@@parc_machine
15.5
Le sous-répertoire skeluser
Dans ce sous-répertoire, se trouve le profil par défaut des utilisateurs. Lorsqu’un utilisateur s’identifie pour la première fois sur le réseau, il n’a pas encore de répertoire personnel : son bureau, ses documents et son menu démarrer sont copiés à partir du modèle « skeluser ». Par la suite, ce modèle ne servira plus, mais l’environment de l’utilisateur sera composé de ses fichiers personnels et des fichiers et raccourcis hérités des templates qui le concernent.
15.6
Le script de connexion
Lors de la première connexion d’un utilisateur, un répertoire à son nom est créé dans admhomes, on parle de son “home”, il est sur le serveur dans /home/identifiant où identifiant est l’identifiant de l’utilisateur. A chaque connexion, un script de connexion est créé et placé dans le répertoire netlogon (/home/netlogon). Il comprend tous les scripts logon.bat qui concernent l’utilisateur, celui de base et celui des autres templates (profs, eleves, parc, etc). Si plusieurs logon.bat sont utilisés, l’ordre d’apparition dans le logon.bat final de l’utilisateur est : base, groupes puis parcs. Ce script de login est recréé à chaque login en fonction des templates. Les modifications effectuées dans logon_Win2K ne sont prises en compte que lorsque le client est Windows 2000 ou Windows XP. Les modifications effectuées dans logon_Win95 ne sont prises en compte que lorsque le client est Windows95 ou Windows98.
TICE académie de Versailles
Page 99/157
CHAPITRE 15. GÉRER LES « TEMPLATES » (MODÈLES)
15.7
Samba Édu 3
Cas de windows XP et 2000
Certaines fonctionnalités supplémentaires sont utilisées : synchronisation des fichiers, traitement des fichiers hors connexion , sauvegarde des favoris. Le répertoire profile est alors utilisé pour stocker le profil errant. Mais les modifications doivent être placées dans profil pour être prises en compte. Si on supprime ce répertoire il est recréé automatiquement à partir du répertoire default user, qui se trouve dans netlogon. Lors des deux premières connexions sur un poste Windows 2000/XP, des messages d’erreurs liés à l’absence des répertoires personnels de l’utilisateur apparaissent. Ils n’apparaîtront plus ensuite.
TICE académie de Versailles
Page 100/157
Chapitre 16 Informations machines et utilisateurs Sommaire 16.1 Les connexions actives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 16.2 Historique des connexions . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
TICE académie de Versailles
CHAPITRE 16. INFORMATIONS MACHINES ET UTILISATEURS
16.1
Samba Édu 3
Les connexions actives
Cette fonction permet de savoir qui est connecté en ce moment et sur quel client.
16.2
Historique des connexions
Il faut d’abord choisir un critère de sélection et saisir, selon le cas, l’IP, le nom de la machine ou de l’utilisateur.
En cliquant sur l’identifiant d’un utilisateur, on accède à l’historique de ses connexions.
TICE académie de Versailles
Page 102/157
Chapitre 17 Gestion du disque du serveur Sommaire 17.1 Occupation des partitions . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 17.2 Occupation des répertoires . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 17.3 Détermination des quotas . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
TICE académie de Versailles
CHAPITRE 17. GESTION DU DISQUE DU SERVEUR
17.1
Samba Édu 3
Occupation des partitions
Il faut en particulier surveiller l’occupation des partitions /var/se3 et /home. Les partitions correspondent à : • • • • •
/ : la partition racine, où se situe le système linux /dev/shm : correspond à un espace de mémoire partagée /var : est la partition contenant les fichiers variables, en particulier les logs : /var/log /var/se3 : est la partition des partages “classes” et “progs” /home : est la partition où sont stockés les documents utilisateurs
17.2
Occupation des répertoires
Le choix peut être affiné en cliquant sur « occupation du disque »
TICE académie de Versailles
Page 104/157
CHAPITRE 17. GESTION DU DISQUE DU SERVEUR
17.3
Samba Édu 3
Détermination des quotas
On fixe des quotas pour une partition entière. Pour Sambaedu, ce sont les partitions /home et /var/se3. Il faut autoriser un dépassement temporaire pour qu’un utilisateur ne se voie pas empêché d’enregistrer un document qui dépasserait le quota. En cas de dépassement, un message lui est transmis via le navigateur web. Le navigateur utilisé pour afficher les messages d’alerte est Internet Explorer, car Firefox ne peut pas fonctionner en cas d’interdiction d’écriture sur la partition /home.
La fonction « quotas effectifs » permet de voir où en est chaque utilisateur d’un groupe.
TICE académie de Versailles
Page 105/157
CHAPITRE 17. GESTION DU DISQUE DU SERVEUR
Samba Édu 3
En cliquant sur le nom d’un utilisateur dans le tableau récapitulatif des quotas, on peut avoir le détail par type de fichiers. Cela permet de faire la chasse aux fichiers multimédias MP3 et autres...
TICE académie de Versailles
Page 106/157
Chapitre 18 Gestion des imprimantes Sommaire 18.1 18.2 18.3 18.4
Ajout d’une imprimante . . . . . . . . . Les protocoles . . . . . . . . . . . . . . . Ajout de l’imprimante à un parc . . . . Téléchargement du pilote sur le serveur
TICE académie de Versailles
. . . . . . . . . . . . . . . . . . . . . . . . d’impression
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
108 108 109 110
CHAPITRE 18. GESTION DES IMPRIMANTES
Samba Édu 3
SambaÉdu3 propose un système centralisé des imprimantes : celles-ci sont déclarées sur le serveur et c’est à lui que les clients envoient les documents à imprimer. L’avantage est double : • Les clients n’ont accès qu’aux seules imprimantes de leur parc, cela évite les confusions • Il devient possible d’automatiser l’installation des imprimantes
18.1
Ajout d’une imprimante
À partir du menu « Imprimantes » sélectionnez « Nouvelle imprimante ».
Donnez un nom clair à votre imprimante. L’URI correspond à l’adresse IP dans le cas d’une imprimante réseau. Pour le choix du pilote d’impression, il y a plusieurs possibilités : • Pilote Windows du client : correspond à une installation manuelle. • Pilote Windows du client déployable : correspond à l’installation normale • Pilote du serveur CUPS : il n’est pas nécessaire de faire une installation des drivers sur chaque station. On utilise un pilote générique, (générique/texte seulement) qui existe dans la base de pilotes de windows 98 ou de XP. Mais généralement les pilotes Cups « ppd » sont de moins bonne qualité que les pilotes Windows et l’utilisation de cette méthode risque de surcharger le serveur SambaÉdu3.
18.2
Les protocoles
• TCP/IP : c’est le protocole le plus courant. Il convient aux imprimantes réseau et aux imprimantes munies d’un boîtier « serveur d’impression ». Mettre l’IP de l’imprimante dans le champ URI • Parallèle : Permet de placer une imprimante sur le port parallèle du serveur Se3. Dans ce cas, il faut mettre la valeur lp0 dans le champ URI • Usb : Permet de placer une imprimante Usb sur le serveur Se3. Il faut mettre la valeur lp0 dans le champ URI • IPP : C’est le futur protocole générique de dialogue avec les imprimantes à travers le réseau. A terme, ce protocole remplacera tous les autres. TICE académie de Versailles
Page 108/157
CHAPITRE 18. GESTION DES IMPRIMANTES
Samba Édu 3
• HTTP : C’est le protocole Web classique. De nombreuses imprimantes récentes gèrent ce protocole. • Samba : Permet d’utiliser une imprimante partagée par un poste Windows. On place l’adresse IP du poste qui offre le partage dans le champ URI et le nom du partage dans le champ Nom. • Lpr/Lpd : Permet d’utiliser une imprimante partagée par un boitier serveur d’imprimante ou des serveurs GNU/Linux.
Type de pilotes : Pour une installation automatique des pilotes windows, le choix « pilotes Windows du client déployable » est obligatoire.
