Installation et utilisation du module Scribe et des clients Scribe

Transcription

1 Installationetutilisationdu modulescribeetdesclients Scribe Installation et utilisation du module Scribe et des clients Scribe avril2010 EOLE(

2 Versiondudocument avril2010 Date création:05/02/2008 Editeur PôledecompétenceEOLE Rédacteurs ÉquipeEOLE Licence Cettedocumentation,rédigéeparlepôledecompétenceEOLE,estmiseàdispositionselonles termesdelalicence: CreativeCommonsPaternité Pasd'UtilisationCommerciale PartagedesConditionsInitiales àl'identique2.0france: nc sa/2.0/fr/. Vousêteslibres: dereproduire,distribueretcommuniquercettecréationaupublic; demodifiercettecréation Selonlesconditionssuivantes: paternité:vousdevezciterlenomdel'auteuroriginaldelamanièreindiquéeparl'auteurde l'oeuvreouletitulairedesdroitsquivousconfèrecetteautorisation(maispasd'unemanière quisuggéreraitqu'ilsvoussoutiennentouapprouventvotreutilisationdel'œuvre); pasd'utilisationcommerciale:vousn'avezpasledroitd'utilisercettecréationàdesfins commerciales,ycompriscommesupportdeformation; partage des Conditions Initiales à l'identique: si vous modifiez, transformez ou adaptez cette création, vous n'avez le droit de distribuer la création qui en résulte que sous un contratidentiqueàcelui ci. Achaqueréutilisationoudistributiondecettecréation,vousdevezfaireapparaîtreclairementau publiclesconditionscontractuellesdesamiseàdisposition.lameilleuremanièredelesindiquer estunlienverscettepageweb. Chacunedecesconditionspeutêtrelevéesivousobtenezl'autorisationdutitulairedesdroitssur cetteœuvre. Riendanscecontratnediminueounerestreintledroitmoraldel'auteuroudesauteurs. CettedocumentationestbaséesuruneréalisationdupôleEOLE.Lesdocumentsd'originessont disponiblessurlesitedupôle. EOLEestunprojetlibre(LicenceGPL). IlestdéveloppéparlePôledeCompétenceEOLEduMinistèredel'éducationnationale,rattachéau Centred'EtudesetdeTraitementsInformatiquesdel'AcadémiedeDijon(CETIAD). Pourtouteinformationconcernantceprojetvouspouveznousjoindre: dijon.fr ParFAX: Parcourrier:EOLE CETIAD33rueBerbisey B.P DIJONCEDEX lesite: EOLE( 2

3 Sommaire Sommaire IPrésentationethistoriqueduprojetEOLE LesGrandesDates Lesobjectifsd'EOLE LogicielLibre EOLELinux Quelquesréférences...17 IIIntroductionàScribe Qu'estcequeScribe? Aquis'adresse t'il? LesbriqueslogiciellesScribe...20 IIILesétapesdemiseenœuvre Particularitéd'unmoduleEOLE Lesquatrephasesdelamiseenœuvred'unmoduleEOLE...23 IVInstallationd'unmoduleEOLE Pré requis Lancementdel'installation...25 VConfigurationd'unmoduleEOLE Principesdelaconfiguration Configurationenmodeautonome Lancementdelaconfiguration Utilisationdel'interface Lazonemenu Lazoneformulaire Lazoneonglet Lazonevalidation...33 EOLE( 3

4 Sommaire 3ConfigurationenmodeZéphir Enregistrementd'unserveurexistant Enregistrementd'unnouveauserveur ConfigurationdeScribe...37 VIInstanciationd'unmoduleEOLE Principesdel'instanciation Lancementdel'instanciation Lesmotsdepasse L'enregistrementsurlabasematériel Lamiseàjour Leredémarrage InstanciationdeScribe...42 VIIAdministrationd'unmoduleEOLE Principesdel'administration DécouvertedeGNU/Linux LesBases L'arborescenceLinux Lagestiondesdroits Lagestiondesprocessus QuelquesCommandes Lesmanuels L'éditeurdetexteVim LesmodesVim Premièrepriseenmain Lesdéplacements Rechercheetremplacementdetexte Couper,copieretcoller Lemodefenêtre Autres Liensconnexes LescommandesàdistanceavecSSH LeprotocoleSSH SSHsousGNU/Linux SSHsousWindows Quelquesréférences...66 EOLE( 4

5 Sommaire 3L'interfaced'administrationEAD Fonctionnementgénéral Principes Premierpasdansl'administrationd'unserveur Ajout/suppressiondeserveurs AuthentificationlocaleetSSO Authentificationlocale L'authentificationSSO Redémarrer,arrêteretreconfigurer Miseàjour Arrêtetredémarragedeservices Redémarrer/Arrêterdesservices(modenormal) Redémarrer/Arrêterdesservices(modeexpert) Gestiondesrôles Présentation Lesrôles Associationdesrôles LesrôlesScribe Listingmatériel Bandepassante Groupesetutilisateurs Groupes Utilisateurs Lettresdelecteur Gestionfinedesgroupesetdesutilisateurs:ACL Quotasdisque Importation Préparationdesfichiersnécessairesàl'importation Importationparl'EAD Importationenmodeconsole Observationdesvirus Introduction Activationdel'application Installationréseau InstallationdepuisDVD Installationduclient EOLE( 5

6 Sommaire 3.14.Machines Listedesmachines Suppressiond'unemachine Imprimantes Sauvegarde BaculaauseinduprojetEOLE SauvegardeBaculasurScribe RestaurationsousEOLE Quelquesréférences L'interfaced'administrationsemi graphique Lesmisesàjour Lesprocéduresdemiseàjour Lesmisesàjourenlignedecommande ScriptsQuery AutoetMaj Auto ScriptMaj Cd ScriptUpgrade Auto Installationmanuelledepaquets LesdépôtsEOLE Lecontrôleurdedomaineetleserveurdefichiers Lespartages Partagesstandards Personnalisationdelaconfigurationdespartages Lemodeinvité Fonctionnalitésdiverses CorbeilleSamba Anti virustempsréél Surveillancedesquotasdisque L'administrationdeslistesdediffusion Présentation L'interfaceweb Leslistesautomatiques Leslistesmanuelles L'interfaceCUPS Créationdel'imprimante Ajouterunenouvelleimprimante Choixdumatériel EOLE( 6

7 Sommaire 8.2.Choixdupilote UtilisationdespilotesclientsWindows UtilisationdespilotesCUPS Lagestiondesonduleurs Configuration Clientssupplémentaires Configurationd'unsecondonduleur Commandesutiles Quelquesréférences VIIIDiagnosticd'unmoduleEOLE Lacommandediagnose Lediagnose,modeétendu IXReconfigurationd'unmoduleEOLE Reconfigure Pourquoireconfigureaulieud'instance XPersonnalisationduserveuràl'aidedeCreole Créationdepatch Ajoutdedictionnaireslocaux SyntaxeXMLCreole LelangagedetemplateCreole GestiondescertificatsSSL Gestiondesservices GestiondesnoyauxLinux Ajoutdescriptsàl'instanceouaureconfigure XILesclientsScribe InstallationetconfigurationdesclientsWindows Principe Configurationréseau IntégrationetinstallationduclientScribemanuelle Intégrationaudomaine InstallationduclientScribe IntégrationetinstallationduclientScribeautomatique EOLE( 7

8 Sommaire IntegrDom Joinscribe MiseàjourduclientScribe DésinstallationduclientScribe Configurationd'unclientGNU/LinuxEOLE Présentation AdaptationsurleserveurScribe Administrationdesclients L'ouverturedesession Windows200x,XP,Vistaet Windows9x Eclair/ClientScribe Lesprofilsutilisateurs CréationdeprofilobligatoiresousWindowsXP Lessessionslocales GestiondesconfigurationsclientesavecESU Introduction LaconsoleESU Personnalisationdufondd'écran Gestion postes Observation/Diffusionduposte BloquerInternet/Masquerlespartages(Modedevoir) Distributiondedevoirs L'EADetlesclients ModedecontrôleVNC Connexions Gestiondesstations NuFW ClientsFTP ClientsJabber Miseenplaceduserveurjabber Configurationd'unclient Autreslogiciels XIILesapplicationsweb SSO EOLE( 8

9 Sommaire 2Grr Gibii Gepi Webcalendar Dokuwiki Ajaxplorer Moodle Taskfreak Cdt Webshare SquirrelMail Envole Présentation Installation Accéderàl'application ConfigurerAmonpourEnvole ActiverleportailEnvoledansl'EAD ConfigurationsansAmon PrincipesdefonctionnementdeEnvole GestionnairedeprofilsduportailEnvole Créerunprofilutilisateur Créerunongletversdespagesexternes Créerunitemdebureaupourleplugindesktopduportail Autoriserdesélémentspourdesprofils Associerdesutilisateursàunprofil Visualiser/supprimerdeséléments Téléchargerdesicônesdebureau Personnalisationsvisuelles LamireEoleSSO phpMyAdmin Ajoutd'applicationsweb Téléchargementetmiseenplacedesfichiers ConfigurationApache ConfigurationMySQL Configurationdulogiciel EOLE( 9

10 Sommaire XIIIRésolutiondesproblèmes Problèmesàlamiseenœuvre Problèmeslorsdel'installation Problèmeslorsdelaconfiguration Problèmesenexploitation Lesjournauxsystème SurveillanceetalertesZéphir Surveillancedesserveursenregistrés Gestiondesalertes Echecdelaprocédured'Upgrade ProblèmesScribe Problèmesàl'inscriptionaudomaine ProblèmesavecleClientScribe ProblèmesControle vnc Désynchronisationdesquotasdisque Problèmesavecleslistesdediffusion ReconstructiondelabaseSQLdeBacula Trouverdel'information Lacommandegen_rpt Quelquesréférences XIVDocumentationstechniques Télédistributiond'identifiantsENT Le SchémaDirecteur des Espaces Numériques detravail L'identifiantENT AttributiondesidentifiantsENT L'annuaireLDAPdeScribe Introduction Organisationdel'annuaire L'arborescence Entréegroupe Entréeélève Entréeenseignant Entréepersonneladministratif Entréeresponsablelégal Entréecompteinvité EOLE( 10

11 Sommaire Entréeordinateurdudomaine Entréepartage Sauvegarde ThéoriedelaSauvegarde Méthodetotale Méthodeincrémentielle Méthodedifférentielle LesOutilsdeSauvegarde Bacula Architecture Définitions Administration Quelquesréférences Architectur Académique ExportationdesfichiersdepuisSconetetSTS LalistededistributionSympa LagestionduSID Introduction CalculetstockageduSID Modedecalcul CommandesliéesauSIDdudomaine ServicesactifssurScribe Portsutilisés Introduction Listedesportsutilisés PortsstandardsTCP Portsspécifiques PortsàouvrirsurlePare feu PortsàouvrirduScribeversleréseaupédagogique PortsàouvrirduScribeversl'Internet Glossaire EOLE( 11

12 Pr EOLE( 12

13 I Présentation et historique du projet EOLE EOLE,EnsembleOuvertLibreetEvolutif,estunesolutioncléenmainpourlamiseenplacedeserveurs réseauxintra/internetdanslesétablissementsscolairesetacadémiques. 1 Les Grandes Dates Pr 2000:AcadémiedeDijon Projetlocalpourrépondreàunbesoinidentifié. 2001:ProjetNationalàlademandeduMinistèreNationaldel'EnseignementSupérieuretdelaRecherche (MENESR). Lesbutsétaient: protégerlesélèves; protégerlesdonnéesadministratives; version1.0dupare feuamon. 2002: Etudes de contenu nationales & développement par le Centre d'etudes et de Traitements Informatiquesdel'AcadémiedeDijon(CETIAD): généralisationdeamondanslescollègesetlycées; nouveauxmodules: concentrateurderéseauxprivésvirtuels:sphynx1.0; serveurdefichiersadministratif:horus :EquipeEOLE=Pôledecompétence"LogicielsLibres*": Amon : Sphynx1.1; Scribe1.0:serveurdefichierspédagogique; EditeurderèglespourAmon:Era. 2005: VPN:abandondeFreeswanetajoutdumodemulti tunnels; EOLE( 13

14 Amon1.5danslesécolesprimaires; Zéphir:nouveaumodulepourl'administrationdesserveursàdistance; filtragewebdynamique:passagedesquidguardàdansguardian. 2006: outildediagnostiqueréseau:odr; serveurdesauvegardesbacula; réécritureeoleng. EOLENGBeta(enjuin); EOLENG2.0Stable(enoctobre) EOLENG2.1Stable(enmai); nouveaumodule:leserveurdeclientslégerslinuxeclair EOLENG2.2LTSStable(enjanvier); nouveaux modules: le serveur virtualisé AmonEcole, laconsole de visualisation del'ids Prélude (fonctionneaveczéphirlog),lerelaisdemessageriepourledomaineintra académiqueseshat. Pr 2 Les objectifs d'eole LesobjectifsduprojetEOLEsontlessuivants: utilisationdeslogicielslibres*; réalisationmodulaire,doncévolutiveetouvertesurlesstandardsdumarché; facilitédemiseenœuvreetdedéploiement; administrationàdistance; servicesmutualisés(réseauglobalétablissement); respectdescontrainteslégales(propriétéintellectuelle,droitdespersonnesetdesenfants). EOLE( 14

15 3 Logiciel Libre Letermedelogiciellibres'entendiciausensdelalicenceGNUGPL*,àsavoir: unlogiciellibreestunlogicieldontlalicenceditelibredonneàchacunledroitd'utiliser,d'étudier,demodifier, dedupliquer,dedonneretdevendreleditlogicielsanscontrepartie. Lanotiondelogiciellibrenedoitseconfondreniaveccelledelogicielgratuit(freewaresougraticiels),niavec celledesharewares,niaveccellededomainepublic.demême,leslibertésdéfiniesparunlogiciellibresont bienplusétenduesquelesimpleaccèsaucode source,cequ'onappellesouventlogicielopensourceou«àsourcesouvertes».toutefois,lanotionformelledelogicielopensourcetellequ'elleestdéfinieparl'open SourceInitiativeestreconnuecommetechniquementcomparableaulogiciellibre. Licence GNU GPL L'objectif de la licence GNU GPL, selon ses créateurs, est de garantir à l'utilisateur les droits suivants (appeléslibertés)surunprogrammeinformatique: 1. lalibertéd'exécuterlelogiciel,pourn'importequelusage; 2. lalibertéd'étudierlefonctionnementd'unprogrammeetdel'adapteràsesbesoins,cequipassepar l'accèsauxcodessources; 3. lalibertéderedistribuerdescopies; 4. lalibertéd'améliorerleprogrammeetderendrepubliqueslesmodificationsafinquel'ensembledela communautéenbénéficie. Licence CeCILL Pr AcronymepourCe(A)C(nrs)I(NRIA)L(ogiciel)L(ibre). C'estunelicencelibrededroitfrançaiscompatibleaveclalicenceGNUGPL. 4 EOLE Linux Issu du projet éponyme, EOLE Linux est l'association d'une distribution GNU/Linux (Ubuntu, en l'occurrence)etdesoutilsspécifiquesd'intégrationetd'administrationissusduprojet. LesdéveloppementsspécifiquesàEOLEsontsouslicenceCeCILL. EOLELinuxregroupel'ensembledesmodulesdéveloppésdanslecadredeceprojet. Module EOLE Chaquemoduleestunensembledeserveursrépondantàunobjectifdetravaildanslesétablissements,sous la forme d'une sélection de briques logicielles, associée aux procédures de déploiement (installation), configuration,préparation(instanciation)etexploitation(administrationetutilisation)définiesspécifiquement pourchacundecesmodules. L'installationsedéroulesanslamoindreinterventiondel'utilisateur.Ilexistenéanmoinsunmodeoffrantune plus grande latitude dans la mise en œuvre du serveur (en particulier, la gestion du RAID et/ou du partitionnement). EOLE( 15

