NOVATICE EDUCATION poste de travail

Transcription

1 NOVATICE EDUCATION poste de travail Version : 2008 Le livre blanc «tice» dans le domaine de l'éducation Visa : Christophe Terrassoux Date : Date : Visa : Romain Marie Novatice Education 2008 Livre blanc des tice dans l'education v1.0.doc Date : 07/06/2008 Page : 1

2 Historique des versions Indice Date Rédacteur Création / Modification Page(s) /06/2008 J-F. Bellanger Création Toutes Mandriva Education 2008 Spécifications Logiciels Détaillées v1.0.doc Date : 07/06/2008 Page : 2

3 SOMMAIRE NOVATICE EDUCATION...1 POSTE DE TRAVAIL...1 VERSION : INTRODUCTION FONCTIONNEMENT ACTUEL DES «EPLE» LES DIFFÉRENTS ACTEURS DANS L'ÉDUCATION LA SUPERVISION Principe de supervision rectorale Principe de supervision régionale Tableau descriptif des fonctionnalités de chaque modules : Supervision du serveur edutice : L'IDENTIFICATION DES UTILISATEURS Logiciel courant dans l'éducation nationale et l'enseignement supérieur Spécifications réseau et configuration automatique Comptes et mots de passe UTILISATIONS DES LECTEURS Préambule Les lecteurs amovibles locaux Les lecteurs réseaux PARE-FEU LINUX Filtrage du peer to peer avec «ipp2p» Filtrage applicatif avec «Nufw» Filtrage plus fin et performant avec «ebtables» MISE À JOUR AUTOMATIQUE DE SÉCURITÉ, CORRECTIVES ET ÉVOLUTIVES CONNECTIONS ANONYMES SUR INTERNET ANTIVIRUS CLAMAV, KLAMAV ET HAVP SPÉCIFICATIONS DE NAVIGATION SUR INTERNET AVEC «QUAGGA» Filtrage par port, plage, réseau GESTION DES RÉSEAUX NOVELL AVEC «MARS-NWE» GESTION DES ESPACES UTILISATEURS «QUOTA» GESTION DES ZONES «DNS» FÉDÉRATION D'IDENTITÉ (SAML 2.0) «SHIBBDETH» GESTION PAR GROUPE D'UTILISATEUR LDAP IDENTIFIER LES UTILISATEURS PAR FONCTION PROFIL PROPOSER UN PROFIL ADAPTÉ AUX DIFFÉRENTS GROUPES UTILISATEURS DOCUMENTATION ET DIFFUSION RECETTE DES FONCTIONNALITES...14 Mandriva Education 2008 Spécifications Logiciels Détaillées v1.0.doc Date : 07/06/2008 Page : 3

4 1.INTRODUCTION Ce document constitue un recueil de données sur l'évolution potentielle des nouvelles technologies et du système d'information dans l'enseignement primaire, secondaire et supérieur. La difficulté majeur dans la description de tout type d'évolution vient du fait que l'on doit se projeter dans un avenir à moyen voir long terme. Dans le domaine des «tice» la projection se fait sur 10 ans. Quel sera le besoin dans 10 ans? La mise à niveau d'un nombre important d'établissement se fait sur plusieurs années. Chaque établissement est équipé par lot successif. Le temps nécessaire est donc important et le coût faramineux. Il est donc évident que tout doit concorder. Ce tromper sur la définition du besoin aurait des conséquences désastreuses. D'où la grande prudence des responsables rectoraux et des collectivités. L'inconnu la plus importante est l'évolution des différents personnels au sein de la fonction public. Les lois de décentralisation changent beaucoup les rapports de force des différents acteurs. Quand la région devient le principal financeur des lycées, qu'elle récupère à sa charge la dotation en équipement de ces mêmes établissements puis se retrouve gestionnaire des emplois «atoss», elle prend une importance capitale. Sa conduite est obligatoirement modifiée! Ce dossier «livre blanc» est destiné à tous les intervenants techniques internes et externes (chefs de projet, entreprise, développeur...). Mandriva Education 2008 Spécifications Logiciels Détaillées v1.0.doc Date : 07/06/2008 Page : 4