18.3
Ajout de l’imprimante à un parc
Choisir un ou plusieurs parcs à partir desquels l’imprimante sera accessible, valider puis choisir l’imprimante à ajouter. A partir du moment où une imprimante est associée à un parc, elle devient visible dans le voisinage réseau de la station et peut être installée de manière classique. La suppression permet de retirer une ou plusieurs imprimantes d’un parc, sans les supprimer complètement du serveur. Cela permet de déplacer une imprimante d’une salle vers une autre. Ce menu permet aussi de supprimer complètement une imprimante du réseau. TICE académie de Versailles
Page 109/157
CHAPITRE 18. GESTION DES IMPRIMANTES
18.4
Samba Édu 3
Téléchargement du pilote sur le serveur d’impression
Pour un déploiement automatique du pilote, celui-ci doit être copié sur le serveur. Cette copie ne doit pas être effectuée par copier-coller mais en respectant la procédure suivante. Cette fonctionnalité est disponible à partir de SambaÉdu3 1.01. A partir du voisinage réseau sous Windows 98 ou bien des favoris réseau sous XP, se connecter au serveur de fichiers SambaÉdu3.
L’imprimante doit apparaitre sur le serveur. Il ne va pas s’agir pour le moment de l’installer à proprement dit mais d’en modifier les propriétés afin de signaler au serveur que l’on veut charger TICE académie de Versailles
Page 110/157
CHAPITRE 18. GESTION DES IMPRIMANTES
Samba Édu 3
un nouveau pilote. Cliquez sur « Imprimante et télécopieur ».
Un clic droit sur l’imprimante qui apparaît puis « Propriétés ». Un message devrait vous avertir que Windows ne trouve pas les pilotes et vous propose de l’installer, répondre NON. Une fois dans la nouvelle boîte de dialogue, cliquer sur l’onglet « Avancé » puis sur le bouton « Nouveau pilote ».
La suite se déroule comme une installation classique d’un pilote. Le pilote peut être sélectionné à partir de la base Windows ou du Cdrom du constructeur. Le pilote est alors copié automatiquement dans le partage « print$ » du serveur. note : Un message d’erreur à cette étape de l’installation signifie sans doute que le mode « pilote déployable » n’a pas été sélectionné lors de la création de l’imprimante dans l’interface web.
Avec certains pilotes d’imprimantes, il est nécessaire que l’administrateur se connecte au moins une fois sur un ordinateur du parc concerné. Cela permettra de finaliser le déploiement de l’imprimante. Dans le cas contraire, un message d’erreur apparaitra lors de l’installation de ce pilote pour les utilisateurs
Si il y
a plusieurs imprimantes dans un même parc, il est possible de définir l’imprimante par défaut. À partir du menu « Imprimantes » sélectionnez « Imprimante par défaut ». Sélectionner le parc concerné.
TICE académie de Versailles
Page 111/157
CHAPITRE 18. GESTION DES IMPRIMANTES
Samba Édu 3
Puis l’imprimante par défaut dans ce parc.
TICE académie de Versailles
Page 112/157
Chapitre 19 Gestion des clés de base de registre Sommaire 19.1 Une base de données initiale . . . . . . . . . . 19.2 Des groupes de clés . . . . . . . . . . . . . . . 19.2.1 Les groupes prédéfinis . . . . . . . . . . . . . 19.2.2 Le groupe « aucune protection » . . . . . . . 19.2.3 Des templates . . . . . . . . . . . . . . . . . . 19.3 Le principe d’attribution . . . . . . . . . . . . 19.3.1 Fonctionnement du groupe spécial . . . . . . 19.4 Mise en place d’une configuration de base . 19.5 Ajout d’une configuration supplémentaire . . 19.6 Tester la configuration . . . . . . . . . . . . . 19.7 Gestion des groupes de clés . . . . . . . . . . 19.7.1 Ajouter un groupe de clés . . . . . . . . . . . 19.7.2 Modifier un groupe de clés . . . . . . . . . . .
TICE académie de Versailles
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . 114 . . . . . . . 114 . . . . . . . . 114 . . . . . . . . 115 . . . . . . . . 115 . . . . . . . 115 . . . . . . . . 116 . . . . . . . 116 . . . . . . . 118 . . . . . . . 119 . . . . . . . 120 . . . . . . . . 120 . . . . . . . . 120
CHAPITRE 19. GESTION DES CLÉS DE BASE DE REGISTRE
19.1
Samba Édu 3
Une base de données initiale
Une base d’environ 243 clés de registre est proposée sur le site de Caen. Il est possible d’importer cette base depuis l’interface web d’administration du serveur SE3 et de la mettre à jour : A partir du menu « Clients Windows », sélectionnez « Gestion des clés », cliquez sur « Effectuer la mise à jour de la base de clés ». On peut également ajouter à cette base, des clés personnelles ou modifier les valeurs de clés existantes. Les clés sont de deux types : • Clé de configuration qui n’a qu’une seule valeur (par exemple : url de la page de démarrage de I.E.) et 2 états, active ou non configurée. • Clé de restriction (par exemple : verrouiller la barre des tâches) qui a trois états : Active (1 – rouge dans l’interface web d’administration) Inactive (SUPPR – vert dans l’interface web d’administration). Non configurée (la clé n’est pas appliquée). Une clé donnée peut concerner TOUS les systèmes (OS : 9x, 2000, XP) ou seulement un ou plusieurs d’entre eux.
19.2
Des groupes de clés
Lorsque l’on met en place une stratégie, elle comporte, en général plus d’une clé. Pour faciliter la gestion de la stratégie souhaitée, il est commode de réunir dans un groupe de clés, un ensemble de clés en puisant dans la base de données initiale. On pourra ainsi avoir plusieurs configurations types à notre disposition. Des groupes de clés prédéfinis existent et peuvent être importés depuis le serveur central de Caen de la même manière que précédemment : A partir du menu « Clients Windows », sélectionnez « Gestion des clés », cliquez sur « Effectuer la mise à jour des groupes de clés ». Vous pouvez, bien entendu, créer de nouveaux groupes de clés ou modifier des groupes existants.
19.2.1
Les groupes prédéfinis
• norestrict (164 clés) permet de lever la restriction (désactiver ou mettre à SUPPR – vert) de l’ensemble de toutes les clés de restriction contenues dans la base de donnée des clés. • Optimisation et sécurité (33 clés) permet d’établir une configuration par défaut sur les postes par un ensemble de règles, pas nécessairement restrictives, qu’il peut être souhaitable d’appliquer à tous les postes, indépendamment de l’utilisateur qui se connecte. • Restrictions légères (30 clés) permet de sécuriser un peu les postes sans trop brider leur usage. • Restrictions moyennes (74 clés) permet de mettre en place une sécurisation acceptable des postes vis-à-vis des élèves. TICE académie de Versailles
Page 114/157
CHAPITRE 19. GESTION DES CLÉS DE BASE DE REGISTRE
Samba Édu 3
• SambaEdu3 config 9x (8 clés) configuration qu’il est nécessaire d’appliquer aux postes Windows 9x clients d’un domaine SambaEdu. De plus, l’application de ce groupe de clés dispense de la fusion des fichiers UserShellFolders.reg et NetConfLight.reg (voir la documentation officielle SambaEdu3 : Installation d’un poste client Windows 98 / Configuration spécifique à SambaEdu3). • Proxy (4 clés) configuration du proxy (dans le cas d’un SLIS)
19.2.2
Le groupe « aucune protection »
En plus des groupes prédéfinis, il existe un groupe ayant un fonctionnement particulier : Aucune protection (voir ci-après). Il n’apparait pas dans l’interface Web « Gestion des clés » « Editer les groupes de clés ? ». On le trouve dans Attribution des clés - Choix des templates - Choix du niveau de sécurité. Il n’est utile que pour les comptes administrateur et permet de lever toutes les restrictions.
19.2.3
Des templates
Une fois définis les clés et les groupes de clés, il faut les attribuer aux utilisateurs ou aux machines. Dans SambaEdu3, le vecteur naturel de distribution de configuration est le template. Le menu « Attribution des clés » permet d’attribuer des configurations particulières aux utilisateurs, ainsi, tous les utilisateurs du groupe bénéficieront des clés attribuées à celui-ci.