16 EOLELinuxdisposed'unemaintenance(misesàjourdesécuritéetfonctionnelles)simplifiée. Une distribution Linux Unedistribution*Linux*estunensemblecohérentdelogicielsgroupéautourd'unnoyau(oukernel)Linux.Il comporte: desbriqueslogicielles,oupackages(parex,lesoutilsgnu*); uninstalleur(procédured'installation,interactiveouautomatique); uneprocéduredemiseàjourdesbriqueslogicielles. Assistance Technique EOM Dis t r ib u t io n Lo gic ie lslibre s(o utilsgnu) Pr Sp Distribution é cifique Conseil NoyauLinux M a n u e ls u t ilis a t e u r s ProduitsPropriétaires Intégration Distribution UnedistributionLinuxestunensemblecohérentdelogicielsrassemblantunsystèmed'exploitationcomposé d'unnoyaulinuxetd'applications,laplupartétantdeslogicielslibres. Linux LenoyauLinuxestunnoyaudesystèmed'exploitationdetypeUnix.LenoyauLinuxestunlogiciellibre développéinitialementparlinustorvalds.ilaofficiellementvulejouren1991. Formellement, «Linux» est le nom du seul noyau, mais dans les faits, on appelle souvent «Linux» l'ensembledusystèmed'exploitation,aussiappelé«gnu/linux»,voirel'ensembled'unedistributionlinux. GNU GNUestl'acronymerécursifdeGNUisNotUnix.Projetfondéen1984,ilviseàproduireunOScompletde typeunix. Lenoyaupropreauprojetn'étantpasfini,GNUestleplussouventutiliséavecLinux.Onparlealorsde systèmegnu/linux. EOLE( 16

17 5 Quelques références LesitewebOfficiel: lewiki: AccueildesListesdediffusion: LogicielLibre: sw.fr.html LicenceGPL: Gnu.org: Wikipédia: LicenceCeCILL: CeCILL.info: Pr Wikipédia: EOLE( 17

18 Introduction à Scribe Introduction II Cedocumentprésentel'installationetlamiseenœuvreduserveurScribe,leserveurpédagogique. 1 Qu'est ce que Scribe? Scribe est un serveur de fichiers et d'impression Ilproposelesservicessuivants contrôleurdedomaine; partagedefichiersetderépertoires; supportdesacl; quotasdisques; partaged'imprimantes; gestiondescomptesutilisateursetdesaccès; exécutiond'applicationsutilisateurs; gestiondesdevoirsélèves. Scribe est un système de messagerie articulé autour d'un annuaire performant l'annuaireestinitialiséàpartird'importationdecomptes(sconet,be1d,aaf,csv,...); l'annuairepeutservirdebased'authentificationpourd'autresservicesréseaux; lamessageriegèredeuxdomainesdistincts(l'internetetl'intranetacadémique); utilisationauchoixd'uneinterfacewebmultilingueoud'unclientdemessagerie(standardsimapet POP); EOLE( 18

19 unservicedelistesdediffusion; unesécuritéanti spam,unanti virus,unegestiondequotas(tailledesboitesauxlettres),... Introduction Scribe offre des services web unserveurweb; unportailweb. Scribe offre une gestion avancée des utilisateurs et des postes clients appliquerdesrestrictionsoupré configurerdesapplications,enfonctiondulogindel'utilisateuroude sesgroupesetdunomdelamachinesurlaquelleilseconnecte; effectuer des actions distantes sur les stations (fermer la session, éteindre ou redémarrer un ou plusieurspostes); surveillerladétectiondevirusparleserveur; surveilleretéventuellementpurgerlesfilesd'attentedesimprimantesconnectéesauserveur(locales oudistantes). 2 A qui s'adresse-t'il? Scribes'adresseprincipalementauxréseauxpédagogiquesdesétablissementsscolaires. Ilpeuttoutefoisêtreutilisépartoutoùilestnécessaired'avoirunserveurdefichiers. EOLE( 19

20 Introduction 3 Les briques logicielles Scribe ChaquemoduleEOLEestconstituéd'unensembledebriqueslogicielles. Chacunedecesbriquespeutévoluerindépendammentdesautresetfairel'objetd'uneactualisationoud'une intégrationparl'intermédiairedesprocéduresdemiseàjour,afind'ajouterdenouvellesfonctionnalitésou d'augmenterlasécurité. Briques logicielles communes à tous les modules NoyauLinux2.6:NoyauLinuxUbuntu; OpenSSH(équivalentdetelnetchiffréetsécurisé):demandeuneauthentificationsurlamachine cible,cetoutilpermetuneprisedemainàdistance; Rsyslog:servicedejournalisation.Ilpermetégalementlacentralisationdeslogs; Pam:Gestiondesauthentifications; EAD:l'outild'administrationduserveur. Briques logicielles spécifiques OpenLDAP: service d'annuaire centralisant les utilisateurs et pouvant servir de base pour l'authentificationd'autresservicesréseaux; Samba:serveurdefichierspermettantlepartagedefichiersetrépertoires,d'imprimantes,lagestion desdroitsutilisateurs,descomptesainsiquedesaccès,desquotasdisquesetdesacl; serveurd'impressioncups; MySQL:systèmedegestiondebasesdedonnées; Bacula:logicieldesauvegarde; ProFTPD:serveurFTP,ilpermetauxutilisateursd'accéderàleursfichiersviaceprotocole; ClamAV: anti virus, il peut être activé pour surveiller le courrier, les partages du serveur et les échangesftp; dhcp3 server:serveurdhcp; Apache:serveurweb; Exim4:serveurdemessagerie; Courier:gestionducourrierélectronique; Sympa:gestionnairedelistesdediffusion; Spamassassin:anti spam; Squirrelmail:interfacewebmail; SPIP EVA:interfacewebdegestiondecontenu; GIBII:GestionInformatiséeduBrevetInformatiqueetInternet; Gepi:outildesuiviscolaire. EOLE( 20

21 Introduction EOLE( 21

22 III Les étapes de mise en œuvre Les 1 Particularité d'un module EOLE Un module EOLE est un serveur basé sur la distribution GNU/Linux Ubuntu accompagné d'outils de configurationetd'administration.lesprincipauxoutilsnécessairesàl'installationetàl'utilisationsont: [gen_config] [instance] [diagnose] [EAD] Cesoutilsutilisentdesfichiersdeconfiguration(/etc/eole/distrib)etdesdictionnaires(/etc/eole/dicos).Letout formelesystèmecreole. Lamiseenœuvresedécomposeenquatrephases.Chacunedecesphasesnerequiertpaslemêmeniveau decompétence.ellespeuventdoncêtreconfiéesàdespersonnesdifférents. EOLE( 22

23 2 Les quatre phases de la mise en œuvre d'un module EOLE Laphased'installations'effectueaumoyenduCD ROMEOLE,dontl'ISOesttéléchargeablesurle siteinternetduprojeteole( mêmecd ROM. Au démarrage, choisir le module à installer parmi ceux disponibles. Cette phase s'effectue sans aucune question, elle installe les paquets nécessaires, et gère la reconnaissance matérielle des élémentsduserveur. Laphasedeconfigurations'effectueaumoyendel'outildeconfiguration[gen_config]. Les Cetoutilpermetderenseigneretdestockerenunseulfichier(<fichier>.eol)touslesparamètres nécessairesàl'utilisationduserveurdanssonenvironnement(l'adresseipdelacarteeth0estun exempledeparamètreàrenseigner).cefichierserautilisélorsdelaphased'instanciation. Suivantlesmoduleslenombredeparamètresestplusoumoinsimportant. Cette phase d'adaptation peut permettre de prendre en compte des paramétrages de fichiers de configurationdeproduitstelsquesquid,dansguardian,etc. La phased'instanciation s'effectueaumoyendelacommande [instance] suivieducheminetdu nomd'unfichierdeconfigurationgénérélorsdelaphased'adaptation. L'instanciation permet de transférer les valeurs définies précédemment et des fichiers de configurationpré remplisverslesfichierscibles. Al'issuedecettephase,leserveurestutilisableenexploitation. Cettephasedoitêtrecomplétéeparundiagnostiqueduserveur(commandediagnose[ L]). Laphased'administrationcorrespondàl'exploitationduserveur. Chaquemodulepossèdedesfonctionnalitéspropres,souventcomplémentaires. Diversesinterfacespermettentlamiseenœuvredecesfonctionnalitésetenfacilitentl'usage. Poursuivrecesdifférentesétapes,nousutiliserontunfilrougedesétapesdelamiseenœuvre: Fig.1:Filrougedelamiseenœuvre EOLE( 23

24 Installationd'unmoduleEOLE IV Installation d'un module EOLE La première des quatre phases Fig.2:Filrougeinstallation EOLE( 24

25 Installationd'unmoduleEOLE 1 Pré-requis UnserveurciblesurlequelinstallerlemoduleEOLE IlestrecommandédetesterpréalablementlematérielavecunCD ROMEOLEpourvérifierlacompatibilité matériel. Vous disposez également, d'une base des matériels enrichie automatiquement par les installations de moduleseole.elleestdisponibleàcetteadresse: uncd ROMcontenantlesmodulesEOLE Actuellement(imageISOeole 2.2.2du11/03/2010),sontdisponibleslesmodulessuivants: Eolebase(avecousanssupportPAE) Amon AmonEcole Eclair EoleVZ Horus Scribe Sentinelle Seshat Sphynx Zéphir PreludeManager ZéphirLog L'installationutilisel'installeurUbuntupackagéparEOLE. Elles'effectuesansintervention(zéroquestion). 2 Lancement de l'installation Pourinstallerunmodule,ilsuffitde démarrersurlecd ROMEOLE; sélectionnerlemoduleàinstallerparmiceuxproposés; valider. EOLE( 25

26 Installationd'unmoduleEOLE Écran1MenugénéralduCDEOLE L'installationsedéroulesansquestion,enplusieursphasessignaléespardifférentsécransdecetype: Fig.3:formatagedespartitionsdudisque 1. détectiondumatériel; 2. chargerdescomposantssupplémentaires; 3. configurationduréseauavecdhcp; 4. démarragedel'outildepartitionnement; 5. partitionnementassisté; 6. formatagedespartitions; 7. configurationdel'outildegestiondespaquets(apt); 8. choisiretinstallerdeslogiciels; 9. installationduprogrammededémarragegrub; 10. findel'installation. EOLE( 26

27 Installationd'unmoduleEOLE Écran2Findel'installation EnvalidantContinuer,lesystèmeredémarreautomatiquement. Cas particuliers Seule l'installation d'eolebase, aiguille vers un partitionnement manuel et nécessite une intervention. Si le partitionnement proposé n'est pas satisfaisant ou pour des partitionnementsparticuliers(raid),laprocédureestlasuivante: lancer une installation Eolebase qui vous proposera de partitionner manuellement, (anciennementpartitionnementpro), installerensuitelemodulesouhaitéaumoyenduprogrammeenlignedecommande: [apt getinstallnomdumodule pkg], insérerlecd ROMàlademande; lorsquel'installeurrencontredeuxdisquesdurs,ouplus,dansl'ordinateurilpasseégalement enpartitionnementmanuelquelquesoitlemodule. Pourrendrelepartitionnementautomatiqueilnefautlaisserqu'unseuldisquesurleserveur. Truc & astuce Si vous n'avez qu'un seul disque dur mais que vous désirez partitionner vous même ce disque, connecter une clé USB à l'ordinateur. Cette clé sera détectée comme un second disque dur et déclencheralepartitionnementmanuel. Biensûr,necréerdepartitionsquesurledisquedurdel'ordinateur. LacléUSBpourraêtreretiréeauprochainredémarrage. Mot de passe Unefoisqueleserveurauraredémarré,vouspourrezouvrirunesessionavecl'utilisateur"root"etlemotde passepardéfaut"eole". EOLE( 27

28 Configurationd'unmoduleEOLE V Configuration d'un module EOLE Ladeuxièmedesquatrephases Fig.4:Adaptation 1 Principes de la configuration Laconfigurationsuitlaphased'installationduserveur. Ils'agitdecollecteretderenseignerlesparamètresnécessairesaufonctionnementduserveur. Les paramètres saisis peuvent être internes au serveur (par exemple le nombre d'interfaces réseau) ou externes(parexemplel'adressedudns,duserveurdetemps(ntp),...).cetteétapenécessitedoncune bonneconnaissancedel'architectureréseaudanslaquelleserainstalléeleserveur. Enfindesaisie,onobtientunfichierzephir.eol,danslequelsontstockéstouteslesvaleurssaisies. Remarque LaconfigurationportenonseulementsurlesparamètresEOLEdumoduleconcerné,maiségalement sur les paramètres des fichiers de configuration des logiciels contenus dans le module (ex : squid.conf). Ilestpossibledeconfigurerleserveurenmode"autonome"parl'intermédiairedel'outil[gen_config]. Au lancement, [gen_config] récupère dans les différents dictionnaires (/etc/eole/dicos), les variables, leur valeurspardéfautetleslibellésquiserontaffichésdansl'interface. Truc & astuce Ilestpossibledelancergen_configsurunautreserveur(déjàenproductionparexemple),enregistrer lefichier,lecopiersurunecléusbetl'utiliserpourinstancierlenouveauserveur. Decettemanièrelefichier<fichier>.eolpeutêtrepréparéavantl'installationduserveuretêtreconfié àlapersonnechargéed'installerleserveurdansl'établissementquin'auraplusqu'àinstancierle serveur. EOLE( 28

29 Configurationd'unmoduleEOLE SivousutilisezleserveurdegestiondeparcdesserveursEOLEZéphir,vouspouvezconfigurerdirectement votreserveurdepuisl'applicationzéphir.parlemécanismedevariante,vouspouvezavoirdesconfigurations pré définitpourunensembledeserveurs. 2 Configuration en mode autonome 2.1. Lancement de la configuration Ilexistedeuxfaçonsdelancer[gen_config]: L'interfacegraphique Pardéfaut,l'interfaceestenmodegraphique. Écran3Écrand'accueilde"gen_config" EOLE( 29

30 Configurationd'unmoduleEOLE L'outilconsole Différentes situations peuvent empêcher d'utiliser l'interface graphique. Si le système détecte que son lancement n'est pas possible, il lance l'outil console. Il est également accessible directement par la commande[gen_configtxt]. Descriptiondesactionspossiblesdel'outilconsole: taper?pourobtenirdel'aidedanslaconsole; chargerd'unfichier(open,puisindiquerlenomdufichier<fichier>.eol); listerlesgroupesdevariablescreole(pourpouvoirsélectionnerungroupe); modifierdesvariablesdugroupe; passerenmodeexpert; enregistrerlaconfiguration(save). Remarque Sivoussortezprématurémentdelaconsole([Ctrl D]ouexit),etqu'ilyaeudesmodifications,ilvous estdemandédesauvegarderlaconfiguration. Attention Nous ne traiterons dans la suite que de l'outil "interface graphique". Les informations demandéesdanslaversiontexteétantexactementlesmêmes. EOLE( 30

31 Configurationd'unmoduleEOLE 2.2. Utilisation de l'interface Ellesedécoupeenquatrezones: lazonemenu; lazoneformulaire; lazoneonglet; lazonevalidation. Certainsongletssontgénérésdynamiquementenfonctiondesélémentsactivésounondansleformulaire. Lesongletscorrespondantsaumodeexpertapparaissentsicedernierestactivé La zone menu Sous menufichier ouvrirfichier Cesous menupermetd'ouvrirunfichierdéjàenregistrésurledisquedurduserveur.cefichierest nommézephirpardéfaut,ilesttoujours.eolcommeextension. enregistrerfichier Cesous menupermetd'enregistrerlaconfigurationdansunfichier.ilestgénérépardéfautdans/root ets'appellezephir.eol.ilestpossiblededonnerunautrenomàcefichierdeconfiguration. chargerdefauts Permetdechargerlesvaleursimplicitesdesdifférentsparamètreslorsqu'ellesexistent importcreole1 L'importation d'un fichier de configuration de type EOLE 1 s'effectue en activant le menu Import Creole1.LeprogrammerécupèrelesparamètrescommunsàEOLE1etEOLENG,ilneresteplus qu'àcompléterlestableauxetenregistrerlefichierpourobtenirunfichierdeconfigurationeoleng. Écran4Menu"Fichier" EOLE( 31