5 2.Fonctionnement actuel des «eple» 2.1Les différents acteurs dans l'éducation Ces informations sont données à titre indicatif. Elle peuvent sur certain point comporter des informations officieuses qui peuvent évoluer dans le futur sans pouvoir le prévoir aujourd'hui. Je ne peux donc pas être tenu responsable d'une éventuelle modification futur ne relevant pas de mes compétences. Nom du service Nombres Fonction Ministère de l'éducation national 1 Administration responsable des examens, des programmes et d'un certain type de personnel Les rectorats 27 Administration responsable de faire appliquer les textes dans les établissement de son académie Inspection académique 96 Administration ayant principalement en charge la gestion de l'enseignement primaire et petite section Les crid 100 Centre de Ressources Informatiques Départemental Les régions 26 C'est le principal financeur des lycées (subvention, achats de matériels, personnels «atoss» etc...) Les départements 100 C'est le principal financeur des collèges (subvention, achats de matériels, personnels «atoss» etc...) Les communes C'est le principal financeur des écoles élémentaires (subvention, achats de matériels et fournitures etc...) Les universités Elles prennent en charges étudiants Les lycées 2625 Ils prennent en charge lycéens Les collèges 7010 Ils prennent en charge collégiens Les écoles Ils prennent en charge écoliers Les écoles adaptées, ime Institut prenant en charge les élèves en difficultés Etablissement privé sous contrat 9012 Des établissements à financement privé mais subventionné par des fonds publics après accords CDDP 100 Centre Départemental de Documentation Pédagogique (essentiellement lié aux écoles et collèges pour les besoins matériels) CRDP 26 Centre Régional de Documentation Pédagogique CNDP 1 Centre National de Documentation Pédagogique Greta, Cnam... Établissement de formation pour adulte Écoles d'infirmière, militaires, agricoles... Écoles d'enseignements spécialisées (prytanée militaire, APHP...) Les centres d'apprentissages... Cfa, afp, les compagnons etc La supervision 2.2.1Principe de supervision rectorale Les rectorats utilisent aujourd'hui les produits «EOLE» développés par «le cietad» à Dijon. Tous cela tourne autour de 4 modules : amon, sphynx, zephir, sentinelle. Mais il existe d'autres produits Mandriva Education 2008 Spécifications Logiciels Détaillées v1.0.doc Date : 07/06/2008 Page : 5

6 hors gamme eole qui sont également supervisés. Prenons l'exemple du slis avec son module slim développé par l'académie de Grenoble. Il faut signaler qu'un nouveau module slim 4.1 est en cour de développement. Il sera particulièrement révolutionnaire car son concept lui permettra de superviser tous les produits basés sur debian (développé ou non par Grenoble)! C'est un énorme progrès qui ne passe pas inaperçu puisque à terme on peut imaginer superviser son serveur fabriquer artisanalement (sous debian) ou c'est poste de travail (pourvu qu'ils soient sous debian). Un seul serveur pour tous, c'est fortement incitatif, mais loin encore de la réalité! C'est en tout cas à n'en pas douté une piste sérieuse sur laquelle Mandriva devrait se pencher rapidement!!! Pouvoir superviser edutice, ucopia, CS4 et tout ce qui est à base de module mandriva Principe de supervision régionale La région ne s'est impliqué que très récemment dans la restructuration complète des lycées. Elle est donc en pleine phase de construction et la supervision est un objectif à moyen terme ( ). Elle ne s'intéresse pas aux modules de l'éducation nationale car ils ont un défaut majeur, il ne possède aucun support et aucune garantie. En effet ces modules sont conçu par un pôle de compétence de l'éducation nationale mais le déploiement et la maintenance est à la charge des rectorats via les «Crid». Ce sont des personnels que la région ne possède pas. De la même manière le développement incombe à ces différents pôles qui travail en collaboration au sein de l'éducation nationale mais pas avec des éléments extérieurs. Le dernier problème est la pérennité des ces pôles qui dépendent du ministère. Qu'adviendra t-il de ces modules si l'état décentralise un peu plus la partie pédagogique de ces établissements? En revanche ces modules possèdent un certain nombre d'avantage, ils sont mis gratuitement à disposition de tous le monde. Ils répondent exactement au besoin de ce type d'architecture WAN qui caractérise les eple, ce qu'aucune société est capable de proposer actuellement Tableau descriptif des fonctionnalités de chaque module : Logiciel Description de l'outil Commentaires Module de supervision libre et gratuit ne dépendant pas de l'éducation nationale Nagios Outil de supervision des serveurs Très utilisé en lycées et universités avec centreon Cacti Outil de gestion Utilisé dans les universités Oreon Outil de supervision des éléments actifs Couplé à l'application centreon Centreon Frontend de gestion des modules oreon-weathermap Très utilisé en lycées et universités RDD tools Outil de gestion des performance machine (linux) Couplé à l'application centreon Ntop Outil de gestion de mesure réseau Couplé à l'application centreon Netmet Outil de métrologie des réseaux métropolitains Très utilisé dans l'enseignement supérieur Jasmine Outil de supervision des serveurs cups «(impression) Commence à être utilisé dans les universités Cartographie Outil de gestion géographique des postes (lan) Utilisé dans l'académie de Nantes (développeur) Glpi Outil de gestion de parc informatique (avec ocsng) Très utilisé en collèges, lycées et uuniversités Ocs NG Outil de remontée d'information des postes clients Très utilisé en collèges, lycées et universités Module de supervision de l'éducation nationale : Zephir Serveur de déploiement de configuration «eole» Présent dans toutes les académies Sentinelle Serveur de cartographie «wan» de «eole» Présent dans + de 60% des académies Slim Serveur de configuration distante «slis» et «se3» Présent dans ¾ des académies équipés de slis Mandriva Education 2008 Spécifications Logiciels Détaillées v1.0.doc Date : 07/06/2008 Page : 6