19.3
Le principe d’attribution
Le mode de distribution des clés par les templates possède un gros inconvénient : l’ordre de concaténation des templates n’est pas totalement maîtrisé. Entre les diverses catégories, l’ordre d’application est : 1. 2. 3. 4. 5. 6. 7. 8. 9.
base groupes d’utilisateurs parcs de machines machine utilisateur utilisateur@@machine utilisateur@@Parcs groupes@@machine groupes@@parcs
Pour chaque clé, seule la dernière valeur lue dans la liste précédente est appliquée. Exemples : Si une clé de restriction est active sur le template « base », inactive sur le template « profs » et non configurée sur le template « eleves », alors : • l’élève se verra appliqué la restriction appliquée à base (puisque celle-ci n’est pas levée ensuite). TICE académie de Versailles
Page 115/157
CHAPITRE 19. GESTION DES CLÉS DE BASE DE REGISTRE
Samba Édu 3
• le professeur ne subira pas la restriction puisque celle-ci est inactive sur le template « profs ». Si la clé de configuration « page de démarrage d’internet explorer » a la valeur http ://google.fr sur le template « eleves », http ://blogdubahut.org sur le template « atelier-info@@salle1 », alors : • l’élève membre du groupe « Atelier-info », qui se connecte en « salle1 » aura comme page de démarrage d’IE : http ://blogdubahut.org • l’élève membre du groupe « Atelier-info », qui se connecte dans un autre parc que « salle1 » aura comme page de démarrage d’IE : http ://google.fr • l’élève qui n’est pas membre du groupe « Atelier-info », qui se connecte en « salle1 » aura comme page de démarrage d’IE : http ://google.fr Mais, on ne maîtrise pas dans chaque catégorie l’ordre d’application. Par exemple, si un utilisateur appartient au groupe Elèves, Classe_2nd, Cours_2nd_maths, Cours_2nd_Francais, et si, il existe 2 templates cours_2nd_maths, cours_2nd_francais, il n’y a pas moyen de savoir à l’avance lequel de ces deux templates sera évalué en premier. Par conséquent, si une restriction est appliquée dans l’un de ces template et levée dans l’autre, au final, le résultat sera aléatoire pour un utilisateur qui dépendrait de ces deux templates ! Une telle indétermination dans le résultat d’application de clés de registre n’est bien sûr pas acceptable. C’est pourquoi il est nécessaire de s’ imposer un certain nombre de règles visant à imposer une stratégie rigoureuse d’application des règles de restriction. Ces règles, découlent du principe de base suivant :
Dans le cas de clés de restrictions, il est judicieux d’activer des restrictions sur le template « base » et de les rendre inactives sur d’autres templates.
En procédant ainsi, on est sûr que l’utilisateur aura en toutes circonstances les configurations de registre auxquelles on peut s’attendre puisque les restrictions sont appliquées, puis ensuite levées en fonction des privilèges attribués à chacun des templates qui le concernent. Peu importe l’ordre dans lequel les restrictions se lèvent, l’utilisateur bénéficiera du cumul des privilèges.
19.3.1
Fonctionnement du groupe spécial
Aucune protection permet d’appliquer à un template toutes les levées de restrictions.
19.4
Mise en place d’une configuration de base
Dans l’exemple qui suit, nous désirons mettre en place pour tous un niveau de restriction sur les postes assez fort de manière à sécuriser par défaut l’environnement windows. Pour les profs cependant, nous allons définir une politique de restriction plus légère leur permettant plus de souplesse au niveau de l’environnement de travail. Enfin, l’utilisateur admin verra toutes les restrictions levées. A partir du menu « Client Windows » Cliquez sur « Attribution des clés » TICE académie de Versailles
Page 116/157
CHAPITRE 19. GESTION DES CLÉS DE BASE DE REGISTRE
Samba Édu 3
l’interface vous propose alors la liste des templates SambaEdu3 déjà définis. • • • • •
base s’applique a tout le monde profs s’applique aux Professeurs eleves s’applique aux élèves admin s’applique à l’utilisateur générique admin overfill s’applique aux utilisateurs ayant dépassé leur quota sur le disque.
Plus les templates créés par l’administrateur.
Sélectionnez base, puis choisir le niveau de sécurité « Restrictions Moyennes ». Ainsi, par défaut, tous les utilisateurs auront ce niveau de restriction.
Sélectionnez profs, puis choisir le niveau de sécurité « Restrictions légères ». Les professeurs, auront alors un niveau moins restrictif que base.
Sélectionnez admin puis choisir le niveau de sécurité « Aucune protection » Admin n’a alors plus aucune des restriction de base.
Et les élèves ? Il est inutile de préciser quoi que ce soit, car ils héritent des restrictions données à base.
TICE académie de Versailles
Page 117/157
CHAPITRE 19. GESTION DES CLÉS DE BASE DE REGISTRE
19.5
Samba Édu 3
Ajout d’une configuration supplémentaire
Parmi les groupes de clés définis par défaut, le groupe « Optimisation et sécurité » définit un ensemble de règles, pas nécessairement restrictives, qu’il peut être souhaitable d’appliquer sur tous les postes, indépendamment de l’identité de celui qui se connecte. Le groupe « SambaEdu3 config 9x » contient quant à lui la configuration qu’il est nécessaire d’appliquer aux postes windows 9x dans un réseau SambaEdu. Nous allons donc ajouter ces clés à la configuration que nous venons de mettre en place. Pour cela, sélectionnez le template base dans le menu « attribution des clés ». Cliquez sur le bouton « Incorporer des groupes de clés ».
Sélectionnez les groupes de clés
Reproduire cette démarche en sélectionnant les templates : profs eleves admin et en incorporant le groupe « Optimisation et sécurité »
Remarque : Il est important de bien distinguer les actions de « choisir un niveau de sécurité » et « d’incorporer un groupe de clés ». En choisissant un niveau de sécurité, vous initialisez la configuration du template avec les clés définies dans le niveau choisi. Toute configuration antérieure est effacée. TICE académie de Versailles
Page 118/157
CHAPITRE 19. GESTION DES CLÉS DE BASE DE REGISTRE
Samba Édu 3
En incorporant un groupe de clé, au contraire, les configurations antérieures sont conservées et les clés définies dans le ou les groupes à incorporer sont ajoutées. L’avantage d’avoir distingué les « templates » pour le groupe de clés « Optimisation et sécurité » est : La possibilité de modifier pour chaque « template » la configuration, par exemple, du papier peint et de la page d’accueil d’Internet explorer qui peuvent alors être différents pour les professeurs et pour les élèves. Si vous ne souhaitez pas introduire de valeurs différentes, il est possible d’incorporer le groupe simplement à base.
19.6
Tester la configuration
La configuration définitive appliquée à un utilisateur sur son poste dépend des fragments de configurations appliqués à tous les templates (utilisateur, groupes, machine, parcs, doubles templates) associés à l’utilisateur lorsqu’il se connecte sur sa machine. Lors de configurations complexes, il est parfois difficile de savoir qui héritera de quoi. C’est le rôle de la fonction « Test des restrictions » qui, à partir d’un nom d’utilisateur et de machine (facultatif), va réaliser un calcul des clés de registres qui seront effectivement applicables sur le poste.
TICE académie de Versailles
Page 119/157
CHAPITRE 19. GESTION DES CLÉS DE BASE DE REGISTRE
19.7
Gestion des groupes de clés
19.7.1
Ajouter un groupe de clés
Samba Édu 3
Le menu « gestion des clés » permet d’incorporer un nouveau groupe de clés à partir d’un fichier XML. Exemple : Création d’un groupe de clés pour le bureau de l’admin sur un ordinateur du parc1. Vérifiez que le template admin@@parc1 existe. Voici un exemple de fichier XML :
Groupe de cles V 0.1 HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system\NoSizeCh 1 A partir du menu « Gestion des clés », cliquez sur le bouton « parcourir », indiquer le fichier XML puis cliquer sur le bouton « Incorporer »
Ce groupe de clés est ainsi disponible et peu donc être incorporé à un template.