32 Configurationd'unmoduleEOLE Sous menuzéphir connexion Permet d'activer une connexion sur le serveur Zéphir, et ainsi de récupérer une configuration existante(renseignerl'adresseipduserveurzéphirainsiquelesloginetmotdepasse). choisirunserveur LaconnexionavecleserveurZéphirétablie,ilestpossibledechoisirleserveursurlequelondoit récupérerlaconfiguration. récupérerlaconfiguration PermetderécupérersurleZéphirunfichierdeconfigurationdéjàrenseigné. envoyerlaconfiguration Aprèssaisiedufichier,permetd'envoyercelui cisurlezéphir. importcreole1 PermetderécupérersurZéphirunfichierdeconfigurationdetypeEOLE1. déconnexion FermelaconnexionauserveurZéphir. Écran5Menu"Zephir" Sous menuaffichage Permetdecacherlesvariablesinactives. cacherlesvariablesinactives griserlesvariablesinactives Permetd'afficherengrisélesvariablesinactives. Écran6Menu"Affichage" EOLE( 32

33 Configurationd'unmoduleEOLE Sous menumode lemodenormal: Neprésenterquelesongletsstandards(optionpardéfaut). lemodeexpert: Activerlesongletsexpertsetlesformulairesassociés(exemplepourlemoduleAmon,l'activationdumode expertfaitapparaitrelesongletsproxy père,zone DNS,Squid...). Écran7Menu"Mode"choix"Normal/Expert" La zone formulaire Présentationgénérale Elleregroupelesparamètresdel'ongletactivé. L'indicateur[+ ]signifiequ'ilestpossiblederentrerplusieursvaleurspourceparamètre. Lebouton[PREC]récupèrelavaleursaisieprécédemment. Lebouton[DEF]chargelavaleurpardéfaut(cettevaleurestindiquéedanslestableauxquisuivent). Regroupementdesparamètresparbloc Lesparamètresdechaqueongletsontrépartisdansdesblocsthématiques.Chaqueblocregroupeunou plusieursparamètres La zone onglet Ilexistetroistypesd'onglets: lesongletsdebase,présentssystématiquementaulancementdel'outil[gen_config]; lesongletsoptionnelsprésentssiunparamètreduformulaireestactivé.exemple:sileparamètre DHCPestactivé,l'ongletDHCPseragénérédynamiquementaumêmeniveauquelesongletsde base; les onglets experts correspondent essentiellement au paramétrage de fichiers de configuration d'outilsspécifiques(exemple:pourlemoduleamon,lesparamètresdufichier squid.conf).ilssont disponiblessilemode«expert»estactivé. Note concernant le mode expert Lemode expert devraits'étendre dans l'avenirpourcouvrirun plusgrandnombre defichiersde configuration,etdiminuerainsilebesoindepatchssurlesmodules La zone validation Cettezonepermetdevalideroud'invalider,formulaireparformulaire,lesmodificationsapportéessurcelui ci. EOLE( 33

34 Configurationd'unmoduleEOLE 3 Configuration en mode Zéphir LaconfigurationenmodeZéphirsefaitendeuxtemps: ilfautdéjàcréerleserveurauniveauacadémiquesurlezéphir,utiliseréventuellementunvariante,le configurer,...; dansl'établissement,ilnerestequ'àenregistrerleserveur. Cetteprocéduren'estpasobligatoirementdanscetordre.Ilestpossibledeconfigurerleserveurenmode autonomeetd'enregistrerensuiteleserveurdanszéphir. Laprocédured'enregistrementestrequisepourtouslesserveursàadministrerdansZéphir.Ellepermetde créerlesdonnéesnécessairesdanslabasededonnéesetdeconfigurerlatransmissionsécuriséeentre Zéphiretleserveur.Cettetâcheestobligatoireetdoitêtreeffectuéemanuellementsurlemodule(Amon, Horus,Scribe,...). PourenregistrerunserveursurZéphir,ilfaututiliserlacommandeenregistrement zephir. Truc & astuce Si vous voulez enregistrer le serveur depuis une connexion PPPOE, il est nécessaire de lancer enregistrement zephiravecl'option pppoe. S'ilfautuneconfigurationréseauparticulièreaumomentdel'enregistrement,lancerlacommande enregistrement_zephiravecl'option force. EOLE( 34

35 Configurationd'unmoduleEOLE 3.1. Enregistrement d'un serveur existant Toutelaprocéduredoitêtreeffectuéesurleserveurclient(onconsidèredanscetexemplequeleserveurn'a pasétécrééauparavantvial'applicationweb). Dansnotrecas,leserveurestconfiguréetinstanciénormalement. Surleserveur,lancerlacommande: enregistrement_zephir leserveurdoitêtreconnectéauréseaupourpouvoirfonctionnervoulez vousétabliruneconfiguration réseauminimale(o/n),ilestpossibledeconfigurersommairementleréseauenrépondant"oui"àla question; entrerl'adresseduserveurzéphir,ainsiqu'unnomd'utilisateur(etunmotdepasse)autoriséen écrituredansl'applicationzéphir; répondreoui(ouo)àlaquestioncréerleserveurdanslabasezéphir?; saisir ensuite les informations demandées (vous devez entrer un numéro RNE existant dans l'applicationzéphir); choisirunnuméroparmilesmodulesproposés; mêmechosepourlesvariantes; demanderdesauverlaconfigurationactuellesurzephir; unmessageindiqueraquelaconfigurationestbiensauvegardéeetquelescommunicationsavec Zéphir sont configurées. Dans le cas où des paramètres du serveur ne seraient pas renseignés (paramètresprovenantd'unevariante),unmessagevouspréviendraqueceux cidoiventêtresaisis. Remarque Unnumérovousseraindiqué(idduserveur).Cenumérovouspermettrad'accéderdirectementaux informationsdeceserveurdansl'applicationzéphir. Pourvérifierquelaprocédures'estbienpassée,depuisl'applicationZéphir,allerdanslapageserveurs,puis recherched'unserveurparticulieretentrerlenuméroduserveur.lesboutonszephir.eol et enregistrement Zéphir doit être vert, et vérifier la configuration du serveur en cliquant sur modifier.vouspouvezégalementcliquersurdescriptionduserveuretvérifierquelesdonnées correspondentàcequevousavezsaisi. EOLE( 35

36 Configurationd'unmoduleEOLE 3.2. Enregistrement d'un nouveau serveur Laseuledifférenceavecl'enregistrementd'unserveurexistantestqu'aulieudesauvegarderlaconfiguration actuelle du serveur sur Zéphir, vous devrez la saisir depuis le serveur, choisir Récupérer les fichiers de variantesurzéphirenfind'enregistrement. Unefoislaprocédureterminée,lancer gen_config.unefenêtredeloginapparaitalors.ellepermetde s'identifiersurleserveurzéphir. Sous menuzéphir Permet d'activer une connexion sur le serveur Zéphir, et ainsi de récupérer une configuration existante(renseignerl'adresseipduserveurzéphirainsiquelesloginetmotdepasse). choisirunserveur LaconnexionavecleserveurZéphirétablie,ilestpossibledechoisirleserveursurlequelondoit récupérerlaconfiguration. récupérerlaconfiguration PermetderécupérersurleZéphirunfichierdeconfigurationdéjàrenseigné. envoyerlaconfiguration Aprèssaisiedufichier,permetd'envoyercelui cisurlezéphir. importcreole1 PermetderécupérersurZéphirunfichierdeconfigurationdetypeEOLE1. connexion déconnexion FermelaconnexionauserveurZéphir. Écran5Menu"Zephir" EOLE( 36

37 Configurationd'unmoduleEOLE 4 Configuration de Scribe ConfigurationduDHCP LeserveurScribeproposedeconfigurerunserveurDHCP*. PouractiverleserveurDHCP,ilfautserendredansl'onglet Service etchoisir"oui"à Activationdu DHCP. UnnouvelongletDHCPapparaitalors. Écran9ConfigurationduserveurDHCP * L'optionTFTP permetd'activerunserveurtftpaveclesparamètresindispensables. CetteoptionpeutêtreutilepourunserveurEclairoulorsdel'utilisationd'OSCAR. ConfigurationDNS EOLE( 37

38 Configurationd'unmoduleEOLE Dansl'ongletServices: DansNomdedomainedelamessageriedel'établissement,renseignerlenomde domaineduscribe(dutype<etab.ac acad.fr>); DansNomDNSdelapasserelleSMTPrenseignerleserveurSMTP. Voiraussi... >cf"architectur académique",page321. EOLE( 38

39 Instanciationd'unmoduleEOLE VI Instanciation d'un module EOLE Latroisièmedesquatrephases Fig.5:instanciation 1 Principes de l'instanciation LesmodulesEOLEsontlivrésavecunensembledetemplates. Lestemplatessontlesfichiersdeconfigurationdechacundeslogicielsutilisés.Ilssontpré paramétréset contiennentdesvariables. Parallèlement les modules contiennent des dictionnaires contenant l'ensemble de ces variables, comme expliquédanslaphasedeconfiguration. L'instanciationconsisteàremplacerlesvariablesparlesvaleursrenseignéesdanslefichier/root/zephir.eolet àcopierlesfichiersversleuremplacementcible. Remarque Sidespatchsontétéscrééspourpersonnaliserleserveur,ilsserontprisencomptedurantcette phase. EOLE( 39

40 Instanciationd'unmoduleEOLE 2 Lancement de l'instanciation C'estlescript/usr/bin/instancequieffectuecettetâche. Lasyntaxeest:[instance]/root/zephir.eol Lecompterendud'exécutionestdanslefichier/var/log/creole.log Encomplémentdutraitementci dessus,l'instanciationeffectue: desarrêtsetredémarragesdeservices; lancedescommandesdepré instanceetpost instance; effectuecertainestâchesenfonctiondesréponsesauxdialoguesproposés Les mots de passe Aupremierlancementdel'instanciation,ilestnécessairedemodifierlesmotsdepasse: root; l'utilisateurlocalàdroitrestreint(scribe,horus,amonecole,...); sur amon, en cas d'utilisation d'un réseau pédagogique et au réseau administratif, un second administrateur(amon2)permetd'administrerleréseaupédagogique; adminsurscribeethorus; admin_zephirsurzéphir. Pardéfaut,lesystèmeregardelapertinencedesmotsdepasse.Pourcela,ilutiliseunsystèmede"classede caractères": leslettresenminuscule[a z]; leslettresenmajuscule[a Z]; leschiffres[0 9]; lescaractèresspéciaux(exemple:$*ùµ%,;:! /.?); Ilfaututiliserdifférentesclassesdecaractèrespourquelemotdepassesoitconsidérécommevalide. Pardéfaut,voicilesrestrictions: uneseuleclassedecaractères:impossible; deuxclassesdecaractères:9caractères; troisetquatreclasses:8caractères. Cetteconfigurationestmodifiabledurantl'étapedeconfiguration,enmodeexpert. Attention Ils'agitdecomptesd'administrationdoncsensiblessurleplandelasécurité.Ilestimportantde renseignerdesmotsdepasseforts. CetarticleduCERTAdonneuneexplicationdétailléesurlastratégiedesmotsdepasse INF 001/ EOLE( 40

41 Instanciationd'unmoduleEOLE 2.2. L'enregistrement sur la base matériel Unebasematérielaétémiseenligneafindepermettreauxutilisateursdevérifier,avantachat,silematériel estutilisépard'autres. Danscetteaction,leserveurfaitunelisteexhaustivedumatérieldétecté.Cettelistegénéréeestensuite envoyéeauserveurmatérieleolehttp://eole.orion.education.fr/materiel/. L'exécutiondelasondedépenddevotreréponseàlaquestion: "Pourenrichircettebase,acceptez vousl'envoideladescriptionmatérielledeceserveur[oui/non]?" Fig.6:ÉcrandelabasematérielEOLE EOLE( 41

42 Instanciationd'unmoduleEOLE Remarque Lesinformationscollectéessontanonymes La mise à jour Enfind'instance,leprogrammeactiveunemiseàjourautomatiquehebdomadaire.Cettemiseàjoursera effectuéeselonleniveaudéfinidurantlaphasedeconfiguration. Lamiseàjourpermetdemaintenirvotreserveuravecleniveaudefonctionnalitéleplusrécentetsurtoutde bénéficier des dernières corrections. Certaines corrections peuvent combler des failles de sécurité importantes,ilestdoncimportantdelesappliqueraussitôtqu'ellessontpubliées. Ilestconseilléd'effectuerlamiseàjourimmédiatement,commeproposéàlafindel'instance. Unemiseàjourestrecommandée Voulez vousl'effectuermaintenant?[oui/non] L'heureestdéfiniealéatoiremententre01h00et05h59undesseptjoursdelasemaine Le redémarrage Ilestpossiblequ'unredémarragesoitproposéàlafindel'instance. Si le noyau (Kernel) a été mis à jour, le serveur doit redémarrer pour pouvoir l'utiliser. Dans ce cas, la questionsuivanteapparaitra: ***Unredémarrageestnécessaire Voulez vousl'effectuermaintenant?[oui/non] oularemarquesuivantesivousavezmisàjour: ReconfigurationOK Rebootnécessaire 3 Instanciation de Scribe SurScribe,voicilesactionsdelacommande[instance]: initialiselesmotsdepasseroot,administrateurrestreintscribeetéventuellementadmin; génèreunsid; génèrel'annuaireetlesbasesmysqlsiinexistants; lancelesscriptspre/postinstance. EOLE( 42

43 Administrationd'unmoduleEOLE VII Administration d'un module EOLE Ladernièredesquatrephases Fig.7:utilisation 1 Principes de l'administration L'administrationdumoduleestfacilitéparlesoutilsmisàdisposition: l'ead,l'interfaced'administration; l'interfaced'administrationsemi graphiquelorsqu'elleestdisponiblepourcemodule; diversinterfaced'administration(zéphir web,cups,sympa,...); laprocéduredemiseàjour; lessauvegardes. Ilestégalementpossibled'utiliserlalignedecommande.Lechoixdel'outilàutilisers'effectueenfonction dutypedemodule,del'emplacementdecemoduledansl'architecture(serveurenétablissementouserveur académique) et du profil de l'administrateur (administrateur académique, relai académique, personne ressourceenétablissement...). 2 Découverte de GNU/Linux EOLE( 43

44 Administrationd'unmoduleEOLE 2.1. Les Bases Descriptif sommaire Unedistribution unkernel=linux* desoutilspériphériques=gnu* unenvironnementconsoleougraphique unsystèmedefichierséprouvé,héritéd'unix Linux LenoyauLinuxestunnoyaudesystèmed'exploitationdetypeUnix.LenoyauLinuxestunlogiciellibre développéinitialementparlinustorvalds.ilaofficiellementvulejouren1991. Formellement, «Linux» est le nom du seul noyau, mais dans les faits, on appelle souvent «Linux» l'ensembledusystèmed'exploitation,aussiappelé«gnu/linux»,voirel'ensembled'unedistributionlinux. GNU GNUestl'acronymerécursifdeGNUisNotUnix.Projetfondéen1984,ilviseàproduireunOScompletde typeunix. Lenoyaupropreauprojetn'étantpasfini,GNUestleplussouventutiliséavecLinux.Onparlealorsde systèmegnu/linux. EOLE( 44