7 2.2.4Supervision du serveur edutice : Le serveur edutice comme tous les serveurs prend une position de plus en plus critique au fur et à mesure qu'il est déployé dans un environnement dit de «production». Dans le cas contraire, soit limite la portée que ce serveur à sur le système d'information, soit on finit par le remplacer par un système équivalent apportant toutes les fonctionnalités que 'on attend de ce type d'équipement. Quels sont ces outils qui permettent à un administrateur de considérer qu'il peut faire confiance à son serveur et réagir en cas d'incident : - Supervision système Matériel Processeur Mémoire Espace disque Arrays raid (si disponible) flux réseaux débit support de stockage <---> carte mère ou fille sauvegarde - Supervision alimentation Onduleur Etat des batteries Taux de charge Secteur ou batterie Type d'onduleur Etat de fonctionnement Historique de fonctionnement - Supervision de sécurité Antivirus Virus détectés (heure, date, nombre de fois...) Emplacement du virus (thunderbird, proxy, samba...) Action éffectués (quarantaine, nettoyage, identifiés...) Nom du virus (beagle...) Type de virus (trojan...) Sur quel compte il a été detecté Historique (journée, semaine, mois, année) Réseau Tentative sur port fermé, scann de port... Fréquence, date, heure Protocole d'attaque, N de port Adresse de l'intrus Passer, stopé, inconnu Disque Erreur d'écriture Fréquence de latence importante Dépassement de 90% du spool Quantité de données écrites (minutes, heures, jours) Quantité de données échouées ou indéterminés (minutes, heures, jours) Clients Arpwatch (Adresse des clients IP et mac) Domaine (toto.proxadt-net.free.fr) Tentatives d'installation, de visite de sites interdits, de login échoué...) Temps de connexion sur le poste Internet Mandriva Education 2008 Spécifications Logiciels Détaillées v1.0.doc Date : 07/06/2008 Page : 7

8 Enregistrement des sites visités Date, heures, identifiants - Des sauvegardes Système Date, heure, durée Rapport d'execution Volume Données samba Date, heure, durée Rapports d'exécution Volume Base de données Date, heure, durée Rapport d'execution volume - Supervision des alertes s Date, heures, durée Destinataires Contenu (tableau envoyé par ) Résultat de l'envoi (correct ou échoué) Température du système (Lm_sensors et Xsensors) Interface administrateur Date, heure, durée Types d'alertes (virus, alimentation etc...) Acquitement (Nom de la personne ayant pris connaissance du problème) 2.3L'identification des utilisateurs La problématique dans l'éducation nationale est de gérer le grands nombre de compte à renouveler chaque années. Il existe pour cela une base rectorale appelé «sts web sconet». Les serveurs pédagogique s'appuient sur cette base pour créer les comptes. La loi de cadrage «S2I2E» dit que l'on doit utiliser le principe de l'annuaire! Edutice va donc se connecter sur l'annuaire ldap ou active directory pour identifier ces utilisateurs. Mais ce n'est pas le seul souci. Il y a un grand nombre de matières différentes découpées en vlan. C'est fastidieux à maintenir. On va donc s'orienter vers les vlans dynamiques. Pour que cela, il faudra envisager l'intégration de «vmps» et de «radius» permettant de répondre à la problématique de la norme 802.1x Logiciel courant dans l'éducation nationale et l'enseignement supérieur Certains logiciels deviennent indispensable dans le milieu éducatif, par exemple : Les logiciels de TNI (tableau numérique interactif) Les logiciels de présentation (manslide, freemind...) Les logiciels de vie scolaire (garennes, triade...) Les logiciels de vpn ssl (ssl explorer) Les logiciels de gestion de bibliothèque (PMB, bcdi...) Les logiciels de comptabilité (grisbi, open si (serveur)...) Les logiciels de conférence sonore (icecast...) Les logiciels de message instantanée (amsn, tomboys avec conduit...) Les logiciels de traitement du son (ardour) Les logiciels de traitement video (lives) Les serveurs de mail (sendmail, postfix...) Les frontend webmail (bongo, squirremel...) Les visio-conférences (vlvc...) Les anti-virus (clamav, Drweb, havp...) Mandriva Education 2008 Spécifications Logiciels Détaillées v1.0.doc Date : 07/06/2008 Page : 8