19.7.2
Modifier un groupe de clés
Le menu « gestion des clés » « Editer les groupes de clés » permet de modifier la configuration d’un groupe de clés. Choisir le groupe de clés à modifier Sélectionner la catégorie pour l’affichage des clés ou « tout » pour afficher toutes les clés.
TICE académie de Versailles
Page 120/157
CHAPITRE 19. GESTION DES CLÉS DE BASE DE REGISTRE
Samba Édu 3
Cliquer dans la colonne « Editer » sur l’icône de la clé à modifier. Indiquer l’état de la clé.
Si toutes les clés d’un groupe sont « non configurées », le groupe sera supprimé
TICE académie de Versailles
Page 121/157
Chapitre 20 L’Inventaire Sommaire 20.1 OCS Inventory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 20.2 Recherche multicritère . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 20.3 La maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
TICE académie de Versailles
CHAPITRE 20. L’INVENTAIRE
20.1
Samba Édu 3
OCS Inventory
L’inventaire est basé sur l’application OCSInventory NG (Open Computer and Software Inventory Next Generation ) : http ://www.ocsinventory-ng.org/ Cet inventaire permet de connaître, la configuration matérielle des postes, ainsi que la liste des logiciels installés. Dans un premier temps, il faut l’activer en sélectionnant « Configuration générale » puis « Modules » Vérifier que le bouton est vert pour « Système d’inventaire (se3-ocs) »
Suite à l’installation d’OCS Inventory, un paquet se3-ocs-clientwin a été installé sur le serveur. Le module inventaire doit avoir ajouté une ligne dans le fichier logon.bat du template “base” : call \\se3\Progs\ro\inventory\deploy\ocs.bat
Attention, en version lenny, cette ligne est commentée par “ : :”, il vous faudra enlever ces deux caractères pour activer l’inventaire.
L’installation sera effective quel que soit le type de compte, en particulier, il n’est pas nécessaire que ce soit un administrateur qui se connecte sur la machine. Suite à l’installation, seul le serveur SambaÉdu3 apparaît dans la liste des ordinateurs. Les clients seront intégrés dans les 24 heures.
Il est possible, pour faire des tests, de forcer la remontée de l’inventaire d’un client, afin de vérifier le bon fonctionnement du service sans attendre 24 heures. Il est aussi possible d’attendre et de faire preuve de patience ;-)... Sur le client Windows, allez faire clic-droit sur le poste de travail, choisir Gérer et ensuite aller dans le menu « services ». Depuis l’outil de gestion des services, cherchez et arrêter le service « OCS TICE académie de Versailles
Page 123/157
CHAPITRE 20. L’INVENTAIRE
Samba Édu 3
INVENTORY SERVICE ». Ouvrez alors, après avoir arrêté le service, le fichier service.ini dans « c :\Program Files\OCS Inventory Agent » Modifier TTO_WAIT=2 Redémarrer le service, la remontez des informations devrait alors être immédiate.
OCS Inventory permet un affichage de toutes les machines, ou par étiquette (tag) ou par recherche multicritères. La sélection d’une machine permet d’afficher des informations précises, telles que :
20.2
Recherche multicritère
Celle-ci est basée sur un ensemble de paramètres et de règles à définir. Exemple : Afficher l’ensemble des ordinateurs dont la mémoire est supérieure à 250 Mo et la vitesse du processeur supérieure à 1500 MHz
TICE académie de Versailles
Page 124/157
CHAPITRE 20. L’INVENTAIRE
Samba Édu 3
Il est intéressant de noter la recherche sur les logiciels installés
20.3
La maintenance
A ce module d’inventaire a été ajouté un module de maintenance permettant de déclarer des problèmes et de formuler des demandes interventions à effectuer sur les machines. NB : pour que les professeurs puissent avoir accès à cet outil dans leur interface, il faut donner le droit « maintenance_can_write » au groupe » Profs ». Pour formuler une demande, sélectionnez une machine dans la liste proposée, ou effectuez une recherche. Cliquez sur le bouton de « Demande de maintenance ». Indiquez le type de maintenance en complétant le formulaire.
La consultation des maintenances permet en cliquant sur le lien « Détail » de répondre à la demande.
TICE académie de Versailles
Page 125/157
CHAPITRE 20. L’INVENTAIRE
Samba Édu 3
La réponse permet de préciser l’état de la machine.
TICE académie de Versailles
Page 126/157
Chapitre 21 Sauvegarde et Restauration des données Sommaire 21.1 21.2 21.3 21.4 21.5
Le menu sauvegarde . . . . . . . . . . . . . . . . . . Mise en place de la sauvegarde sur disque USB . Mise en place de la sauvegarde sur NAS . . . . . Restauration d’un fichier ou d’un dossier . . . . . Restauration de l’ensemble de la partition /home
TICE académie de Versailles
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (ou /var/se3)
. . . . .
. . . . .
. . . . .
. . . . .
128 128 131 133 133
CHAPITRE 21. SAUVEGARDE ET RESTAURATION DES DONNÉES
21.1
Samba Édu 3
Le menu sauvegarde
Se3 intègre une interface pour faire fonctionner un logiciel libre de sauvegarde, backuppc, permettant ainsi une sauvegarde régulière et automatique des données des utilisateurs ainsi que des paramètres principaux de configuration du serveur. La sauvegarde peut s’effectuer sur un disque USB connecté au serveur, ou sur un NAS. Préalables : 1. S’assurer que le module se3-backup est bien installé. Pour ce faire, il suffit dans une console d’entrer la commande suivante : aptitude install se3-backup ou de faire l’installation par le biais de l’interface de gestion des modules.
2. Disposer soit d’un disque USB formaté en ext3, soit d’un NAS sur lequel aura été créé un partage NFS.
21.2
Mise en place de la sauvegarde sur disque USB
1. Brancher le disque USB. 2. Se connecter sur l’interface web du serveur, et ouvrir la rubrique sauvegarde. Cliquer sur « Configuration », puis sur la coche « Configuration par défaut ». La configuration par défaut convient dans la plupart des cas. Vous pouvez cependant adapter les heures auxquelles la sauvegarde peut-être lancée (22h30 par défaut, noté 22.5 en décimal) et la période pendant laquelle il ne peut y avoir de sauvegarde (à éviter pendant les heures ouvrables). Si le serveur dispose d’une entrée dans le DNS, les champs de la rubrique « Plage d’adresse de recherche des machines » peut être ignorée. Une fois la configuration définie, cliquer sur « Valider ». 3. Dans « Support de sauvegarde » → « Etat de la connexion au disque USB », choisir dans la liste déroulante le disque USB qui a été précedement connecté au serveur, puis cliquer sur l’icône rouge. Le disque est alors monté dans le dossier /var/lib/backuppc, et sa capacité de stockage doit apparaître dans l’interface. 4. Dans une console, entrer en tant que root les commandes suivantes, afin de positionner des droits corrects sur le répertoire de sauvegarde : chown -R backuppc:backuppc /var/lib/backuppc chmod -R 750 /var/lib/backuppc TICE académie de Versailles
Page 128/157
CHAPITRE 21. SAUVEGARDE ET RESTAURATION DES DONNÉES
Samba Édu 3
5. Dans l’interface web du serveur, sur la ligne « Etat du serveur de sauvegarde », cliquer sur la coche rouge afin de démarrer le serveur de sauvegarde. La coche passe normalement au vert. Le serveur est maintenant opérationnel. Vous devez obtenir quelque chose ressemblant à la figure suivante.