45 Administrationd'unmoduleEOLE L'arborescence Linux L'arborescenceLinux Pourl'utilisateur,unsystèmedefichiersestvucommeunearborescence:lesfichierssontregroupésdans desrépertoires(conceptutiliséparlaplupartdessystèmesd'exploitation).cesrépertoirescontiennentsoit desfichiers,soitrécursivementd'autresrépertoires.ilyadoncunrépertoireracineetdessous répertoires. Unetelleorganisationgénèreunehiérarchiederépertoiresetdefichiersorganisésenarbre. Racinedel'arbre / (appeléslashouroot):racinedel'arborescencesurlaquellesontraccrochéstouslessous répertoireset fichiers. Arborescence1erniveau bin/:commandesliéesausystème,exécutablespartous; boot/:noyauetinitrdnécessairesaudémarrage(ouboot)dusystème; dev/:fichiersspéciauxeffectuantleliennoyau/périphérique; etc/:fichiersdeconfiguration; home/:répertoiresdeconnexion(ouhomedirectory)desutilisateurs; lib/:librairiesessentiellesaudémarrageetmodulesdunoyau; mnt/:contientlessous répertoiresdemontagedespartitionsdesautrespériphériques; opt/:installationdesapplicationsautres; proc/:pseudosystèmedefichierreprésentantlenoyauàuninstantt; root/:répertoiredeconnexionderoot; sbin/:commandesréservéesàrootetutiliséesdanslesniveauxdedémarragebas; sys/:pseudosystèmedefichierreprésentantlesprocessus; tmp/:répertoiretemporaireaccessibleàtous; usr/:commandesutiliséesparlesutilisateurs(bin),l'administrateur(sbin),maisaussiensembledu systèmegraphique; var/:ensembledesdonnéesvariablesdusystème(spools,logs,web,basededonnée,...). FilesystemHierarchyStandard(«normedelahiérarchiedessystèmesdefichiers»,abrégéenFHS)définit l'arborescenceetlecontenudesprincipauxrépertoiresdessystèmesdefichiersdessystèmesd'exploitation LinuxetdelaplupartdessystèmesUnix. Fichiersetrépertoires Sous Unix, tout est fichier Lesdifférentstypes: fichiersordinaires:fichierséditables fichiersprogrammes:fichierscontenantdesdonnéescompilées répertoires:fichiercontenantlesinfossurlesfichiersetsous répertoirescontenus(index) fichiersspéciaux:fichierassociéàunpériphérique.necontientqu'unedescriptionrelativeaudriver ettyped'interface. Adresseabsolue/adresserelative Unfichierouunrépertoirepeutêtredéfini: soitparuncheminrelatifàl'endroitoùvousvouspositionnezaumomentt. soitparuncheminabsoluàpartirdelaracinedel'arborescence. EOLE( 45

46 Administrationd'unmoduleEOLE La gestion des droits DroitsdebaseUNIX Lesdroitsdétaillésci aprèss'appliquentàl'ensembledescomposantesdel'arborescencelinux,àsavoirles fichiersetlesrépertoires. Droitsessentiels: lecture écriture exécution Autresdroits: stickybit setuidetsetgidbits Descriptiond'unfichier EOLE( 46

47 Administrationd'unmoduleEOLE 1. numérod'inode 2. type&droitssurlefichier(ourépertoire) 3. compteurdeliensphysiques 4. propriétaire 5. groupe 6. taille 7. datededernièremodification 8. nomdufichier(répertoire) Représentationdutypeetdesdroitsdesfichiers Leschémaprécédentmontre,danslesecondbloc,commentsontaffichéslesdroitsassociésàunfichier(ou répertoire). Ceblocsedécomposeen4sous parties: Lapremière,codéesuruncaractère,représenteletypedufichier Ontrouveensuite3groupesde3caractèresindiquantlesdroitsdelecture/écriture/exécution. Letypedufichierpeutêtreundesélémentssuivants: d:répertoire l:liensymbolique c:périphériquedetypecaractère b:périphériquedetypebloc p:pilefifo s:socket :fichierclassique Exemple Fichiersdepériphériques: brw rw 1rootdisk8,0nov1208:17/dev/sda brw rw 1rootcdrom3,0nov1208:17/dev/hda crw r 1rootkmem1,1nov1208:17mem crw rw 1rootroot4,0nov1208:17tty0 Répertoires: drwxr xr x13rootroot4096oct2010:22/usr drwxr xr x17user1group14096oct3109:18/home/user1 Fichiersstandards: rw r r 1rootroot2008oct1719:36/etc/inittab rw r r 1rootroot724déc202006/etc/crontab rwxr x 1rootroot1024oct29/home/user1/monScript Liensymbolique: lrwxrwxrwx 1 root root 31 oct 27 15:00 /var/lib/postgresql/8.3/main/root.crt > /etc/postgresql common/root.crt Socket: srw rw rw 1rootroot0nov1208:18/var/run/gdm_socket EOLE( 47

48 Administrationd'unmoduleEOLE Détaildesdroitsstandards Commeénoncéprécédemment,lesdroitssontcodéssur3jeuxde3droits. Cetensemblede3droitssur3entitéssereprésentegénéralementdelafaçonsuivante:onécritcôteàcôte lesdroits r (Read/lecture), w (Write/écriture)puis x (execute/exécution)respectivementpourlepropriétaire (u),legroupe(g)etlesautresutilisateurs(o).lescodesu,geto(ucommeuser,gcommegroupeto commeothers)sontutilisésparlescommandesunixquipermettentd'attribuerlesdroitsetl'appartenance desfichiers. Lorsqu'undroitestattribuéàuneentité,onécritcedroit(r,woux),etlorsqu'iln'estpasattribué,onécritun ' '.Parexemple:rwxr xr DroitsSpécifiques SUID Bit Cedroits'appliqueauxfichiersexécutables,ilpermetd'allouertemporairementàunutilisateurlesdroitsdu propriétairedufichier,durantsonexécution. Eneffet,lorsqu'unprogrammeestexécutéparunutilisateur,lestâchesqu'ilaccompliraserontrestreintespar sespropresdroits,quis'appliquentdoncauprogramme. LorsqueledroitSUIDestappliquéàunexécutableetqu'unutilisateurquelconquel'exécute,leprogramme détiendraalorslesdroitsdupropriétairedufichierdurantsonexécution. Bien sûr, un utilisateur ne peut jouir du droit SUID que s'il détient par ailleurs les droits d'exécution du programme.cedroitestutilisélorsqu'unetâche,bienquelégitimepourunutilisateurclassique,nécessitedes droitssupplémentaires(généralementceuxderoot).ilestdoncàutiliseravecprécaution. r s x x1rootroot15540jun202004/usr/bin/passwd C'estunssiledroitd'exécutiondupropriétaireestprésent,ouunSsinon.Ilseplacedonccommececi: s ou S SGUID Bit CedroitfonctionnecommeledroitSUID,maisappliquéauxgroupes.Ildonneàunutilisateurlesdroitsdu groupeauquelappartientlepropriétairedel'exécutableetnonpluslesdroitsdupropriétaire. Deplus,cedroitaunetoutautreutilisations'ilestappliquéàunrépertoire.Normalement,lorsqu'unfichierest crééparunutilisateur,ilenestpropriétaire,etungroupepardéfautluiestappliqué(généralementuserssile fichieraétécrééparunutilisateur,etroots'ilaétécrééparroot).cependant,lorsqu'unfichierestcréédans unrépertoireportantledroitsgid,alorscefichierseverraattribuerpardéfautlegroupedurépertoire.de plus, si c'est un autre répertoire qui est créé dansle répertoire portant le droit SGID, ce sous répertoire porteraégalementcedroit. rwxr sr x1rootutmp319344avr212008/usr/bin/xterm C'estunssiledroitd'exécutiondupropriétaireestprésent,ouunSsinon.Ilseplacedonccommececi: s ou S Sticky Bit Lorsquecedroitestpositionnésurunrépertoire,ilinterditlasuppressiondesfichiersqu'ilcontientàtout utilisateurautrequelepropriétaire.néanmoins,ilesttoujourspossiblepourunutilisateurpossédantlesdroits d'écrituresurcefichierdelemodifier(parexempledeletransformerenunfichiervide). Notation:ilestreprésentéparlalettretouT,quivientremplacerledroitd'exécutionxdesautresutilisateurs quelepropriétaireetceuxappartenantaugroupedufichier,delamêmefaçonquelesdroitssuidetsgid. Lamajusculefonctionneaussidelamêmefaçon,elleestprésentesiledroitd'exécutionxcachén'estpas présent: tou T Exemple:lerépertoire/tmp drwxrwxrwt23rootroot4096oct2014:27/tmp/ Listesdecontrôled'accès EOLE( 48

49 Administrationd'unmoduleEOLE Unelistedecontrôled'accèsouACL,permetdedéfinirunelistedepermissionsurunfichierourépertoire. Auhabituelutilisateur,groupeetautre,ilestpossibled'étendrelenombred'utilisateursetdegroupesayant desdroitssurunmêmefichier LesACLss'ajoutentauxdroitsstandards.Lorsqu'onlistelesdroitsd'unfichier,lesACLssontsymboliséespar un"+". rwxrwx +1rootprofesseurs :37fic Lesdroitsétendusapparaissentdelafaçonsuivante: user::rwx user:p.nom:rwx group:: mask::rwx other:: LesACLsd'undossierpèrenesontpasautomatiquereprispourlefichierfils. Ilestpossibledemodifiercecomportement,àassociantdesdroitspardéfaut(grâceàl'attributdefault). Parexemple: user::rwx user:p.nom:rwx group::rwx mask::rwx other:: x default:user::rwx default:user:p.nom:rwx default:group:: default:mask::rwx default:other:: EOLE( 49

50 Administrationd'unmoduleEOLE La gestion des processus Définition d'un processus Unprocessusestunprogrammequis'exécuteenmémoire. Toutprocessuslancé: sevoitattribuerunnuméroappelépid(processidentifier). estfilsduprocessusquil'alancé.lefilsconnaîtlepiddesonpère,etengardeunetracesousla formed'unnuméroappeléppid(parentprocessidentifier). appartientàunpropriétaire(uid celuiquialancéleprogrammeetquipourrainteragiravecce processus) déterminesonactivitéparunétat:actif,exécutable,endormi,zombi. Siun processus disparaît, tous les processus fils disparaissent également, sauf quand un processus est raccrochéàinit.ainsidonc,àl'instardesfichiers,lesprocessussontorganisésenarbre. EnfinGNU/Linuxestunsystèmemulti tâche,c'estàdirequeplusieursprocessuspeuventêtreexécutésen mêmetemps,enréalité,unseulutiliseleprocesseuràlafois,cederniernesachanteffectuerqu'uneseule instructionàlafois. Etat d'un processus Commeévoquéprécédemment,unprocessuspeutavoirunétat:Actif,Exécutable,Endormi,Zombi. Actif:leprocessusutiliseleprocesseur,etestdoncentrainderéaliserdesactionspourlequelila étéconçu. Exécutable:leprocessusestenexécutionmaisilestenattentedelibérationduprocessusquiest utiliséparunprocessusactif.pourl'utilisateur,ceciestinvisiblecarl'opérationesttrèsrapide. Endormi: comme son nom l'indique, le processus est endormi, il ne fait rien. Par exemple, un processuspeutattendreunévénementpourredeveniractif,commeparexemple,quel'onappuiesur unetouchelorsdel'affichaged'unmessage. Zombie:unprocessuszombieestunprocessusterminé,maislesystèmeouleprocessusparent n'enapasétéinformé.l'étatd'unprocessuspeutêtremodifiéparunautreprocessus,parluimême ouparl'utilisateur. EOLE( 50

51 Administrationd'unmoduleEOLE 2.2. Quelques Commandes Actions sur les fichiers et répertoires Sedéplacerdansl'arborescence: savoiroùjemesitue:pwd; allervers:cd[répertoire]. Listerlesfichiersetlesdroits:ls[ la][fichier...][répertoire...]. ListerlesACLs:getfacl[fichier...][répertoire...]. Créer/supprimerunrépertoire: créerunrépertoire:mkdir[ p]<répertoire...>; supprimerunrépertoire(déjàvide):rmdir<répertoire...>. Copier,renommer,déplacer: copier:cp[ fr]<source1>...<destination>; renommer:mv<source><destination>; déplacer:mv<source1>...<destination>. Liensphysiques,lienssymboliques:ln[ s]<origine><destination>. Manipulerlesdroits&lespropriétaires: changerlesdroits:chmod[ R][MODE MODE OCTAL]<fichier...><répertoire...>; changerlepropriétaire:chown[ R]<user>[.<group>]<fichier...><répertoire...>; changerlegroupe:chgrp[ R]<group><fichier...><répertoire...>; changerlesacls:setfacl[ R] m<u g o>:<utilisateur group>:<droit><répertoire...>. Gestion des processus Voirl'étatdesprocessus: àuninstantt:ps[auxef...]; visualisationdynamique:top. Arrêtd'unprocessus:kill[ Num_Sig]<PID...>. Autres commandes diverses sort:trierdeslignesenfonctiond'uneouplusieursclés:sort[ ndtx][ knum_champs]fichier... grep:rechercherdeschaînesdecaractèredansunouplusieursfichiers:grep[ vni]chaînefichier... cut:extrairedescolonnesd'unouplusieursfichiers:cut f<nombre>[options]fichier... wc:déterminerlenombredelignes,motsoucaractèresdansunouplusieursfichiers:wc[ lwc]fichier... tailethead:visualiserlesdernièresoulespremièreslignesd'unfichier: tail[ n]fichier; head[ n]fichier. screen:multiplexeurdeterminauxenmodetexte.ilpermetdedétacherunterminaletdelerécupérerencas dedéconnexion.celogicielestparticulièrementadaptéauxtravauxàdistance,encasdecoupureréseauil estpossibledereprendrelamaindessusleserveur.voicilefonctionnementdebase: lancerunnouveauterminal:screen; détacherceterminal:[ctrlad]; re attacherleterminal:screen rd. EOLE( 51

52 Administrationd'unmoduleEOLE 2.3. Les manuels L'organisationduman L'ensembledumanestorganiséensectionsnumérotéesde1à9pourlespluscourantes: 1. commandesutilisateurspouvantêtreexécutéesquelquesoitl'utilisateur 2. appelssystèmes,c'est à direlesfonctionsfourniesparlenoyau 3. fonctionsdesbibliothèques 4. périphériques,c'est à direlesfichiersspéciauxquel'ontrouvedanslerépertoire/dev 5. descriptionsdesformatsdefichiersdeconfiguration(commeparexemple/etc/passwd) 6. jeux 7. divers(macros,conventionsparticulières,...) 8. outilsd'administrationexécutablesuniquementparlesuperutilisateur(root) 9. autresection(spécifiqueàlinux)destinéeàladocumentationdesservicesoffertsparlenoyau Lorsqueladocumentationestinterrogéeàproposd'untermeprésentdansplusieurssections(ex:passwd,à lafoiscommandeetfichierdeconfiguration),silenumérodesectionn'estpasprécisé,c'esttoujoursla sectiondenumérotationlamoinsélevéequiseraaffichée. Contenud'unepage Chaquepagedemaneststructuréeenparagraphescontenantdesélémentsparticuliers. Intitulé de la commande ou du fichier et section du manuel Vérifierqu'ils'agitdeladocumentationattendue. Exemple: CP(1)Manueldel'utilisateurLinuxCP(1) documentationpourlacommandecp,section1 PASSWD(5)Manueldel'administrateurLinuxPASSWD(5) documentationpourlefichierpasswd,section5 Nom comme son nom l'indique, il s'agit du nom de la commande ou du fichier ainsi que d'une description synthétique. Exemple: NOM cp Copierdesfichiers. Synopsis Dans ce paragraphe, on retrouve la syntaxe d'une commande, c'est à dire l'ensemble des options et argumentsdisponibles. Quelquesprécisionspourbienlirecettesyntaxe:siàpremièrevueellepeutparaîtrerébarbative,elledittout ausujetdelamanipulationd'unecommande. Exemple: cp[options]fichierchemin OptionsGNU(formecourte):[ abdfilprsuvxpr] lacommandecpacceptedesoptions(introduitesparun" ")etdesarguments(sans" "). Lesélémentsspécifiésentrecrochetssontfacultatifspourlefonctionnementdelacommande. EOLE( 52