9 Les logiciels de sauvegardes (backuppc, partimage, udpcast...) 2.3.2Spécifications réseau et configuration automatique Dans l'éducation nationale les réseaux ont toujours 3 cartes minimum... Pourquoi? Une des particularité des établissements scolaires (privés ou publics, collèges, lycées ou universités...) c'est d'avoir besoin de 2 réseaux locaux «lan» pour fonctionner, le troisième étant le réseau «wan» (internet). Une autre particularité est que : si le serveur est en tête de réseau il possédera minimum 3 cartes réseaux et 4 zones! Expliquons cette situation atypique... Pour qu'un établissement fonctionne il faut 2 services. Un service administratif (comptabilité, direction, infirmerie...) et un service pédagogique (enseignant, cpe...). Les 2 services sont très différents et sensibles!!! Donc 2 réseaux séparés avec une autre particularité c'est que l'administratif à le droit d'accéder au réseau pédagogique mais jamais l'inverse!!! 3 réseaux mais 4 zones si le serveur est frontal. En effet si il est en tête il supporte donc le réseau privé «vpn» vers le rectorat. Il a donc une zone internet, une zone administrative, une zone pédagogique et une zone tunnel vpn. Au delà du cas minimum, il y a un cas optionnel mais très fréquemment retrouvé qui est celui de la DMZ. La encore il y a 2 cas! Une DMZ Privé qui sert à créer une zone de sécurité pour les serveurs (sauvegarde, ldap, samba, CDI...) et une DMZ Public qui sert à placer les serveurs ayant un accès web par le biais d'une redirection de port ou d'un reverse proxie (web, notes, cahier de texte...) Comptes et mots de passe Voici la liste des comptes utilisateurs qui seront accessibles sur le poste : Compte Login Droits sur la machine Remarques Administrateur Administrateur Utilisateur avec pouvoir (Gestion des utilisateurs) Utilisateur (Voir annuaire) Utilisateur (modifications non sauvegardés) Mots de passe associés : Compte Mot de passe Administrateur Utilisateur Accessible par l'intermédiaire de la clé usb créée sur la première machine Mot défini dans l'annuaire ldap ou dans un active directory 2.4Utilisations des lecteurs 2.4.1Préambule Les lecteurs sont souvent un problème. En effet les utilisateurs passent difficilement d'un support à un autre. Cela s'accentue quand le travail à une durée de vie et de réutilisation de plusieurs années. Dans le cas de la MSH par exemple, les chercheurs peuvent travailler pendant 5 à 6 ans sur le même sujets, donc ils utilisent encore des disquettes et des cdrom par exemple... Mandriva Education 2008 Spécifications Logiciels Détaillées v1.0.doc Date : 07/06/2008 Page : 9