6. Il s’agit maintenant d’ajouter une machine à sauvegarder. Pour ce faire, dans l’interface : Sauvegarde → Machines → Ajouter une nouvelle sauvegarde, cliquer sur ajouter, et remplissez les champs comme suit : type de machine : se3 nom de la machine : localhost nom DNS : trouvable par son nom (IP fixe) type de sauvegarde : rsyncd compte de connexion : toto (à adapter comme vous le voulez. Le compte toto peut ne pas exister, ni dans les comptes locaux ni dans l’annuaire) • mot de passe de connexion : passtoto (même remarque) • modules à sauvegarder : laisser par défaut « varse3 ;home ;etc » • Souhaitez vous utiliser la configuration par défaut : case Oui, puis cliquez sur « suite ». 7. Configurer le démon rsyncd Le programme rsync a normalement du être installé au cours de la phase de mise en place de SambaÉdu3. Pour vous en assurer entrer la commande : apt-get install rsync ; validez si besoin. Créer le fichier /etc/rsyncd.conf par la commande : touch /etc/rsyncd.conf Editez le par la commande : nano /etc/rsyncd.conf Entrez les lignes suivantes : • • • • •
uid=root gid=root use chroot=no syslog facility=local5 auth users=toto secrets file=/etc/rsyncd.secret TICE académie de Versailles
Page 129/157
CHAPITRE 21. SAUVEGARDE ET RESTAURATION DES DONNÉES
Samba Édu 3
hosts allow=172.20.0.2 127.0.0.1 read only=yes [varse3] comment = dossier /var/se3 path = /var/se3 [home] comment = dossier home path = /home [etc] comment = dossier /etc path = /etc NB : Il faudra changer le yes en no à read only, quand vous souhaiterez restaurer (le yes assure une sécurité en bloquant la restauration). Une fois le fichier correctement édité, validez par CTRL+O, validez par la touche « Entrée » et sortez de l’éditeur par la commande CTRL+X. Créer et éditer de la même façon le fichier /etc/rsyncd.secret et y écrire la ligne : toto:passtoto Réduire les droit sur ce fichier par la commande : chmod 400 /etc/rsyncd.secret Lancer rsyncd • Modifier la ligne RSYNC_ENABLE=true dans le fichier /etc/default/rsync • Lancer alors rsyncd en faisant un /etc/init.d/rsync start. • rsync doit alors être à l’écoute, pour vérifier, taper : netstat -na | grep 873 8. Tester la sauvegarde • Dans l’interface Sauvegardes -> Machines , cliquer sur l’icône mise en évidence dans la figure.
• Cliquer sur le bouton « Démarrer la sauvegarde complète », puis confirmer dans l’écran suivant. La sauvegarde doit démarrer. • Vérifier que dans le répertoire « /var/lib/backuppc/pc/localhost » un dossier « new » a bien été créé, et qu’il se remplit progressivement des éléments à sauvegarder.
TICE académie de Versailles
Page 130/157
CHAPITRE 21. SAUVEGARDE ET RESTAURATION DES DONNÉES
21.3
Samba Édu 3
Mise en place de la sauvegarde sur NAS
L’exemple ci-dessous est détaillé à partir d’un partage NFS réalisé sur un NAS de marque Synology disposant d’un espace de stockage de 2 To (nommé volume1) correspondant à deux disques de 2To montés en RAID1.
Sur ce volume est créé un partage nommé « sauve » qui sera monté en NFS sur le serveur SambaÉdu3.
Les privilèges NFS sont configurés ici de telle façon que l’ensembles des machines du réseau puissent accéder au partage, dont le chemin d’accès est /volume1/sauve. Bien sûr, le service réseau NFS doit être activé sur le NAS.
TICE académie de Versailles
Page 131/157
CHAPITRE 21. SAUVEGARDE ET RESTAURATION DES DONNÉES
Samba Édu 3
On peut tester le montage dans une console par la commande : mount -t nfs 172.20.0.19:/volume1/sauve /var/lib/backuppc Si le montage fonctionne, on peut passer à la configuration par l’interface Sauvegarde du serveur Se3, qui doit ressembler à ce que l’on voit sur la figure ci-dessous.
En cliquant sur le bouton de montage du NAS, on doit obtenir ce que l’on voit figure suivante.
À partir de là, on peut reprendre ci-dessus au point n˚6.
TICE académie de Versailles
Page 132/157
CHAPITRE 21. SAUVEGARDE ET RESTAURATION DES DONNÉES
21.4
Samba Édu 3
Restauration d’un fichier ou d’un dossier
Dans l’interface, Sauvegarde -> Machines, cliquer sur la deuxième icône, qui permet de voir l’état des sauvegardes de la machine. Cliquer sur le numéro de la sauvegarde à utiliser. Naviguer dans l’arborescence et sélectionner les fichiers ou dossier à restaurer, puis cliquer sur le bouton « Restaurer les fichiers sélectionnées ».
Dans l’écran suivant, choisir de préférence « Télécharger le fichier tar » qui permettra de récupérer une archive de l’ensemble des fichiers à restaurer. Les enregistrer dasn un endroit quelconque et les recopier ensuite au bon endroit sur le serveur. Remettre les droits corrects si besoin.
21.5
Restauration de l’ensemble de la partition /home (ou /var/se3)
Cette procédure est à utiliser pour réinstaller l’ensemble des données sur un serveur en cas de réinstallation. Sur le serveur, passer en utilisateur backuppc par la commande : su backuppc puis entrer la commande suivante : /usr/share/backuppc/bin/BackupPC_tarCreate -h localhost \ -n xxx -s home -t / > /var/lib/backuppc/home.tar pour laquelle :
• n xxx correspond au numéro de la sauvegarde. ce qui correspond dans l’arborescence à /var/lib/backupp • s home au répertoire que je veux restaurer • t / pour avoir la racine Revenir en root par CTRL+D Entrer les commandes suivantes : • chown root /var/lib/backuppc/home.tar • mv /var/lib/backuppc/home.tar /home • cd /home TICE académie de Versailles
Page 133/157
CHAPITRE 21. SAUVEGARDE ET RESTAURATION DES DONNÉES
Samba Édu 3
• tar xvf home.tar Remettre enfin les droits corrects par le script ad hoc /usr/share/se3/sbin/restore_droits.sh
TICE académie de Versailles
Page 134/157
Chapitre 22 Déploiement automatisé d’applications Sommaire 22.1 22.2 22.3 22.4
Installation du service WPKG sur les clients L’interface web de WPKG . . . . . . . . . . . Détail et suivi des déploiements . . . . . . . . Contrôle du déploiement . . . . . . . . . . . .
TICE académie de Versailles
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
136 136 138 139
CHAPITRE 22. DÉPLOIEMENT AUTOMATISÉ D’APPLICATIONS
Samba Édu 3
Le paquet se3-wpkg permet de déployer automatiquement des applications sur les postes Windows XP inscrits dans les parcs de machines. Il suffira à l’administrateur de choisir les programmes qu’il veut installer, puis les postes sur lesquels il veut les installer : le déploiement des programmes est ensuite automatique et parfaitement silencieux pour les utilisateurs. Le module de déploiement d’applications du serveur SambaÉdu3 est basé sur WPKG : wpkg.org Avant tout, vérifier la présence du module sur le serveur, en sélectionnant « Configuration générale » puis « Module ». Vérifier que le bouton est vert pour « WPKG ».
22.1
Installation du service WPKG sur les clients
Suite à l’installation du module sur le serveur, le client WPKG sera déployé automatiquement sur les postes XP. Un raccourci créé sur le bureau de l’admin permet de lancer le déploiement sur le poste manuellement. Celui-ci étant programmé à chaque démarrage des postes.
22.2
L’interface web de WPKG
L’interface permet de gérer l’installation d’applications sur le SambaÉdu3 par téléchargement et de programmer leur déploiement sur les clients XP. Le déploiement d’applications ne peut fonctionner sans la présence d’au moins un parc.
TICE académie de Versailles
Page 136/157
CHAPITRE 22. DÉPLOIEMENT AUTOMATISÉ D’APPLICATIONS
Samba Édu 3
Le menu « Ajouter une application » permet de télécharger automatiquement l’application ainsi qu’un fichier xml qui assurera son installation automatique. Deux dépots de logiciels co-existent, une branche STABLES et une branche « A TESTER ». Une Application est d’abord proposée dans la branche A TESTER et lorsqu’elle a été suffisamment testée elle est considérée comme STABLE.
Cliquer sur le bouton « Afficher les applications disponibles » afin de voir les applications proposées. En ORANGE (avec la case d’installation pré-cochée) apparaissent les applications déjà installées pour lesquelles une mise à jour est disponible. En BLEU sont proposées les applications déjà installées et pour lesquelles aucune mise à jour n’est disponible. En BLANC sont proposées des applications qui ne sont pas installées sur le SambaÉdu3. Il suffit de cocher la case d’une application et de cliquer sur le bouton « Installer les applications sélectionnées » pour l’installer sur le SambaÉdu3.