53 Administrationd'unmoduleEOLE Au contraire, les éléments indiqués sans crochets sont obligatoires et, s'ils sont omis, provoqueront une erreur. Lorsquelesoptionssontindiquéesdanslesmêmescrochets,ellespeuventêtrecombinées.Danslecas contraire,ellessontincompatiblesetdevrontêtreutiliséesséparément. Enfinlesoptionspeuventêtreabrégées(ex: f)oucomplètes(ex: force),lasignificationestlamêmeetelle estdéveloppéedansleparagraphedescription. Description Cette section du man détaille la totalité des options&arguments d'une commande, oules élémentsd'un fichiersdeconfiguration. Fichiers dansceparagraphe,voustrouverezunelistedefichiersintéressantàconsulter,encomplémentd'information pourunecommandeouunfichierdeconfiguration. Voir aussi (ou"seealso") Commesonnoml'indique,ils'agitd'unelistedecommandes,fichiers,appelssystème...auquelonrenvoiele lecteurpourcomplétersoninformation Exemple: VOIRAUSSI passwd(1),login(1),group(5),shadow(5). Cettepageproposeicideconsulterlescommandespasswdetlogindanslasection1etlesfichiersgroupet shadowdanslasection5deladocumentation. Environnement icisontspécifiéeslesvariablesd'environnementqu'ilestpossibledeconfigurerpourlefonctionnementdela commandeoudufichier. EOLE( 53

54 Administrationd'unmoduleEOLE 2.4. L'éditeur de texte Vim Qu'est ce que Vim Vimestunéditeurdetextelibre.Ilestàlafoissimpleestpuissant. Ilestnéanmoinsnécessairedepasserparuntempsd'apprentissagepourmaitriserl'outil. Pourquoi Vim? L'éditeurestgénéralementinstallerdebasesurlaplupartdesdistributions.C'estunlogicielstableetéprouvé. L'éditeur peut être lancé directement sans interface graphique. Il est ainsi possible d'exécuter depuis le serveur. Deplus,Vimestpré configuréparl'équipeeole.iln'yaurapasdeproblèmedebalisedefindeligne,de nombred'espacelorsdel'indentation,...problèmequ'ilestpossiblederencontreravecd'autreséditeurs Les modes Vim Introduction Vim utilise un système de "modes". Ce concept de base est indispensable pour comprendre le fonctionnementdulogiciel. Vimestunéditeurentièrementaccessibleauclavier.Unensembledecommandepermetd'accéderàun ensembledefonctionnalité.pourquel'éditeurdistinguelasaisiedecommande(lemode"normal")etlasaisie detexte(lemode"insertion"),différentsmodessontutilisés. Ilexiste également lemode "visuel" permettant de sélectionnerune zone de texte oùsera appliquée un ensembledecommande. Cettedistinctionn'existepas,généralement,danslesautreséditeurs.Ilsutilisentalorsdesentréesdansun menugraphiqueoudesraccourcisclaviersàlaplacedumode"normal". Comparéaumodegraphique,lemodecommandenenécessitepasl'usagedelasourispourrechercherle bonmenu.parrapportauxraccourcisclaviers,lemodecommandeestsouventplusfacileàserappeler(write pourécrire). Passage d'un mode à l'autre Pourpasseaumode"normal",ilsuffitdetaperlatouche[Echap]ou[Esc]. Pourpasseraumode"insertion"(depuislemode"normal"): inséreravantlecurseur:[i](oulatouche[inser]duclavier); inséreraprèslecurseur:[a]; insérerendébutdeligne:[i]; insérerenfindeligne:[a]; inséreruneligneaprès:[o]; inséreruneligneavant:[o]; supprimepourremplacerun(etunseul)caractère:[s]; supprimepourremplacerlalignecomplète:[s]; remplaceruncaractère:[r]; remplacerplusieurscaractères:[r]; Pourpasseraumode"visuel"(depuislemode"normal"): sélectioncaractèreparcaractère:[v]; sélectionligneparligne:[v]; sélectioncolonneparcolonne:[ctrlv]. EOLE( 54

55 Administrationd'unmoduleEOLE Première prise en main Exécuter Vim Pour exécuter Vim, il suffit de taper [vim] dans l'interpréteur de commande. Il est aussi possible d'ouvrir directementunfichierenfaisant[vimfichier.txt]. Ouvrir un fichier Enmodenormal,taper:[:editfichier.txt](ou[:efichier.txt]). Insérer du texte Passerenmodeinsertion:[i]ettapervotretexte. Enregistrer le texte Quitterlemodeinsertion:[esc]. Enregistrerletexte:[:write](ou[:w]). Quitter l'éditeur Pourquitterl'éditeur:[:quit](ou[:q]). Remarque Vimcrééun"buffer"lorsquel'onéditeunfichier.Celasignifiequel'onnemodifiepasdirectementle fichier.ilfautsauvegarderleschangementssouspeinedeperdrelesmodifications. Lebufferestsauvegardédefaçonfréquentedansunfichier"swap"(généralement.fichier.txt.swp). Cefichierestsupprimerlorsqu'onenregistreoufermeledocument. EOLE( 55

56 Administrationd'unmoduleEOLE Les déplacements sedéplacerd'uncaractèreverslagauche:[h]; sedéplacerde20caractèresverslagauche:[20h]; sedéplacerd'uneligneverslebas:[j]; sedéplacerde20lignesverslebas:[20j]; sedéplacerd'uneligneverslehaut:[k]; sedéplacerd'uncaractèreversladroite:[l]; sedéplaceraudébutduprochainemot:[w]; sedéplaceraudébutdedeuxmots:[2w]; reveniraudébutdumotprécédent:[b]; sedéplaceràlafinduprochainmot:[e]; sedéplaceràlaprochainephrase:[)]; reveniràlaphraseprécédente:[(]; sedéplacerauprochainparagraphe:[}]; revenirauparagrapheprécédent:[{]; reveniraudébutdelaligne:[^]; alleràlafindelaligne:[$]; remonterd'unécran:[pgup]; descendred'unécran:[pgdown]; descendreàlafindufichier:[g]; alleràlaligne20:[20g]; alleraudébutdelapagecourante:[h]; alleraumilieudelapagecourante:[m]; alleràlafindelapagecourante:[l]; reveniràl'emplacementprécédent:[ctrlo]; alleràl'emplacementsuivant:[ctrli]; latroisièmeoccurrencedelalettre"e":[3fe]; Il est possible de "marquer" des positions dans le texte. Cela permet de revenir très facilement à cet emplacementplustard. Pour cela, il faut utiliser la commande [m] suivit du nom de la marque (c'est à dire une lettre). Par exemple:[ma].pourreveniràlamarque,ilsuffiradetaper:['a]. EOLE( 56

57 Administrationd'unmoduleEOLE Recherche et remplacement de texte Rechercher chercherlesoccurrenceseole:[/eole]; chercherlesmotseole:[/\<eole\>]; chercherl'occurrencesuivante:[n]; chercherl'occurrenceprécédente:[n]; chercherlesautresoccurrencesdumotsouslecurseur:[*]; chercherenarrièrelesautresoccurrencesdumotsouslecurseur:[ctrl#]; Remplacement remplacerlemoteoleparscribe:[:%s/eole/scribe/g] remplacerlemoteoleparscribeendemandeconfirmation:[:%s/eole/scribe/gc] remplacerlemoteoleparscribesurles20premièreligned'unfichier:[:0,20s/eole/scribe/g] Couper, copier et coller couperuntextesélectionné:[d]; couperlecaractèresélectionné:[x]; couperlesdeuxcaractèressuivants:[d2l]; couperunmot:[dw]; couperlalignecourante:[dd]; couper2lignes:[d2]; couperleparagraphe:[d}]; copieruntextesélectionné:[y]; collerletexteaprès:[p]. collerletexteavant:[p]; EOLE( 57

58 Administrationd'unmoduleEOLE Le mode fenêtre Ouvrir plusieurs fenêtres Ilestpossibled'ouvrirplusieursfichiersenmêmetemps. Pourcela,ilsuffitdelancerplusieursfoislacommande[:enomdufichier]. Pourpasserd'unbufferàunautre,ilsuffitdetaper[:bn](nétantlenumérodubuffer). Ouvrir plusieurs tabulations Pourouvrirlefichierdansunenouvelletabulation:[:tabeditfichier.txt]. Poursedéplacedetabulationentabulation,ilsuffitd'utiliser[ctrlaltpgup]et[ctrlaltpgdown]. Voir plusieurs fichiers Ilestpossibledevoirplusieursfichiersdanslamêmeinterface. Pourcela,ilfautcréerunnouveaubufferentapant[:new]etensuiteouvrirlenouveaufichier:[:efichier.txt]. Poursedéplacerdanslesbuffers,ilfaututiliserleraccourci[ctrlw]etlestouchesdedéplacement[hjkl]. Poursedéplacerdebufferenbuffer,ilestpossibleégalementdetaperdeuxfois[ctrlw]. Ilestensuitepossiblededéplacerlesfenêtreshorizontalementetverticalementavec[ctrlw]etlestouchesde déplacementenmajuscule[hjkl]. Pourfermerunefenêtre,ilsuffitdefaire[:q]. Voir plusieurs fois le même fichier Ilestpossibled'ouvrirplusieursfoislemêmebufferenfaisant[ctrlws].Celapermetdevoirsimultanément plusieurspartiesdumêmetexte. Attention Danscecas,ils'agitdumêmebuffer.Unemodificationdansunevueseraautomatiquementreporter danslesautresvues. Système de fichier Ilestpossibled'ouvrirunefenêtredesystèmedefichierenfaisant:[:Sex]ou[:Vex] Autres Complétion automatique Lacomplétionpermetdecompléterunmotautomatiquementàpartird'unelistedemotprésentdansletexte encourtd'écriture.ilestsouventutilepournepasfaired'erreurdanslenomdesfonctions. Pourl'utiliser,ilsuffitdecommenceraécrireledébutdumotetfaire[ctrln]ou[ctrlp]. Annuler et refaire Pourannulerladernièreaction:[u]; Pourrevenirsurl'annulation:[ctrlr]. Passer un texte en majuscule Pourpasseruntexteenmajuscule,ilsuffitdetaper[~]ou[maju]. Voir la différence entre les fichiers Vim permet également de voir la différence entre deux textes. Pour cela, il suffit de lancer en ligne de commande: [vimdiffnomdufichieroriginal.txtnomdufichiermodifier.txt] EOLE( 58

59 Administrationd'unmoduleEOLE Liens connexes keymap/doc keymap cheat_sheet vim azerty_fr.pdf 2.5. Les commandes à distance avec SSH Le protocole SSH SSH (Secure Shell) et un protocole de communication sécurisé. Il permet différentes actions comme l'authentificationàdistance,l'exécutiondecommandeàdistanceouletransfertdefichier. Le protocole est chiffré par un mécanisme d'échange de clés de chiffrement effectué au début de la connexion. Letransfertdefichierd'unemachineàuneautresefaitparunprotocoleprochedeFTP.Ladifférenceétant quelestransfertsduclientetduserveursefontparuntunnelchiffré. EOLE( 59

60 Administrationd'unmoduleEOLE SSH sous GNU/Linux Connexionàdistance LeclientSSHestinstallerpardéfautsurlaplupartdesdistributions.Sicen'estpaslecas,ilfautinstallerun paquetdontlenomestgénéralement"openssh client". Unefoisinstaller,ilestpossibled'ouvrirunesessionàdistancedelamanièresuivante: Sivousnespécifiezpasdenomd'utilisateur,c'estl'utilisateurcourantdevotresessionGNU/Linuxquisera utiliser. Pourlancerdesapplicationsgraphiques,ilfaudralepréciserdanslacommandesshenrajoutantl'option X: ssh Alapremièreconnexion,lemessagesuivantapparaît: Warning:Permanentlyadded'xxxxx'(RSA)tothelistofknownhosts. Celasignifiequ'onnes'estjamaisconnectésurcettestationetqu'unidentifiantestajoutéàlalistedeshôtes connus. Ilpeutarriverquelecertificatduserveurchange(parexempleencasderéinstallation). Lemessagesuivantapparaîtra: ITISPOSSIBLETHATSOMEONEISDOINGSOMETHINGNASTY! Someonecouldbeeavesdroppingonyourightnow(man in the middleattack)! ItisalsopossiblethattheRSAhostkeyhasjustbeenchanged. ThefingerprintfortheRSAkeysentbytheremotehostis 65:6d:9d:c0:78:f7:60:bf:13:86:59:16:53:07:3b:a4. Pleasecontactyoursystemadministrator. Add correct host key in /home/xxx/.ssh/known_hosts to get rid of this message. Offendingkeyin/home/xxx/.ssh/known_hosts:12 Passwordauthenticationisdisabledtoavoidman in the middleattacks. Keyboard interactiveauthenticationisdisabledtoavoidman in the middle attacks. X11forwardingisdisabledtoavoidman in the middleattacks.permission denied(publickey,password). Cemessagenousapprendplusieurschoses: leserveursshauneclefdifférentedecelledenotredernierpassage; lefichiercomprenantleshôtesconnusest/home/xxx/.ssh/known_hosts; l'identifiantdel'hôteestspécifiéàlaligne12(offendingkeyin/home/xxx/.ssh/known_hosts:12). Sivousêtessûrquel'hôteestlebon,ilvoussuffiradesupprimerlaligne12dufichierknown_hostsetde relanceruneconnexion. Ilfaudraspécifierlemotdepassedel'utilisateurpourseconnecter. Sshproposeégalementlaconnexionparéchangedeclef.Celapermetdeseconnecteràdistancesans connaitrelemotdepassedel'utilisateur.l'échangedeclefpourraêtrefairedepuisunserveurzéphir. VoirladocumentationdeZéphirpourcela. EOLE( 60

61 Administrationd'unmoduleEOLE Exécutiondecommandeàdistance Unefoisconnectéàdistance,vouspouvezlancern'importequelleactioncommesivousétiezenlocal. Transfertdefichieràdistance Pourenvoyerunfichiersurunserveur,ilfautfaire: Pourrécupérerunfichierd'unserveur: scp /repertoire/de/destination/ Pourrécupérerunrépertoired'unserveur: scp Enfin,ilestpossibled'avoirunshellprochedelacommandeFTPenfaisant: Truc & astuce SurlaplupartdesgestionnairesdefichierdisponiblesousGNU/Linux,ilestpossibledefairedes transfertsdefichiersshgraphiquement SSH sous Windows Exécutiondecommandeàdistance PuttyestunlogiciellibreimplémentantunclientTelnetetsshpourUnixetWindows. Dansl'environnementEOLE,ilpermetdeseconnecteràunserveuràdistancedepuisunposteWindowset, ainsi,pouvoirexécuterdescommandes. LaconnexionavecPuttyauserveursefaitenutilisantleprotocolessh. Remarque SurScribe,Puttyestpré installédanslerépertoirepersonneld'admin(u:\client\putty.exe). Configuration pour les serveurs EOLE Pourobtenirunmeilleurenvironnementdetravail,laconfigurationpardéfautdePuttydoitêtremodifiée. EOLE( 61