10 2.4.2Les lecteurs amovibles locaux La prise en charge des disquettes est donc un plus, en revanche la prise en charge des cdrom ou dvdrom est indispensable. Ce besoin persistera encore longtemps! 2.4.3Les lecteurs réseaux Les lecteurs réseaux sont bien sure composé du mappage des dossiers personnels mais aussi de dossiers spécifiques dans certains cas. Par exemple commun ou une matière... cela peut aussi être un lecteurs applicatifs comme le monde... (voir serveur SLCD de Nancy) 2.5Pare-feu Linux 2.5.1Filtrage du peer to peer avec «ipp2p» La législation évoluant rapidement vers une interdiction massive. La bande passante étant encore limité dans les établissements à l'aune des besoins, il évident que tous les établissements sont confrontés au besoin de maîtriser les flux peer to peer. L'intégration d'un daemon spécifique comme ipp2p est donc incontournable. (killp2p a été testé par le cietad et jugé peu fiable) 2.5.2Filtrage applicatif avec «Nufw» Le pare-feu Nufw de chez «INL» permet de réaliser un filtrage sur des comptes au lieu des classiques adresses IP. Cela se révèle être nettement plus judicieux puisque qu'une des particularités des établissements éducatifs est d'avoir un poste pour plusieurs utilisateurs. Son intégration dans les serveurs liés à l'éducation est en cour... Mandriva est le diffuseur officiel en France de la solution et de son support Filtrage plus fin et performant avec «ebtables» Ebtables est un module permettant d'améliorer les performances et les possibilités de iptables. Il se caractérise par la prise en charge de l'ipv6 et d'un filtrage plus fin sur l'ipv4 qui est notamment pris en charge par IPP2P pour le filtrage des réseaux de partage. C'est un module qui vient en complément de iptables et lui apporte un plus non négligeable. 2.6Mise à jour automatique de sécurités, correctives et évolutives Les mises à jour automatiques doivent pouvoir être activés par défaut selon 3 catégories (liste noirs des sites internet et de l'anti-virus, mises à jour de sécurité et de bugs et mises à jour complètes). La solution la plus intéressante semble être un serveur de référence hébergé par novatice. Tous les serveurs en production viennent se comparer à une heure donnée selon une périodicité définie et se mettent à jour si une version plus récente est détectée. La mise à jour par le truchement d'un DVD Rom doit rester une option possible pour l'administrateur. 2.7Connections anonymes sur internet L'anonymiseur «Tor» peut se révéler utile lors de certaines périodes critiques. Exemple rentrer les notes d'examen sur le site académique... Mandriva Education 2008 Spécifications Logiciels Détaillées v1.0.doc Date : 07/06/2008 Page : 10

11 2.8Antivirus Clamav, Klamav et Havp L'antivirus est activé par défaut pour tous les groupes. Il y a 3 parties différentes pour ce qui concerne l'anti-virus. La première est l'anti-virus de passerelle «Havp» installé sur le proxy, il permet d'arrêter un nombre non négligeable de virus connu. Le deuxième point est l'anti-virus de fichier pour samba «v-scan» permettant de détecté une infection avant qu'elle se propage sur le reste des fichiers, des supports usb etc... Enfin, le troisième est l'intégration de Klamav sur la partie client pour que l'utilisateur puisse scanner ces fichiers nouvellement apportés par le biais d'un support amovible quelconque 2.9Spécifications de navigation sur Internet avec «quagga» Le contenu internet s'enrichit de jour en jour d'image, de vidéo, de son... Le problème c'est que bien souvent le débit internet ne suis pas dans les mêmes proportions chez les fournisseurs surtout en dehors des grandes villes. Deuxième point noir, le réseau pédagogique est gérer par la région mais l'accès passe par le réseau administratif qui dépend du rectorat. Un tunnel entre le rectorat existe pour l'administratif mais n'est pas envisageable pour le pédagogique puisque qu'il n'y a pas d'accès web arrivant directement sur le réseau pédagogique. La solution à ces 2 problèmes passe par «quagga» qui permet d'avoir 2 sorties vers l'extérieur et donc de faire du load balancing avec équilibrage de charge tout en permettant l'initiation d'un tunnel sur la patte réseau sortant sur le modem... Indispensable à la supervision par exemple! 2.9.1Filtrage par port, plage, réseau... Filtrage par port : Une interface graphique permettant d'ouvrir ou fermer un port sur une interface spécifique (pare-feu ou routage). Plage d'adresse : Une interface graphique permettant de créer plusieurs plage réseau gérée indépendamment (filtrage, horaire de fermeture...) Les heures d'ouvertures : C'est la possibilité de décider à quelle heure on ouvre le réseau et à quelle heure on le ferme. Le wake on lan : C'est la gestion de l'heure d'allumage et l'heure d'extinction des postes. Le reverse proxy : C'est la capacité à rediriger un port à partir d'une interface réseau vers une autre. Pré-configuration du pare-feu : Il est intéressant pour les débutant ou les non-initiés d'avoir une base sur et fonctionnelle. Si l'on reprend le cas du slis il propose une configuration appelé «optimale». C'est en faite la fermeture de tous les ports non utilisé par le serveur sur l'interface réseau internet et la fermeture de tous les ports non utilisé ou couramment utilisé sur l'interface locale. 2.10Gestion des réseaux novell avec «mars-nwe» Les réseaux administratifs mais aussi des réseaux pédagogiques de certaines académies gardent les traces des réseaux novell. Ces le cas de l'académie de Poitiers ou de Lyon... Pour pouvoir intégrer l'existant (base de tous systèmes voulant s'implanter sur de nouvelle zone) il faut prendre en compte le protocole IPX. Le cietad l'a mis en place sur son serveur Horus a travers l'adjonction du module «mars-nwe». Le résultat est sans ambiguïté! Ce daemon fonctionne très bien et permet une transparence totale entre le réseau IP et IPX pour ce serveur. A envisager sérieusement! 2.11Gestion des espaces utilisateurs «quota» Mandriva Education 2008 Spécifications Logiciels Détaillées v1.0.doc Date : 07/06/2008 Page : 11