Dans un premier temps, le serveur télécharge le fichier de description xml de l’application, puis télécharge les fichiers permettant l’installation de l’application sur les clients. Une fois terminé le téléchargement, cliquer sur le bouton « Retourner à la page Déploiement d’applications. » Cette page (accessible aussi en cliquant sur le lien « Déployer sur les parcs ») permet de sélectionner les applications qui sont disponibles sur votre serveur pour les installer sur les postes des différents parcs du domaine. Dans l’exemple suivant, audacity est installé sur les ordinateurs du parc2, time (mise à l’heure par rapport au SambaÉdu3) et vlc sont installés sur tous les ordinateurs. TICE académie de Versailles
Page 137/157
CHAPITRE 22. DÉPLOIEMENT AUTOMATISÉ D’APPLICATIONS
Samba Édu 3
Pour déployer une application sur les postes d’un parc, il suffit de cocher la case correspondante : aucune autre action n’est nécessaire, en particulier, il n’y a pas de bouton pour valider son choix (pour revenir en arrière il suffit de décocher la case). L’installation du programme se déroulera lors du prochain allumage des ordinateurs concernés ou par le lancement manuel de WPKG sur un poste client (un raccourci existe uniquement sur le bureau du compte admin).
22.3
Détail et suivi des déploiements
Détail des couleurs : • Bleu : installation de l’appli demandée et l’appli est installée sur le poste. • Gris-clair : l’installation n’est pas demandée et l’appli n’est pas installée. • Orange : l’état des l’applis sur le poste ne correspond pas à ce qui a été demandé (le client wpkg installera ou désinstallera l’appli à la prochaine exécution pour que son état coïncide avec ce qui est demandé). • Orange clair : Une appli n’est pas à jour.
TICE académie de Versailles
Page 138/157
CHAPITRE 22. DÉPLOIEMENT AUTOMATISÉ D’APPLICATIONS
Samba Édu 3
Détail d’un parc : Ce menu permet d’afficher pour un parc choisi, le nombre d’applications installées sur les postes par rapport au nombre d’applications à installer.
Détail d’une application : Ce menu permet d’afficher pour une application donnée, les informations sur la version installée et sur le fichier xml associé, et de lister pour un parc sélectionné l’état de l’installation poste par poste. Détail d’un poste :
Ce menu permet d’afficher pour un poste choisi, le nombre d’applications installées ainsi que la dernière installation. Il est possible de naviguer à travers ces trois menus en cliquant sur les différents liens actifs dans les tableaux d’affichage. En cliquant sur les en-têtes des colonnes des tableaux, on sélectionne l’ordre d’affichage.
22.4
Contrôle du déploiement
Les actions effectuées par wpkg sur un poste client sont enregistrées dans deux fichiers situés dans : \\se3\install\wpkg\rapports
TICE académie de Versailles
Page 139/157
CHAPITRE 22. DÉPLOIEMENT AUTOMATISÉ D’APPLICATIONS
Samba Édu 3
C’est la date du fichier .log qui est indiquée dans l’interface web. • Le fichier nom_du_poste.log contient les informations obtenues lors de l’exécution de wpkg. • Le fichier nom_du_poste.txt contient des informations sur l’état de chacune des applications disponibles via wpkg sur le poste.
Un truc pour savoir quand le client a fini : Cliquer sur la date d’un rapport d’un poste puis rafraîchir l’affichage (Touche F5) jusqu’à ce que le fichier de log affiché soit mis à jour. Lorsque c’est le cas, le client wpkg a fini son exécution. Dans le cas où une application ne s’installe pas : Exécuter "Applications Wpkg" à partir du bureau du compte admin. Cela permet d’avoir une fenêtre de commande à l’écran dans laquelle s’affiche tous les messages au cours de l’installation.
TICE académie de Versailles
Page 140/157
CHAPITRE 22. DÉPLOIEMENT AUTOMATISÉ D’APPLICATIONS
Samba Édu 3
Une des causes les plus fréquentes de panne de wpkg est la suivante : lors de l’exécution de wpkg sur un poste la valeur true est inscrite dans la clef « HKLM\Software\WPKG\running » de la base de registre du poste. A la fin de l’exécution cette valeur est repositionnée à false pour permettre une nouvelle exécution. Il peut arriver que le poste soit arrêté brutalement lors de l’exécution de wpkg (coupure de courant, etc...) ce qui laissera la valeur true positionnée et empêchera donc une exécution ultérieure de wpkg. Ce problème ne devrait plus se produire, suite à la modification du script.
Pour étudier un problème de fonctionnement avec WPKG, reportez-vous avant toute chose à la “FAG Wpkg” du site officiel SambaÉdu3 : http ://wwdeb.crdp.ac-caen.fr/mediase3/index.php/FaqWpkg
TICE académie de Versailles
Page 141/157
Chapitre 23 Déploiement de Trend Micro OfficeScan 10.5 Sommaire 23.1 23.2 23.3 23.4
Avant de déployer . . . . . . . . . . . . . . . . . . Ouverture de session sur le domaine SambaEdu Préparation du « paquet » à déployer . . . . . . Déploiement par WPKG . . . . . . . . . . . . . .
TICE académie de Versailles
. . . . . . . impossible . . . . . . . . . . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
143 144 145 146
CHAPITRE 23. DÉPLOIEMENT DE TREND MICRO OFFICESCAN 10.5
Samba Édu 3
Cette documentation présente une méthode permettant le déploiement de l’antivirus du marché national : Trend Micro OfficeScan. On considère que l’antivirus a été installé sur un serveur Windows ou un client XP (qui assurera le rôle de serveur antivirus) en suivant les explications fournies sur cette page : http ://www.tice.acversailles.fr/Anti-virus. Il est conseillé lors de l’installation sur une machine XP de choisir le serveur Apache comme serveur Web. Afin d’administrer correctement les clients, le serveur antivirus doit être intégré au domaine SambaÉdu3. Pour le client XP, cela se fera avec la méthode habituelle. Si le serveur antivirus est un serveur Windows, il faudra simplement l’intégrer au domaine en passant par les propriétés du poste de travail et en sélectionnant un domaine (le domaine SambaÉdu3) à la place du groupe de travail dans l’onglet « Nom de l’ordinateur », bouton « Modifier ». L’ouverture de session pourra se faire localement.
23.1
Avant de déployer
Il est nécessaire de faire un test sur un client du réseau (des problèmes de blocage d’ouverture de session ayant été rencontrés). Ce test peut simplement se faire en déployant l’antivirus sur un seul client à partir de la console Web d’administration du serveur antivirus.
Sélectionner « Ordinateurs en réseau » > « Installation du client » > « Distant ». Sélectionner le domaine puis l’ordinateur sur lequel installer l’antivirus. Cliquer sur le bouton « Ajouter » Indiquer le login et le mot de passe d’un compte administrateur local (le compte admise3 ne permet pas cette installation...) • Cliquer sur le bouton « Installer » • • • •
Si l’installation échoue, vérifier la désactivation du partage simple sur le poste (le partage C$ doit être accessible) et la désactivation du firewall.
TICE académie de Versailles
Page 143/157
CHAPITRE 23. DÉPLOIEMENT DE TREND MICRO OFFICESCAN 10.5
Samba Édu 3
Malgré ces vérifications, si l’installation à partir de la page Web d’administration échoue, il est possible de procéder à une installation manuelle. Pour cela : - Aller sur le partage : \\nom_du_serveur_antivirus\ofcscan\ - Exécuter « AutoPcc.exe ». Cette procédure installera en mode silencieux l’antivirus. Suite à cette installation, vérifier l’ouverture de session sur le domaine SambaÉdu3 (quel que soit le compte utilisé, administrateur ou utilisateur). Si le bureau n’apparait pas entièrement et que l’ordinateur semble figé, l’antivirus bloque le transfert de données entre le client et le serveur.