62 Administrationd'unmoduleEOLE Écran10Fenêtreprincipale EOLE( 62

63 Administrationd'unmoduleEOLE Écran11Permettreaupavénumériquedefonctionnercorrectement(dans"vim"parex.) EOLE( 63

64 Administrationd'unmoduleEOLE Écran12Permettreauxaccentsdes'affichernormalement EOLE( 64

65 Administrationd'unmoduleEOLE Écran13Pouvoirlancerdesapplicationsgraphiqueduserveurdepuislastation(Ex."gen_config") Ladernièrecapturemontrecommentautoriserlaredirectiondesapplicationsgraphiquesversvotreposte. CependantvousdevrezutiliserXming. C'estunlogiciellibrepermettantd'émulerunserveurXverslequelseraredirigél'applicationgraphiquelancée àtraverssshsurleserveureole. EOLE( 65

66 Administrationd'unmoduleEOLE Écran14Lancementde"gen_config"surunposteWindows Transfertdefichieràdistance Ilexisteuneinterfacegraphiquedetransfertdefichieràdistance.Ils'agitdeWinSCP. OnutiliselelogicielcommeunclientFTPnormal Quelques références LesiteduKernelLinux: LeprojetGNU: Siteréputépoursesdocumentationsetsonforumd'entraide: linux.org/ Unmanuelenligne(man): cgi Définitionssurwikipédia: NoyauLinux: ProjetGNU: Distribution: LesPermissionsUnix: EOLE( 66

67 Administrationd'unmoduleEOLE 3 L'interface d'administration EAD 3.1. Fonctionnement général Principes L'EAD (Eole ADmin) est l'interface d'administration des modules EOLE. Il s'agit d'une interface web, accessibleavecunnavigateuràl'adressehttps://<adresse_module>:4200/. L'EADestcomposédedeuxparties: unserveurdecommandes(ead server),présentetactifsurtouslesmodules; une interface (ead web), activable depuis l'interface de configuration du module: Services/ActivationdufrontendEAD. Chaquemoduledisposed'uneinterfaceutilisateurEAD.Uneversiondebaseexistepourquelquesmodules (Zéphir, Sphynx, Sentinelle), elle permet d'effectuer les tâches de maintenance (mise à jour du serveur, diagnostic, arrêt duserveur,...). Uneversionplus complète existepourd'autresmodules (Horus, Scribe, Amon,...)incluantdesfonctionnalitéssupplémentaires. Écran15AccueilEADoutild'administration EOLE( 67

68 Administrationd'unmoduleEOLE Aide Unpointd'interrogationestaccessibleenbasàdroitedecertainespages,ilpermetd'afficherune aideassociée Premier pas dans l'administration d'un serveur Lorsquevousvousêtesconnectésurunserveurdecommandes,vousavezquatreéléments: Écran16Paged'accueillorsdelaconnexionàunserveur EOLE( 68

69 Administrationd'unmoduleEOLE 1. lagondoled'administration; 2. lemenud'action(proposelesactionsauxquellesvousavezaccès); 3. lesonglets(lesserveursenregistréssurl'interface); 4. lapartiecentraleouespacedetravail(ils'agitdelapartievenantduserveurdecommandes). 1 Lagondoled'administration Ellepermetd'accéderauxactionsdebasedel'interface(ajout/suppressiondeserveur,déconnexion,retour versl'accueil,choixdelafeuilledestylecss,connexionlocale). 2 Lemenud'action Ilpermetd'accéderauxactionsdisponiblessurleserveurdecommandes. 3 Lesonglets(lesserveursenregistréssurl'interface) Ilspermettentd'accéderauxdiversserveursEOLEenregistréssurl'interface. 4 Lapartiecentraleouespacedetravail Lesélémentsaffichésdanscettepartieviennentduserveurdecommandes. C'estunconteneurpourlesactions(sousformederapport,formulaire...). Lapaged'accueild'unserveurdecommandesaffichelesrapportsde: miseàjour(surtouslesmodules); miseàjourdelistesdesitesinterditssuramon; sauvegardebaculasurhorusetscribe; extractionsurscribe. Elleafficheégalementlesdiodesd'étatduserveur(remontéeparlesagentsZéphir). EOLE( 69

70 Administrationd'unmoduleEOLE 3.2. Ajout/suppression de serveurs Ilestpossibledeconnecterplusieursserveursdecommandesàuneseuleinterface.Uneseuleinterfacesert alorsàadministrerl'ensembledesserveurseoled'unétablissement. Ajout/suppressiondeserveursdecommandesdansl'interface L'interfacedel'EADestunecoquillevide.Ilpermetdeseconnecteràdesserveursdecommandes.Ceux ci proposentdesactions. Lors de l'instanciation du serveur, le serveur de commandes du serveur est enregistré auprès de son interface.lacoquillen'estpaslaisséevide. Ildevientalorspossibled'enregistrerplusieursserveursEOLEsuruneinterface.Onobtientainsiunpoint d'entréeuniquepouradministrerl'ensembledesserveursd'unétablissement.uneseuleinterfacewebdans laquellechaqueongletreprésenteundesserveurs. Ilestensuitepossibledegérerlesaccèsainsiquelesactionsautoriséesparutilisateursoupargroupe. Ajoutdeserveur Danslagondoled'administration,cliquersur'Ajouterserveur'etrenseigner: l'ipduserveur; leportduserveurdecommandes(4201); lenomàafficherdansl'onglet; lenomd'utilisateurestle<nomdumodule>duserveurdecommandesàenregistrer; lemotdepassecorrespondant(surleserveuràenregistrer). Fig.8:Ajoutd'unserveurdansl'interface EOLE( 70

71 Administrationd'unmoduleEOLE Suppressiondeserveur La suppression normale C'estlemécanismedesuppressionclassique.L'ongletdumoduleestvertetilfautleretirer. Danslagondoled'administration,cliquersurSupprimerServeur: choisirleserveuràsupprimer; entrerlelogin<nomdemodule>duserveurdecommandesàdésinscrire; entrerlemotdepasse; valider. Fig.9:Suppressiond'unserveur Laréférenceserasuppriméecôtéinterfaceetcôtéserveurdecommandes. La suppression forcée Ilnefaututiliserlasuppressionforcéeduserveurquesil'ongletestrougeouquelemotdepasseduserveur decommandesàsupprimerestinconnu. Attention Ilestpréférabled'utiliserlasuppressionnormald'unserveur. EOLE( 71

72 Administrationd'unmoduleEOLE Danslagondoled'administration,cliquezsurSupprimerServeur: choisirleserveuràsupprimer; entrerleloginutilisezlecompte<nomdemodule>duserveurdel'interface(etnonceluiduserveur decommandesàdésinscrire); entrerlemotdepasse; cocherlacaseforcerladésinscription; valider. Fig.10:Suppressionforcéed'unserveur Laréférenceneserasuppriméequeducôtédel'interface. Désinscription forcée suite à un changement d'adresse IP Sivousavezmodifiél'adresseIPdevotreserveurl'ongletestrougedansl'EAD.Ilfautalorsutiliserla suppressionforcéeetré enregistrervotreserveur Authentification locale et SSO Dansl'EAD,ilexistedeuxsystèmesd'authentification: l'authentificationunique(sso*); l'authentificationlocale(pam). Danslecasdel'authentificationSSO*,leserveurdecommandesetl'interfaceseconnectentàunmême serveurd'authentification. Pourseconnecterentantqu'administrateur: authentificationsso*:l'utilisateuradmindel'annuaireassociéauserveurserautilisé; authentificationlocale:l'utilisateur<nomdumodule>serautilisé("amon"suramon...). EOLE( 72

73 Administrationd'unmoduleEOLE Authentification locale L'authentificationlocaleestunmécanismeplussimplemaismoinssouplequel'authentificationSSO*.Ilutilise lescomptessystèmedelamachinehébergeantleserveurdecommandes.lenombred'utilisateursetleur gestionestdoncpluslimitée. L'authentificationlocaleestsystématiquementactivéeetpeutêtreutiliséconjointementavecl'authentification SSO*. Pourvousauthentifierlocalement,danslagondoled'administration: cliquersurauthentificationlocale; cliquersurlenomdevotreserveur. Vousaccédezalorsauformulaired'authentificationlocale. SileserveurSSO*n'estpasactivé,vousarriverezsurcemêmeformulaireencliquantsurl'onglet. Fig.11:Formulaired'authentificationlocale Remarque Ilestpossibled'utiliserlagestiondesrôlespourdéléguerunepartiedel'administrationàd'autres comptessystèmes L'authentification SSO Connexion Entrer l'adresse dans le navigateur et cliquer sur l'onglet du serveur à administrer. Une re direction vers le serveur SSO* ( est effectuée et le formulaire d'authentificationapparait: EOLE( 73

74 Administrationd'unmoduleEOLE Fig.12:formulaired'authentificationSSO * L'utilisationd'unserveurSSO permetdecentraliserl'authentification.ens'authentifiantuneseulefoisvous pouvezvousconnecterauxdifférentsserveursdecommandesenregistrésdansl'interface(naviguerd'un ongletàl'autre). Lesrôlespermettentd'utiliserd'autrescomptespourseconnecter(ex:surScribe,lesprofesseursontunrôle prédéfini). Remarque Pourutiliserl'authentificationSSO*,ilestindispensablequeleserveurSSO*utiliséparl'interfaceet parlesserveursdecommandesquiysontinscritssoitidentique. Voiraussi... >cf"sso",page Redémarrer, arrêter et reconfigurer Il est possible de redémarrer, arrêter ou reconfigurer un module EOLE directement depuis l'interface d'administrationead. CesactionssontaccessiblesdepuisSystème/Serveur. Remarque Cestroisactionsvousdéconnectentdel'EAD. Redémarrerunserveur Fig.13:Actionderedémarraged'unserveur Reconfigurerunserveur Fig.14:Actiondereconfigurationd'unserveur Arrêterunserveur EOLE( 74

75 Administrationd'unmoduleEOLE Fig.15:Actiond'arrêtd'unserveur 3.5. Mise à jour DansSystème/Miseàjour,l'EADproposeuneinterfacedemiseàjourduserveur,ilestpossiblede: delisterlespaquetsdisponiblespourlamiseàjour; deprogrammerunemiseàjourdifférée(dans3heuresparexemple,oudans0heurepourlefaire toutdesuite); d'activer/désactiverlesmisesàjourhebdomadaires(lejouretl'heuredelamiseàjourautomatique sontdéterminésaléatoirement). L'heureestdéfiniealéatoiremententre01h00et05h59undesseptjoursdelasemaine. Fig.16:Miseàjour Rapport de mise à jour Penseràconsulterlerapportdemiseàjouretl'étatdesservicessurlapaged'accueil. Reconfiguration et redémarrage automatique Une mise à jour lancée depuis l'ead exécute automatiquement reconfigure, il n'est donc pas nécessaired'enlancerunparlasuitecommec'estlecasdepuislaconsole. Si un redémarrage est nécessaire, celui ci est effectué automatiquement dès la fin de la reconfiguration. EOLE( 75

76 Administrationd'unmoduleEOLE 3.6. Arrêt et redémarrage de services Dansl'EAD,ilexistedeuxmanièresd'arrêtouderedémarragedesservices:lemodenormaletlemode expert Redémarrer/Arrêter des services (mode normal) Créationdegroupesdeservices Lenomdesservices,ausenssystème,n'estpassouventparlant.Parexemple,commesavoirqu'"apache2" estunserveurweb? Lesgroupesdeservicespermettentderegrouperunouplusieurssousunedénominationclaire.Celapermet defaciliterleredémarrage/arrêtdeservices. Exemple Créationungroupedeservicesnommé"web": Pour créer un groupe, cliquer sur le bouton créer groupedans Système/Editeur de services: 1. entrerlenomdugroupe; 2. choisirlesservicesdugroupe(cocherlescases); 3. cliquersurlaflècheverte; 4. valider. Fig.17:Créationd'ungroupedeservices(1) EOLE( 76

77 Administrationd'unmoduleEOLE Fig.18:Créationd'ungroupedeservices(2) Remarque Lesgroupesdeservicespeuventêtremodifiésousupprimésencliquentsurlenomdugroupelisté endessousduboutoncréergroupe. Redémarrerouarrêterungroupedeservices Ilestpossible,dans Système/Services(modenormal) deredémarreroud'arrêterlegroupede services. Fig.19:Redémarraged'ungroupedeservices Remarque La gestion des rôles permet de déléguer l'accès à des actions, on peut ainsi permettre à la documentalistederedémarrerlelogicielbcdi. Touslesgroupesdeservicesluiserontnéanmoinsaccessibles Redémarrer/Arrêter des services (mode expert) Dans Système/Services (mode expert), cliquer sur le bouton Arrêter ou Redémarrer du servicevoulu. EOLE( 77

78 Administrationd'unmoduleEOLE Fig.20:Actionssurlesservices(modeexpert) Remarque Lesservicesliésaufonctionnementdel'EADnesontdisponiblesqu'enredémarrage.Sinon,vous perdreztoutaccèsàl'interface. Ilestpossiblederelancerl'ensembledesservices(saufl'EADetleserveurSSO)grâceaubouton: Redémarrertouslesservices(horsEADetSSO) Gestion des rôles Présentation L'EADest composé, comme nousl'avonsvuprécédemment, d'actions.chaqueaction ayantunbut bien précis.l'eaddisposed'unmécanismededélégationd'actionsàdesutilisateursbiendéterminé. Pouraffectercertainesactionsàunutilisateur,l'EADutiliseunemécanismeinterne:lesrôles. Exemple PardéfautsurunmoduleEOLE,l'utilisateur"admin"estassociéaurôle"administrateur". EOLE( 78

79 Administrationd'unmoduleEOLE QuelquesrôlessontprédéfinissurlesmodulesEOLE: administrateur; professeur(utilisésurscribe); élève(utilisésurscribe); administrateurdeclasse(utilisésurscribe); administrateurduréseaupedagogique(utilisésuramon) Les rôles i - Création de rôle L'interfaceEADpermetdecréerdesrôlespersonnalisés.Cesrôlesnesontenfaitequ'unelisted'actions sousunintituléetunlibelléunique.ilseraalorspossible,dansundeuxièmetempsd'associercesrôlesàdes utilisateurs. Fig.21:Lafenêtred'éditiondesrôles Pourcréerunnouveaurôlecliquersur: Éditionderôles/Créationderôles puis Créerrôle entrerl'intitulé(lenom)durôle(sanscaractèresspéciaux,sansaccentetsansespace); entrerunlibellé(courtedescription)durôle; cocherlesactionsàautoriserdurôle; ajouter; créer. EOLE( 79

80 Administrationd'unmoduleEOLE Fig.22:Créationd'unrôle Remarque Ladescriptiondel'ensembledesactionsestdisponible: ii - Modification et suppression de rôle Pourmodifierunrôle,ilsuffitdecliquersurlenomvoulu; pourlesupprimer,cliquersurlacroixrougeassociée. Fig.23:Modification/suppressiond'unrôle EOLE( 80

81 Administrationd'unmoduleEOLE Association des rôles i - Création d'association Quandunutilisateurseconnectesurl'EAD,enlocalouenSSO,lesystèmed'authentificationrenvoiedes informationsleconcernant.certainesdecesinformationssontutiliséespourassocierdesrôlesetainsiauront accèsàcertainesactions. Pourassocierunrôleàdesutilisateurs: danséditiondesrôles/associationderôle; cliquersurassocierrôle. Fig.24:Lafenêtred'associationderôles choisirunintitulédelaclef(attributdel'utilisateur); renseignerlavaleurrecherchéepourcetteattribut(danslecasd'uneauthentificationlocaleonmettra lelogindel'utilisateur); choisirlerôleàassocier; valider. Fig.25:Associationd'unrôle L'intitulédelaclefdépenddusystèmed'authentificationutilisépourseconnecter: Authentificationlocale: lelogindel'utilisateur. AuthentificationSSO: l'élèvefaitpartidelaclasse; lavaleurdelaclétypeadmin(elleindiquesiunprofesseurestprofesseurprincipaldansuneclasse); lelogindel'utilisateur; leoulesgroupesdel'utilisateur. Ilexistequelqueslimitationsdansl'affectationdesrôles: unutilisateurnommé"admin"seraadministrateur; unutilisateurayantuneclé"typeadmin"devaleur0auralerôle"professeur". EOLE( 81