12 Les utilisateurs sont nombreux dans un réseau pédagogique. Leurs besoins varies énormément selon qu'ils sont en arts plastiques ou en filliaire scientifique, Qu'ils sont en audio ou vidéo ou en littéraire etc... L'espace disque accordé va donc varier! Il est difficilement envisageable d'aligner tous le monde sur le besoin le plus important même si le prix du disque est peu élevé actuellement. Il faudra donc avoir la possibilité de fixer un quota à partir du quel un message informera l'utilisateur qu'il est à 90% ou plus de son quota et une interdiction d'excéder le quota qui lui a été fixer en refusant un enregistrement générant un dépassement de capacité attribuée. 2.12Gestion des zones «DNS» Les réseaux administratifs mais aussi des réseaux pédagogiques de certaines académies gardent les traces des réseaux novell. Ces le cas de l'académie de Poitiers ou de Lyon... Pour pouvoir intégrer l'existant (base de tous systèmes voulant s'implanter sur de nouvelle zone) il faut prendre en compte le protocole IPX. Le cietad l'a mis en place sur son serveur Horus a travers l'adjonction du module «mars-nwe». Le résultat est sans ambiguïté! Ce daemon fonctionne très bien et permet une transparence totale entre le réseau IP et IPX pour ce serveur. A envisager sérieusement! Déclaration de zones : Cela permet de déclaré différentes zone du réseau avec le serveurs maître en terme de résolution de nom. Déclaration de machines : C'est l'ajout de toutes les machines sous la zone d'influence du serveur et donc la ou il est le serveur de nom. Enregistrement dynamique : L'enregistrement de toutes les nouvelles machines se présentant sur le réseau local du serveur. DHCP avec réservation d'adresse : Il est important de pouvoir mettre en place un dhcp avec réservation d'adresse, c'est à dire attribuer une adresse ip à une adresse mac. Le serveur DHCP redonnera toujours cette adresse. On peut donc référencer la machine dans la zone dns puisque elle reprend toujours la même adresse quand elle se présente dans le réseau (le problème est le même pour le filtrage par plage d'adresse ip). 2.13Fédération d'identité (saml 2.0) «shibbdeth» Les informations sont de plus en plus souvent réparties géographiquement, le problème est d'assurer le suivi des authentification afin de ne pas compliquer l'accès des utilisateurs. La gestion des authentifications partagées s'appelle de la fédération d'identité. Un logiciel développé par des universités permet de prendre en charge les contraintes liées au protocole «saml 2,0» c'est «Shibbdeth». Prenons un exemple d'utilisation : le lycée d'arnage à son site internet hébergé sur les serveur du rectorat à Nantes (44) avec une adresse...ac-nantes.fr. Quand un visiteur se loggue sur le site il obtient un certain nombres d'informations sur le lycée. Si le visiteur est un parent d'élève il va cliquer sur le lien adéquat qui va le renvoyer vers l'espace numérique de travail hébergé par le lycée à Arnage (72) mais là il devra s'identifier à nouveau... Ce n'est pas transparent comme fonctionnement! C'est là que la fédération d'identité joue son rôle!!! Si le système est mis en place, les informations d'identification son récupéré sur le serveur Nantais et transmise au serveur Sarthois qui ouvre automatiquement l'accès. Ce genre d'utilisation se généralise à grande vitesse et devient une brique à part entière du système d'information. Mandriva Education 2008 Spécifications Logiciels Détaillées v1.0.doc Date : 07/06/2008 Page : 12