23.2
Ouverture de session sur le domaine SambaEdu impossible
Merci à Marc Dagon pour la solution. Pour remédier à ce problème, il faut modifier la configuration du client antivirus. Cela s’effectue à partir de la console Web d’administration de l’antivirus.
• Sélectionner « Ordinateurs en réseau » > « Gestion des clients » • Sélectionner le menu « Paramètres » • Cliquer sur « Paramètres de contrôle des dispositifs »
TICE académie de Versailles
Page 144/157
CHAPITRE 23. DÉPLOIEMENT DE TREND MICRO OFFICESCAN 10.5
Samba Édu 3
• Décocher « Activer le contrôle des dispositifs » • Cliquer sur le bouton « Appliquer à tous les clients » Comme indiqué dans la documentation : « OfficeScan possède une fonction de contrôle des dispositifs qui régule l’accès aux périphériques de stockage externes et ressources réseau connectés aux ordinateurs. » Cela n’affecte pas la détection des virus sur les partages, mais simplement le contrôle de l’accès à ces partages. Redémarrer le client qui était bloqué en ouvrant une session locale (avec le compte administrateur local par exemple) Cela aura pour effet de mettre à jour la configuration de l’antivirus sur ce poste et donc de prendre en compte le nouveau paramètre. Tester de nouveau avec une ouverture de session sur le domaine. Si cela fonctionne, ce qui devrait être le cas ;-) le déploiement automatisé peut être mis en oeuvre.
23.3
Préparation du « paquet » à déployer
La méthode consiste à déployer par WPKG un paquet MSI. Le paquet MSI peut être créé avec les outils disponibles sur le serveur antivirus. • Exécuter l’outil de création du paquet MSI (Modifier le chemin en fonction de l’installation) : C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin\Utility\ClientPackager\ClnPack.exe
TICE académie de Versailles
Page 145/157
CHAPITRE 23. DÉPLOIEMENT DE TREND MICRO OFFICESCAN 10.5
Samba Édu 3
• Sélectionner « Type de compression » : MSI • Indiquer le nom et le dossier de sauvegarde du paquet. Le nom sera « setuptrend.msi » afin d’être conforme au script de déploiement WPKG. • Cliquer sur le bouton « Créer » Le paquet MSI est prêt à être transféré sur le serveur SambaÉdu3 pour le déploiement.
23.4
Déploiement par WPKG
Copier le paquet MSI dans un dossier trend sur le serveur WPKG. Le chemin réseau est : \\nom_du_serveur_Samba\install\packages\ou Y :\unattended\install\packages\
• Ouvrir la page Web d’administration du serveur SambaÉdu3 • Afficher le menu « Applications Windows » et cliquer sur « Ajouter une application ». • En bas de la page de configuration, indiquer le chemin vers le fichier « trend.xml » préalablement téléchargé et modifié comme indiqué dans le commentaire. http ://www.samba-edu.ac-versailles.fr/IMG/xml/trend.xml Pour rappel, il faut modifier le mot de passe, juste après “uninstall_password=“, ici aze123. Vous avez normalement choisi ce mot de passe pour désinstaller Trend, au moment de l’installation du serveur, celui-ci est donc propre à votre installation et n’a a priori pas de lien avec les mots de passe du serveur SambaÉdu3 TICE académie de Versailles
Page 146/157
CHAPITRE 23. DÉPLOIEMENT DE TREND MICRO OFFICESCAN 10.5
Samba Édu 3
Il faut pour cela ouvrir le fichier XML avec un éditeur de texte tel que Notepad++ ou Context. Cocher les cases « Ne pas télécharger les fichiers... » et « Ignorer le contrôle MD5 ». • Cliquer sur le bouton « Ajouter cette application »
Dans le menu « Applications Windows » • cliquer sur < Déployer sur les parcs >. • Sélectionner les parcs devant recevoir OfficeScan.
Le fait de décocher une case désinstallera l’antivirus sur les ordinateurs du parc, à condition d’avoir modifié le fichier XML avant son importation dans SambaÉdu3 en y inscrivant le mot de passe nécessaire à sa désinstallation.
TICE académie de Versailles
Page 147/157
Chapitre 24 Le module TFTP Sommaire 24.1 Préalables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 24.2 Installer une station en mode « unattended ». . . . . . . . . . . . . . . . 150 24.2.1 Préparation du serveur par la mise en place des sources d’installation. . . . 150 24.2.2 Installation devant le poste . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 24.2.3 Installation à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 24.3 Clonage de stations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 24.3.1 Préalable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 24.3.2 Cloner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 24.4 Sauvegarde et restauration des stations . . . . . . . . . . . . . . . . . . 153
TICE académie de Versailles
CHAPITRE 24. LE MODULE TFTP
Samba Édu 3
Ce module permet d’installer des stations windows XP (24.2) sans intervention au clavier (installations dites « unattended (24.2) »), de cloner (24.3) des machines semblables, de sauvegarder (24.4) l’image d’une partition Windows dans une partition cachée du disque dur et de réinstaller cette image. Ces interventions peuvent s’effectuer à distance.
24.1
Préalables
1. Côté stations • Configuration réseau : les machines doivent toujours avoir la même IP c’est à dire soit être configurées avec des IP fixes, soit - et c’est le meilleur choix - être clients DHCP avec adresse réservée sur le serveur SE3. Elles doivent par ailleurs appartenir à un parc si l’on veut procéder à une installation automatique à distance entièrement silencieuse. Mais il est également possible d’utiliser le module pour installer windows sur des machines neuves ; pour ce faire il faudra procéder à une installation « devant le poste ». • Configuration BIOS : si l’on veut bénéficier de l’ensemble des fonctionnalités du serveur tftp, les machines doivent être réglées pour pouvoir booter sur le périphérique réseau (option en général nommée boot PXE), et pouvoir être allumées à distance (option « wake on lan »). La carte réseau doit être le premier périphérique dans l’ordre de démarrage, suivie du disque dur. 2. Côté serveur : • Activer dans l’interface les modules « Clonage / sauvegarde - restauration de stations (se3-clonage) » et « Installation de stations (se3-unattended) » par le menu Paramètres serveur → Modules.
Figure 24.1 – Activer le module TFTP • Configurer ensuite le module : il est conseillé à la fois de mettre un mot de passe sur le boot réseau (Cf figure 2) et de télécharger le système sysrescueCD qui permet une meilleur reconnaissance des périphériques réseau et des contrôleurs de disques durs des stations. Pensez à tester régulièrement la présence de mises à jour de sysrescueCD pour une reconnaissance optimale des matériels les plus récents.
TICE académie de Versailles
Page 149/157
CHAPITRE 24. LE MODULE TFTP
Samba Édu 3
Figure 24.2 – Définir un mot de passe sur le « boot » réseau
Figure 24.3 – Télécharger SystemRescueCD
24.2
Installer une station en mode « unattended ».
24.2.1
Préparation du serveur par la mise en place des sources d’installation.
Il faut disposer d’un CD d’installation de Windows XP Corporate avec une clé de licence en volume, si possible intégrant le SP3. Si le CD n’intègre pas le SP3, il est possible de se fabriquer un CD avec le logiciel nlite (Voir le site http://www.nliteos.com). Connecté en admin sur une station du réseau : • Mettre le CD de XP dans le lecteur de CD de la station. • Lancer le script Y:/unattended/install/unattended-config.bat, qui va copier les sources de windows sur le serveur. Il faut également entrer le numéro de licence lorsque le script le demande. Cette opération n’est à effectuer qu’une fois pour toutes. • Récupérer via un logiciel de téléchargement par bitorrent les DriversPack à partir de l’adresse http://driverpacks.net/driverpacks/latest/ (attention à bien choisir les packs correspondant au système d’exploitation des machines), puis les copier dans le dossier Y:/unattended/install/drvbase/DriverPacks. Le script Y:/unattended/install/drvbase/DPinstall.bat, qui va permettre de vérifier que les fichiers téléchargés correspondent bien aux dernières versions en cours (bouton « update checker » du menu de gauche) puis de les intégrer aux sources de windows. Le site ne propose plus hélas que des téléchargements via bittorent ; il faut donc qu’un logiciel permettant ce type de connexion soit installé sur la station. Dans Paramètres → DriversPacks, sélectionner les packs à intégrer Dans Intégration choisir la méthode 2 TICE académie de Versailles
Page 150/157
CHAPITRE 24. LE MODULE TFTP
Samba Édu 3
Optionnel : si vous avez intégré le driver pack Graphics A, vous pouvez activer les centres de control ATI ou Nvidia, dans Options puis Autres, en fonction de la carte graphique dont vous disposez. Cliquer enfin sur le bouton Intégrer. Patienter plusieurs minutes que les pilotes soient intégrés aux sources de XP, jusqu’à obtention de la fenêtre suivante.