82 Administrationd'unmoduleEOLE ii - Suppression d'une association Vouspouvezensuitesupprimercetteassociationderôleencliquantsurlacroixrouge. Fig.26:Suppressiond'uneassociationderôle Remarque Il est indispensable de redémarrer le service ead server dans Système >Services (mode expert)pourquelesmodificationssoientprisesencompte Les rôles Scribe L'EADestaccessibleauxutilisateursrootetscribe(authentificationlocale), adminetàtouslesprofesseurs (authentificationsso*).enfonctiondel'utilisateurunrôledifférentpeutêtreappliqué.achaquerôlesont affectéesdifférentesactions.ilexiste,pardéfaut,3rôlesdansl'ead: admin:accèsàtouteslesactions(ex.redémarragedesservices,miseàjourduserveur,créationet affectationdesrôleauxautresutilisateurs,etc.); professeur: modification des préférences personnelles,distribution de devoirs et gestion des files d'impressioncups; responsable de classe: en plus des actions "professeur", peut ré initialiser le mot de passe des élèvesdesclassesdontilestresponsable. Ilestpossibledecréerdavantagederôlesayantaccèsàdiversesactionsafin,parexemple,dedonnerle droitàunprofesseurdepouvoirredémarrerungroupedeservicesenplusdesesautorisationsdebase. i - Accès "admin" Pardéfaut,lesutilisateursadmin,rootetscribeontaccèsàtouteslesfonctions. L'accèsaveclesutilisateursrootetscribes'effectueenutilisantl'authentificationlocale. EOLE( 82

83 Administrationd'unmoduleEOLE L'EAD, dans son mode le plus complet, présente les fonctions suivantes : distributiondedevoirs; création/gestiondesutilisateurs,desgroupesetdespartages; configurationetgestiondesimprimantes(cups); importationcsv/sconet/aaf/be1d; gestiondesquotas; observationdesvirus; gestiondeslistesdediffusion; modificationdumodedecontrôledesélèves; consultationdel'historiquedesconnexions; envoid'unmessageauxutilisateursconnectés; extinction/redémarrage/fermeture de session sur les postes clients (windows 2000 minimum); gestiondescomptesdemachine; paramétrage,pré installationettéléchargementd'epreuve@ssr; paramétrageetprogrammationdessauvegardesduserveur; redémarragedesservices; miseàjour; arrêt/redémarrageduserveur. ii - Accès "professeur" Unprofesseurdisposed'actionspermettantdeconfigurersespropresparamètres. EOLE( 83

84 Administrationd'unmoduleEOLE Les fonctions disponibles : préférencespersonnelles; distributiondedevoirs; gestiondesimprimantes(cups). L'itemPréférencespermetàunprofesseurde: modifiersonmotdepasse; s'inscrire/sedésinscrired'ungroupe; renseigner/modifiersonadress . Lemotdepassepeutégalementêtremodifiédepuisunestationcliente2000/XPenfaisantCtrl+Alt+Suppr=> Modifierlemotdepasse. L'adress estrenseignéedansl'annuaire,elleestutilisée,parexemple,parleslistesdediffusion. iii - Accès responsable de classe Unprofesseurpeutêtredéfiniresponsabledeclasseparl'administrateur.Ilobtientalorsquelquesactionslui permettant d'administrer les classes dont il est responsable. Cela permet à l'administrateur de déléguer certainesactionscomme: laré initialisationdumotdepassed'unélève; l'appartenanced'unélèveàungroupe; lacréationd'ungroupe; etc. Les fonctions disponibles : préférencespersonnels; distributiondedevoirs; gestiondesimprimantes(cups); créationdegroupe; ajout/modification/suppressiondesélèvesdansla/lesclasse(s)dontilestresponsable; éditiongroupéessurlesmembresdela/lesclasse(s)dontilestresponsable. EOLE( 84

85 Administrationd'unmoduleEOLE Remarque Unprofesseurpeutêtreresponsabledeplusieursclasses. Uneclassepeutsevoiraffecterplusieursresponsables Listing matériel Lelistingmatérielpermetdevisualiserlesélémentsmatérielsduserveur. Ilindiquenotammentl'occupationdesdisques,delamémoireviveetdelapartitionswap. Fig.27:Listingmatériel(lshw) La mémoire physique (RAM) Le noyau linux utilise un système de cache mémoire pour limiter les accès disque. Le chiffre "mémoirephysique"comprendcecache.celasignifiequ'iln'estpasinquiétantdevoirunevaleur prochedes100%. Lecritèreimportantétantl'occupationdelaswap.Uneforteutilisationdelaswapindiquequele serveurmanquedemémoireram.ilfautalorsenvisagerd'enaugmenterlaquantitéourechercher unéventueldysfonctionnementlogiciel Bande passante Bande passante LemenuOutils/Bandepassantepermetdetesterlabandepassantedontdisposeleserveur. EOLE( 85

86 Administrationd'unmoduleEOLE Écran17Testeurdebandepassante EOLE( 86

87 Administrationd'unmoduleEOLE Groupes et utilisateurs Groupes i - Introduction Un groupe est un ensemble d'utilisateurs (professeurs, personnels administratif ou élèves) pouvant avoir accèsàunpartageet/ouàunelistedediffusion. Types de groupe Ilexistesixtypesdegroupes: niveau,regroupelesélèvesd'unniveau(ex.3eme); classe, regroupe les élèves d'une classe (une équipe pédagogique profs <classe> y est automatiquementassociée); option, regroupe les élèves d'une option (une équipe pédagogique profs <option> y est automatiquementassociée); EOLE( 87

88 Administrationd'unmoduleEOLE matière,regroupelesprofesseursd'unemêmematière(ex.higeo); service,regroupelespersonnelsadministratifsd'unmêmeservice; groupedetravail,permetdecréertoutautregroupethématiqued'élèveset/oudeprofesseurset/ou depersonnelsadministratif. Partages Unpartageestunespacedisqueaccessibleparplusieursutilisateurspermettantdestockerdesdocuments communs. En général, les professeurs et les personnelsadministratifs ont les droits de lecture/écriture surtous les partagesauxquelsilsontaccès. Pourlesélèves,ilexistetroismodèlesdepartage: lectureseule; lecture/écriture; données/travail: c'est unpartage (en lectureseule) avec un sous répertoires donnees (enlecture seule)ettravail(enlecture/écriture). LesdroitspeuventensuiteêtreaffinésgrâceàlamiseenplacededroitsappelésACL. Listes de diffusion Unelistedediffusionestuneméthodedediffusiondecourriel,danslaquellelesabonnésdelalistepeuvent envoyerdesmessagesquiserontdiffusésàtouslesmembres. Lorsqu'uneimportationdecomptesesteffectuée,deslistesdediffusionassociéesauxgroupessontcréées: etabtest.ac dijon.fr) etabtest.ac dijon.fr) paréquipepédagogique(ex.profs etabtest.ac dijon.fr) etabtest.ac dijon.fr) etabtest.ac dijon.fr) etabtest.ac dijon.fr) parresponsablesdesélèvesd'uneclasse(ex.resp etabtest.ac dijon.fr) Plustroislistesintégrées: etabtest.ac dijon.fr) etabtest.ac dijon.fr) etabtest.ac dijon.fr) Lorsdelacréationd'unenouvelleliste,ilyadeuxpossibilités:leslistesrestreintesetleslistesInternet. Ilestpossibled'envoyerdesmailàlalistedediffusiondepuisl'extérieurdanslecasdelalisteInternetmais pasdanslecasdelalisterestreinte. Attention Cetterestrictiondoitêtreconfiguréesurlerelaimailacadémique. Remarque Iln'yapasdelienentreledomainerestreintetleslistesrestreintes.Lechoixdutypedesadresses mailsn'influenceenrienletypedeslistes. EOLE( 88

89 Administrationd'unmoduleEOLE Dansl'EAD,leslistesassociéesauxgroupessontdeslistesdynamiques. Deslistesstatiquespeuventêtrecrééesàpartirdel'interfacewebdeSympaindépendammentdecelles généréesautomatiquement. Pour personnaliser les listes dynamiques, il est nécessaire de passer également par l'interface web de Sympa. Voiraussi... >cf"l'administrationdeslistesdediffusion",page154. ii - Création de groupes Pourcréerungroupedetypeniveau,classe,option,matière,serviceouungroupedetravail,ilsuffitd'aller danslemenugestion/groupes/créationdegroupedel'eadetdechoisirletypedésiré. Créationd'unniveau Pourcréerunniveau,ilfautchoisirsonnom,sonlibellé(facultatif)etsionluiassocieunelistedediffusion. Puiscliquersurvalider. Écran18Créationd'unniveaudansl'EAD Remarque Lorsdel'importation,lesniveauxsontcréésavecunelistedediffusionsurledomainerestreint. Créationd'uneclasse Pourcréeruneclasse,ilfautchoisirsonnom,sonlibellé(facultatif),leniveauassociéetsontypedelistede diffusion. Puiscliquersurvalider. EOLE( 89

90 Administrationd'unmoduleEOLE Écran19Créationd'uneclassedansl'EAD EOLE( 90

91 Administrationd'unmoduleEOLE Lesgroupesdetypeclassesontcréésobligatoirementavecunpartagedetypedonnées/travailetunelistede diffusiondontondoitchoisirletype. Lesclassessontobligatoirementassociésàunniveau. Remarque A la création d'une classe, le groupe équipe pédagogique associé, son partage et les listes de diffusionéquipepédagogiqueetresponsableslégauxdelaclassesontcréésautomatiquement. Unprofesseurestassociéàuneouplusieurséquipespédagogiquesalorsqu'unélèvenepourraêtre associéqu'àuneclasse. Le partage de l'équipe pédagogique Unpartage"équipepédagogique"contientlesdeuxélémentssuivants: lesous répertoire"classe":correspondaupartageclasseaccessibleparlesélèves; lesous répertoire"eleves":permetd'accéderàl'espacepersonneldechaqueélèvedelaclasse,afin éventuellement de contrôler son travail. Le sous répertoire "prive" n'est pas accessible aux professeurs.ilpermetdegarantiràl'élèveunespaceréellementpersonnel. Lesdonnéesspécifiquesàl'équipepédagogiquedoiventêtreplacéesàlaracinedupartage,maisilesttoutà faitpossibled'ycréerunsous répertoire,nomméparexemple"equipe",afind'évitertouteconfusion. Écran20Partaged'uneéquipepédagogique Créationd'uneoption Uneoptioncorrespondàunsous grouped'élèvesuivantgénéralementunouplusieurscoursensemble. Pourcréeruneoption,ilfautchoisirsonnom,sonlibellé(facultatif)etsionluiassocieunelistedediffusion Puiscliquersurvalider. EOLE( 91

92 Administrationd'unmoduleEOLE Écran21Créationd'uneoptiondansl'EAD Remarque Lesgroupesdetypeoptionsontcréésobligatoirementavecunpartagedetypedonnées/travail. Lorsd'uneimportation,lesoptionscorrespondentàlanotiondeGroupedansSconet. Alacréationd'uneoption,l'équipepédagogiqueassociéeestcrééeautomatiquement. Unélèvepeutêtreassociéàplusieursoptions. Lalistedediffusiondel'équipepédagogiquen'estpascrééeautomatiquementmaisellepeutêtreajoutée ultérieurement. Lepartage"équipepédagogique"d'uneoptionfonctionnedelamêmemanièrequeceluid'uneclasse. Créationd'unmatière Pourcréerunematière,ilfautchoisirsonnom,sonlibellé(facultatif)etsionluiassocieunpartageet/ouune listedediffusion. Puiscliquersurvalider. Écran22Créationd'unematièredansl'EAD EOLE( 92

93 Administrationd'unmoduleEOLE Lorsdel'importation,lesmatièressontcrééesavecunpartageenlecture/écriturepoursesmembresetune listedediffusionsurledomainerestreint. Unprofesseuraaccèsauxpartagesdesmatièresqu'ilenseigne. Asacréation,lepartageestvide.Lesprofesseurspeuventdoncl'organiseràleurguise. Créationd'unserviceadministratif Pourcréerune serviceadministratif,ilfautchoisirsonnom,sonlibellé(facultatif)etsionluiassocieun partageet/ouunelistedediffusion. Puiscliquersurvalider. Écran23Créationd'unserviceadministratifdansl'EAD Lors de l'importation, les services administratifs sont créés avec un partage en lecture/écriture pour ses membresetunelistedediffusionsurledomainerestreint. Créationd'ungroupedetravail Pourcréerungroupedetravail,ilfautchoisirsonnom,sonlibellé(facultatif)etsionluiassocieunpartageet/ ouunelistedediffusion. Puiscliquersurvalider. Écran24Créationd'ungroupedetravaildansl'EAD EOLE( 93

94 Administrationd'unmoduleEOLE iii - Modification de groupes Modificationdesgroupesd'unutilisateur Lagestiondesgroupesd'unutilisateurestdisponibleenbasdesaficheindividuellequiapparaitlorsquel'on édite l'utilisateur via les menus Gestion/Utilisateurs/Recherche d'utilisateur ou Gestion/Groupes/Recherchedegroupe(colonneMembres). Par exemple, pour supprimer un utilisateur d'un groupe, il faut supprimer le groupe dans la section apparterniràungroupeetcliquersurvalider. Remarque Iln'estpaspossibledesupprimerunélèvedesaclasse. Ilestparcontrepossibledechangerunélèvedeclasse. Cettemanipulationestdisponibledanslafichedel'élève. Inscriptiongroupée L'inscriptionsimultanéedesutilisateursàungroupedetravailouàuneoptionsefaitparlemenu Gestion/ Editiongroupée. Ilfautrechercherlesutilisateurssuivantdifférentscritères. Ensuite,ilfautcliquersurleboutonInscrirecesutilisateursàd'autresgroupes,choisirlegroupeetValider. Écran25L'inscriptiongroupée Remarque Seulslesélèvessontconcernésparl'inscriptionàungroupeoption. Suppressiondegroupes Poursupprimerungroupe,ilfautauparavantlesélectionner via lemenu Gestion/Groupes/Lister lesgroupes. Ilfautchoisirletypedegroupeetéventuellementd'autrescritères(partiedunom,membresdugroupe)afin delimiterlenombrederésultatsaffichésparlarechercheetcliquersurlister. Unefoisquelegroupesouhaitéapparaitdanslalistedesgroupesaffichés,ilsuffitdecliquersurlelien Supprimercegroupequiluiestassocié. Écran26Lienverslasuppressiond'ungroupe LasuppressiondevraensuiteêtreconfirméeencliquantsurValider. EOLE( 94

95 Administrationd'unmoduleEOLE Écran27Ecrandeconfirmationpourlasuppressiond'ungroupe Remarque Si vous choisissez de conserver les répertoires, les partages seront déplacés dans /home/recyclage/<année>/workgroups. Uneclassepourraêtresuppriméeuniquementsiellenecontientplusd'élèves. Unniveaupourraêtresuppriméuniquementsiplusaucuneclasseneluiestassociée. La suppression d'une classe ou d'une option entraine la suppression de l'équipe pédagogique associée. iv - Groupes spéciaux Présentation DomainAdmins LesmembresdugroupeDomainAdminssontdesutilisateursprivilégiéssurledomaine. Ilsont: lesdroitsd'administrateurslocauxdespostesclients; lapossibilitédejoindrelesposteswindowsaudomaine; unaccèsàl'ensembledespartages. Attention Ilestfortementdéconseilléd'inscrirel'ensembledesprofesseursaugroupeDomainAdmins. Cela leur donnera un accès en lecture et en écriture sur tous les partages, y compris sur les répertoirespersonnelsdetouslesutilisateurs(admininclus). EOLE( 95