13 3.Gestion par groupe d'utilisateur Les paramètres suivants sont des possibilités offertes par le système edutice sous réserve d'une configuration des éléments extérieur adéquate. Novatice Technologie ne peut être tenu pour responsable si un dysfonctionnement du système venait d'une incapacité du serveur ldap (indépendant) à fournir les informations nécessaire. Le serveur edutice n'étant pas le serveur ldap mais juste un relais. Il en va de même pour samba! 3.1Ldap Identifier les utilisateurs par fonction Il existe dans le schéma ldap différentes options comme les langues, l'expiration des comptes etc... et une option shadows qui permet de fixer des groupes d'utilisateurs. Par exemple, on peut déclarer que sur un poste tous le monde peut se connecter si il appartient au groupe informatique. Cela revient à dire que tous les comptes sont valides mais que pour se connecter à un groupe de poste particulier ils devront en plus appartenir au groupe informatique. C'est peut la même idée que la norme 802.1x mais prédéfini au lieu d'être dynamique Profil Proposer un profil adapté aux différents groupes utilisateurs Chaque utilisateur peut avoir des besoins néccéssitant une configuration très différentes. L'exemple des êrsonnes étrangères qui ne peuvent travailler sur un système Français. Il y a donc un impératif à fournir un environement différent. Dans le cas des langues ont peu tricher en utilisant la fonction country contenu dans le schéma ldap mais celà n'est pas toujours possible... Si l'on prend le cas de l'aspect visuel on a pas d'autres choix que de créer des profils et de les affecter en fonction des utilisateurs. 3.3Documentation et diffusion Pour pouvoir utiliser un système dans son ensemble on a besoins de savoir l'étendue de ces possibilités. Il est donc important qu'un système soit bien documenté et que celle ci évolue en même temps que le système lui même. Un système très apprécié en terme de documentation est le classeur. Certaines sociétés fournissent avec leurs logiciels un classeur avec des intercalaire séparant les différents éléments de la documentation. A chaque mise à jour ils renvoient les fiches complémentaires, ce qui permet à l'administrateur d'actualiser ces connaissances sans tout reprendre. Une pochette plastique sur l'intérieur avant du classeur permet de ranger la feuille des identifiants, numéro de hotline etc... Sur la dernière page un lot de feuille permet d'écrire la date et les modifications effectués pour assurer le suivi. Mandriva Education 2008 Spécifications Logiciels Détaillées v1.0.doc Date : 07/06/2008 Page : 13

14 4.RECETTE DES FONCTIONNALITES Visa : Christophe Terrassoux Visa : Romain Marie Observation : Observation : Date : Date : Fonctionnalités recettés! Connections sur un annuaire (ldap ou active directory) Mise à jour du serveur (antivirus, sécurité etc...) Load balancing avec répartition de charge Dhcp avec réservation d'adresse Déclaration des zones DNS Réglages du pare-feu (peer to peer, personnalisé...) Prise en charge des réseaux novell ( IPX ) Intégration backuppc, udpcast ou partimage... Intégration de ipp2p et ebtables Intégration de SSL Explorer (vpn ssl) Gestion du wake on lan Gestion de la sauvegarde du serveur Prise en charge de Tor (anonymiseur) Intégration d'un webmail avec un frontend Intégration d'un ENT scolaire Gestion de la fédération d'identité Gestion du radius et vmps (802.1x) Gestion des quota utilisateurs Intégration d'un antivirus de proxy, de fichiers et utilisateurs Gestion des onduleurs Valider le fonctionnement de «cédéroms distribués» (type slcd) Gestion de la supervision locale (munin, mrtg, rrdtools) Intégration de logiciel (vlvc, amsn, manslide...) Gestion des lecteurs (cdrom...) Intégration du filtrage utilisateur (nfuw) Gestion du reverse proxy et/ou renvoie de port Fonctionnement testé et validé Validé * La supervision d'un parc éclaté doit être faite par un serveur dédié appelé «serveur de supervision». Mandriva Education 2008 Spécifications Logiciels Détaillées v1.0.doc Date : 07/06/2008 Page : 14