Figure 24.4 – Intégration des pilotes Terminer l’installation en cliquant sur OK.
24.2.2
Installation devant le poste
Si le poste est neuf, inconnu de l’annuaire, ou si son BIOS n’est pas correctement configuré (WOL et boot PXE) vous devez vous rendre devant la machine et booter en PXE (à l’aide de la touche F12 la plupart du temps). Dans le menu qui s’affiche, choisir Maintenance, puis Installation et enfin Unattended. Quelques secondes plus tard, il faut saisir le nom netbios souhaité pour l’ordinateur. En fin d’installation, la mise au domaine devra être effectuée « à la main ».
24.2.3
Installation à distance
Pour pouvoir démarrer un poste à distance, il faut avoir réglé le BIOS de la machine pour répondre au Wake On Line (WOL) et avoir réglé l’ordre de démarrage du BIOS comme suit : 1. Boot PXE, 2. Boot sur le disque dur. La machine doit également être connue dans l’annuaire. Il s’agit donc en général d’une réinstallation. • Dans l’interface de SambaÉdu3, allez dans le menu Serveur tftp → Programmer une install, choisir le ou les parcs dans lesquelles procéder à une installation, puis cliquer sur valider. • Dans la fenêtre suivante, sélectionner les postes à installer, puis « valider ». • Choisir les options d’installation silencieuse de windows. Attention aux options de partitionnement qui sont particulièrement sensibles si d’autres systèmes d’exploitation sont installés en multiboot. Ne pas effacer le MBR pour ne pas supprimer le selecteur d’OS. TICE académie de Versailles
Page 151/157
CHAPITRE 24. LE MODULE TFTP
Samba Édu 3
• Cliquer sur Valider et laisser l’installation se dérouler. Elle sera suivie d’une intégration dans le domaine, et d’une installation des logiciels à déployer sur le parc TousLesPostes.
U
Il peut arriver que l’intégration au domaine ne se fasse pas en fin d’installation. Il faut alors vérifier que l’ensemble des champs des fichiers se3ip.ini et se3ip.bat dans X:\netlogon\domscripts\ soient correctement remplis.
24.3
Clonage de stations
24.3.1
Préalable
Si les machines à cloner sont neuves, il est nécessaire de les démarrer une fois et de les faire connaître de l’annuaire : dans l’interface du serveur DHCP, il faut leur réserver une adresse, les renommer si besoin et les affecter à un parc. De cette façon, l’intégration au domaine se fera automatiquement en fin de processus. Vérifier que le module de clonage est bien activé et à jour dans Configuration générale → Modules.
24.3.2
Cloner
• Dans l’interface, aller sur Serveur tftp et choisir Programmer un clonage ; • Choisir le ou les parcs des machines concernées ;
Figure 24.5 – Choisir un parc • Choisir l’émetteur. Attention, la machine doit être allumée ; il est possible, si la configuration du BIOS le permet, de l’allumer à distance, à partir du menu Gestion des parcs → Action. • Choisir les récepteurs, qui peuvent soit être allumés, soit éteints (dans ce cas, l’option WOL doit fonctionner). • Enfin choisir la distribution « live » adaptée à votre matériel (SysRescCD permet en général une meilleurs reconnaissance du matériel), et paramétrer les options. Si vous n’avez qu’un seul disque dur et si vous souhaitez le cloner en entier, laissez dans partition à cloner sda. Si vous ne voulez cloner que la partition windows, choisissez en général sda1.
TICE académie de Versailles
Page 152/157
CHAPITRE 24. LE MODULE TFTP
Samba Édu 3
Figure 24.6 – Choix de l’émetteur
Figure 24.7 – Choisir le récepteur Le poste émetteur redémarre 2 fois. Une première fois sous XP puis avec la distribution « live » choisie. Lorsque l’émetteur est prêt vous avez affiché à l’écran la commande UDP sender associée à la partition à cloner (/dev/sda), l’adresse IP de l’émetteur, et la carte réseau adéquate (en général eth0). À ce moment, les postes récepteurs démarrent avec la distribution « live » choisie. Une fois la distribution chargée, vous avez à l’écran la commande UDP receiver associée à la partition à cloner, l’adresse IP du récepteur, et la carte réseau adéquate (en général eth0). Sur l’écran de l’émetteur on doit voir les différents récepteurs s’inscrire. Lorsque toutes les récepteurs sont inscrits auprès de l’émetteur, le clonage démarre. Lors du redémarrage, les stations doivent être réintégrées automatiquement au domaine.
24.4
Sauvegarde et restauration des stations
L’opération consiste à copier l’image compressée de la partition Windows sur une partition formatée dans un système de fichiers invisible sous Windows (ext3). L’opération inverse permet de retrouver un système dans l’état où il se trouvait au moment de la sauvegarde. Donc, pour sauvegarder, il faut d’abord partitionner ! La station doit avoir une partition GNU/Linux (formatée en ext3) située après la partition Windows. Sa taille dépend de la quantité de données à sauvegarder, sachant que ces données seront compressées (l’image fait en général environ la moitié de la taille des données contenues dans la partition Windows). Pour partitionner votre disque, vous pouvez utiliser la version de SysrecueCD installée sur le TICE académie de Versailles
Page 153/157
CHAPITRE 24. LE MODULE TFTP
Samba Édu 3
Figure 24.8 – Choix de la distribution
Figure 24.9 – serveur et accessible en boot PXE. Cette distibution comprend l’outil GParted, qui permet un redimensionnement de partitions ntfs sans perte de données, et la création de nouvelles partitions dans l’espace ainsi libéré. Au démarrage de la station, bootez en PXE puis dans le menu maintenance,
Figure 24.10 – Maintenance choisissez par exemple l’option Sauvegarde-Restauration-Repartitionnement
Figure 24.11 – Sauvegarde-Restauration-Repartitionnement TICE académie de Versailles
Page 154/157
CHAPITRE 24. LE MODULE TFTP
Samba Édu 3
puis SysrescCD (800x600).
Figure 24.12 – SysresCD Lorsque le menu apparaît, choisissez q
Figure 24.13 – Choisir q puis au « prompt », entrez la commande startx qui lance une interface graphique en validant par la touche « entrée ». Une fois celle çi lancée, dans le terminal enter la commande gparted
TICE académie de Versailles
Page 155/157
CHAPITRE 24. LE MODULE TFTP
Samba Édu 3
Figure 24.14 – Lancer gparted puis utiliser l’outil.
Figure 24.15 – gparted
N’oubliez pas de valider toutes les opérations de repartitionnement avant de quitter et de rebooter la station.
Une fois le partitionnement réalisé, choisir dans l’interface serveur tftp → Programmer une sauvegarde → Configurer le module si ce n’est pas fait (voir plus haut la configuration du module d’installation unattended). • Choisir un parc ; • Choisir une station à sauvegarder ; • Choisir un nom pour cette sauvegarde. Si votre disque n’a que deux partitions (une en ntfs et une en ext3), laissez tout auto. Vous pouvez choisir de rebooter ou non la machine en fin de sauvegarde.
TICE académie de Versailles
Page 156/157
CHAPITRE 24. LE MODULE TFTP
Samba Édu 3
Figure 24.16 – Sauvegarde de la configuration Pour restaurer une station, effectuez une manipulation semblable depuis Serveur tftp → Programmer une restauration.
TICE académie de Versailles
Page 157/157