96 Administrationd'unmoduleEOLE PrintOperators LesmembresdugroupePrintOperatorssontdesadministrateurspourlesimprimantes. Ilspeuvent: installerlespilotesd'impressionsurleserveursamba; installeretconfigurerlesimprimantesdanscups. Ajouter/supprimerunutilisateuràungroupespécial Seulslesprofesseursetlespersonnelsadministratifspeuventêtreajoutésauxgroupesspéciaux. Ilestpossibledelesajouteroudelessupprimeràlacréationouàlamodificationdel'utilisateur. Écran28Gestiondesgroupesspéciauxd'unutilisateur Utilisateurs i - Introduction Ilexistecinqtypesd'utilisateurs:lesélèves,lesprofesseurs,lespersonnelsadministratifs,lesresponsables légauxetlesinvités. Pourchaquetype,lesinformationsdemandéesetlesoptionsdisponiblessontdifférentes. Onpeutregrouperlesutilisateursendeuxcatégoriesprincipales:lesutilisateurslocauxetlesutilisateurs externes. Utilisateurs locaux Lesutilisateurslocauxsontceuxayantaccèsaudomainelocal(partagedefichiers)cesont: lesélèves; lesprofesseurs; lespersonnelsadministratifs. Pourlesutilisateurslocaux,ilestpossiblededéfinirdesquotasdisquereprésentantslataillemaximalede donnéesqurl'utilisateurpeutcréersurlesystèmedefichiers. Utilisateurs externes Les utilisateurs externes sont ceux dont le compte ne donne accès qu'au portail et à une sélection d'applicationsweb. Cesont: lesresponsableslégaux; lestitulairesdecomptes"invités". EOLE( 96

97 Administrationd'unmoduleEOLE ii - Création de comptes utilisateurs Créationd'uncompteélève Avant de pouvoir créer un élève il est indispensable qu'au moins un niveau et une classe aient été préalablementcréés. Écran29Créationd'uncompteélèvedansl'EAD Domaine mail restreint et domaine mail Internet Ilestpossibledechoisirentredeuxdomainesdemessageriepourlesélèves: une adresse dans le domaine restreint : n'autorise l'envoi et la réception de courrier que depuis et vers une adresse située dans le même domaine académique que le domaine de la messageriescribe(voir Nomdedomainedelamessageriedel'établissement dansl'interfacedeconfigurationdumodule). Parexemplesivotre domainede messagerie Scribe est etab.ac acad.fr,les utilisateurs ayant un compte maildansle domainerestreint nepourrontenvoyerourecevoirqueducourrierà destinationouenprovenanced'adressesmailseterminantparac acad.fr(élèvesetenseignantd'un mêmeétablissementoudelamêmeacadémie); uneadressedansle domaineinternet:autorisel'envoietlaréceptiondecourrierdepuiset versn'importequelleadresse. Créationd'uncompteprofesseur Unprofesseurpeututilisersonadress académiqueafindecommuniqueraveclesutilisateursScribe. Cetteadresseseraaussiutiliséedansleslistesdediffusionauto générées(équipepédagogique,matière, niveau,etc.). Leprofesseurpeutseconnecteràl'EADavecsonpropreloginpourmodifiersespréférences. Ilpeutnotammentmodifiersonadress . EOLE( 97

98 Administrationd'unmoduleEOLE Écran30Créationd'uncompteenseignantdansl'EAD Créationd'uncomptepersonneladministratif Toutcommelesprofesseurs,lespersonnelsadministratifspeuventsoitrenseigneruneadress externe, soitchoisiruneboit locale. Écran31Créationd'uncomptepersonneladministratifdansl'EAD Créationd'uncompteresponsablelégal Lacréationd'uncompteresponsablelégalnécessitedeconnaitrel'identifiant(login)d'aumoinsundesélèves dontilalaresponsabilité. Lesresponsableslégauxpeuventobteniruneadress localesiilsenfontlademande. Leremplissagedesrenseignementspersonnelspermettraparlasuitedefournircesinformationsàd'autres applications(logicieldesuiviscolaire...). EOLE( 98

99 Administrationd'unmoduleEOLE Écran32Créationd'uncompteresponsablelégaldansl'EAD Créationd'uncompteinvité Lescomptesinvitéspermettentd'offrirunaccèsàcertainesapplicationsetéventuellementuneboiteaux lettresàdespersonnesextérieuresàl'établissement. Écran33Créationd'uncompteinvitédansl'EAD Voiraussi... >cf"lesprofilsutilisateurs",page218. EOLE( 99

100 iii - Gestion des comptes utilisateurs Pour sélectionner un compte utilisateur, il faut auparavant le sélectionner via le menu Gestion/Utilisateurs/Recherched'utilisateurdel'EAD. Ilfautchoisirjudicieusementlescritèresderechercheafindelimiterlenombrederésultatsaffichésetcliquer surlister. Lesutilisateursapparaissentalors Écran34Résultatd'unerecherched'utilisateurs Modificationdumotdepassed'unutilisateur Pouraccéderauformulairedemodificationdemotdepasse,ilfautcliquersurlelien Changerlemotde passeassociéàl'utilisateuraffichédanslaliste. Administrationd'unmoduleEOLE Écran35Leformulairedemodificationdemotdepasse EOLE( 100

101 Editiond'uncompteutilisateur Pouraccéderàlafenêtred'éditiond'unutilisateur,ilfautcliquersurlelienEditerassociéàl'utilisateuraffiché danslaliste. Administrationd'unmoduleEOLE Écran36Editiond'uncomptepersonneladministratif Suppressiond'uncompteutilisateur Poursupprimeruncompteutilisateur,ilfautcliquersurlelienSupprimerassociéàl'utilisateuraffichédansla liste. Lasuppressiondevraensuiteêtreconfirmée. Écran37Ecrandeconfirmationpourlasuppressiond'unutilisateur EOLE( 101

102 Silacaseassociéeàlasuppressiondesdonnéesdel'utilisateurestdécochée,sesdonnéesserontdéplacés dans/home/recyclage/<année>/<lettre>/<login>(utilisateurlocal) oudans/home/recyclage/<année>/<mail>/<login>(utilisateurexterne) sinonellesserontsuppriméesdéfinitivement. Remarque Sitouslesélèvesd'unresponsablesontétésupprimés,celui cidoitl'êtreégalement. L'éditiongroupée L'éditiongroupée,disponibleparlemenuGestion/Editiongroupéedel'EADpermetd'effectuerdes modificationssurdessélectionsd'utilisateurs. Unoutilderecherche(semblableàceluidel'outilRecherched'utilisateur)permetderéaliserune présélectiondesutilisateursàmodifier Lasélectionpeutensuiteêtreaffinéeparl'utilisationdescasesàcocheretdesboutonsTousetAucun. Administrationd'unmoduleEOLE Écran38Actionsdisponiblesdansl'éditiongroupée EOLE( 102

103 Lesopérationsdisponiblessontlessuivantes: inscriptiondesutilisateursàuneoption(élèvesuniquement)ouàungroupedetravail attributiond'unquotadisqueauxutilisateurs(compteslocauxuniquement) modificationdudomain localdesutilisateurs modificationduprofilwindowsdesutilisateurs(compteslocauxuniquement) réinitialisationdumotdepassedesutilisateursseloncertainscritères activation/désactivationdushelldesutilisateurs(compteslocauxuniquement) associationd'unrôleauxutilisateurs L'outildepurgedescomptes L'outildepurgedescomptespermetdefaciliterlasuppressiondescomptesdesutilisateursn'ayantplusde lienavecl'établissement. IlestaccessibleparlemenuGestion/Utilisateurs/Purgedescomptesdel'EAD. Leprincipedefonctionnementdel'outildepurgedescomptesestd'afficherlescomptesutilisateursquin'ont pasétémodifiés/retrouvésdepuisunnombredejoursdéfini. L'outilpermetégalementdemettreenvaleurlescomptessusceptiblesd'êtredesdoublons(Homonymes). Administrationd'unmoduleEOLE Écran39L'outildepurgedescomptes Lesactionspossiblessurlescomptessélectionnéssont: supprimer (en conservant leurs données): suppression des comptes et sauvegardes de leurs donnéesdans/home/recyclage/<année>/; supprimertotalement:suppressiondescomptesetdeleursdonnées; mettreàjour(leurdatedemiseàjourseramiseàaujourd'hui):lescomptesn'apparaitrontplusdans laliste. Remarque Siuneimportationaétéréalisée,lenombredejoursproposéestcalculéenfonctiondeladatedela dernièreimportation Lettres de lecteur Par défaut, les partages associés à un groupe sont disponibles dans le partage groupes de l'utilisateur (lecteurs:avecwindowsoupartages/sousclientscribe). Dansl'EAD,ilestpossibled'ajouteroudesupprimerdeslettresdelecteurpourunpartagedegroupeviale menugestion/partages/lettredelecteur. EOLE( 103

104 Administrationd'unmoduleEOLE Écran40Attributiond'unelettreàunpartage Pourajouterunelettredepartage,ilsuffitdesélectionnerungroupeetindiquerlalettredésirée(exemple[E]) etvalider. Poursupprimerunelettredepartage,ilfautsélectionnerlegroupe,laisseràvidelechampslettredelecteur etvalider Gestion fine des groupes et des utilisateurs : ACL Des ACL* sont utilisées sur le système de fichiers pour permettre un réglage fin des droits d'accès aux partagesetàleurcontenu. Modification des ACL sous Windows Avec un utilisateur ayant les privilèges nécessaires, depuis un poste client Windows, clic droit sur le fichier/dossier=>propriétés=>sécurité; Modification des ACL dans l'ead Lemenu Outils/GestiondesAcls permetdemodifierlesacl* (droitsétendus)surlespartages créésdans/home/workgroups. Cettedernièreméthodeestlaseulepermettantdemodifierlesdroitssurlaracined'unpartage. EOLE( 104

105 Écran41InterfacedegestiondesACLs Quotas disque Fonctionnement des quotas disque Ilestpossible,pourchaqueutilisateur,delimiterlaquantitédedonnéesqu'ilpeutstockersurleserveurenlui imposantunquotadisquemaximum. Lesquotassontcomposésd'unelimitedouce(soft)etd'unelimitedure(hard). Lesrèglessuivantess'appliquentàl'utilisateur: Administrationd'unmoduleEOLE ilnepeutpasdépasserlalimitedure; ilpeutdépasserlalimitedoucependant7jours; passécedélai,seulelalimitedouceestpriseencompteetilestobligédesupprimerdesdonnées afinderepasserendessousdecelle ci; àpartirdelà,leprocessusdouce/durereprendetl'utilisateurpeutànouveaudépasserlalimitedouce pouruneduréemaximalede7jours. Dansl'EAD,c'estlalimitedoucequiestindiquée. Remarque SurScribeetHorus,lalimitedurevautledoubledelalimitedouce. EOLE( 105

106 LesquotasScribe Pour consulter les quotas, le menu Outils/Quotas disque de l'ead permet d'afficher les quotas utilisateursselon3filtres: Quotasdépassés Quotasàsurveiller(quotaspresqueatteint) Touslesquotas Administrationd'unmoduleEOLE Écran42Affichagedesquotasutilisateurdansl'EAD Attention Lesquotassontappliquéssurlapartition/home.Lesquotasconcernent,ainsi,l'ensembledesfichiers créés par l'utilisateur sur le serveur (dossiers personnels, partages équipe pédagogique, classe, groupes,etc.). EOLE( 106

107 3.11. Importation L'importation est le mécanisme permettant de créer des comptes utilisateurs et des groupes à partir de donnéesextraitesd'outilsexternestelsquesconet,aafoube1d. Ellepeutsefaireparl'EADouenmodeconsole. Ilestrecommandéd'effectuerunesauvegardeavantdelancerlaprocédured'importation Préparation des fichiers nécessaires à l'importation Letravailpréparatoired'uneimportationconsisteàpréparer/récupérerlesfichiersrequis. Ilestconseilléd'enregistrercesfichiersdansunrépertoirespécifiqueetdelesconserveraprèsl'importation i - Sconet/STS Pourl'importation descomptes élèveset responsables, ilfaut récupérer quatre fichiersxml compressés parmiceuxproposésdansles"exportsxmlgénériques"del'applicationsconet. Cesfichierssonttraditionnellementnommés: ExportXML_ElevesSansAdresses.zip ExportXML_Nomenclature.zip ExportXML_ResponsablesAvecAdresses.zip ExportXML_Structures.zip Administrationd'unmoduleEOLE Pour l'importation des comptes professeurs et personnel administratifs, il faut télécharger un fichier XML depuisles"exports"'del'applicationsts Web.Cefichierpossèdeunnomdelaforme: sts_emp_<rne_etablissement>_<année>.xml Voiraussi... >cf"exportationdesfichiersdepuissconetetsts",page324. ii - AAF IlfautexporterquatrefichiersXMLAAFdepuisl'applicationAAF(AnnuaireAcadémiqueFédérateur). Cesfichierssonttraditionnellementnommés: ENT_<rne_etablissement>_Complet_<date>_Eleve_0000.xml ENT_<rne_etablissement>_Complet_<date>_PersEducNat_0000.xml ENT_<rne_etablissement>_Complet_<date>_EtabEducNat_0000.xml ENT_<rne_etablissement>_Complet_<date>_PersRelEleve_0000.xml CesfichierspeuventêtreobtenusauprèsdevotreRectorat. EOLE( 107

108 iii - BE1D IlfautexporterunfichierCSVélèvesdepuisl'applicationBE1D(BaseElèves1erDegré). Lefichierobtenudoitimpérativementposséderleschampssuivants: NomElève PrénomElève Datenaissance Sexe Niveau Classe CesfichierspeuventêtreobtenusauprèsdevotreInspectionAcadémique. iv - Texte Cette fonctionnalité permet aux établissement n'utilisant pas l'une des applications précédemment citées (lycéesagricoles,établissementssituésàl'étranger...)d'importerfacilementdesprofesseursetdesélèvesà partirdefichierscsvsimplifiés. Cesfichierspeuventêtrecréésàlamainouextraitsdepuisuneapplicationtierce. LesfichiersCSVdoiventrespecterlesélémentssuivants: pasd'en tête; séparateurpoint virgule(";"); pasdeséparateurdetexte; encodageeniso ouenUTF 8. Administrationd'unmoduleEOLE L'ordredeschampsdépenddutypedecompteàimporter. Structure du fichier élève numéro élève;nom;prénom(s);sexe (M ou F);date de naissance (jjmmaaaa);niveau;classe;login(facultatif);motdepasse(facultatif) Structure du fichier professeur numéro prof;nom;prénom(s);sexe (M ou F);date de naissance (jjmmaaaa);login(facultatif);motdepasse(facultatif) Remarque Leloginetlemotdepassesontfacultatifs.Ilserventuniquementdanslecasoùl'onveutforcerleur valeur(exemple:récupérationdecomptesexistants).siceschampssontabsentsouàvide,lelogin estcrééautomatiquementparl'application. Silesnotionsdenuméroélève,numéroprofesseuret/ouniveaun'existentpasdansl'établissement,il estpossiblederemplirceschampsavecunevaleuridentiquepourtous. EOLE( 108

109 Importation par l'ead L'outild'importationestaccessibleparlemenuOutils/Importationdel'EAD. i - Types d'importation Lapremièrechoseàfaireestdechoisirsontyped'importation: Mise à jour des bases: ajoute les utilisateurs et groupes manquants sans modifier les groupes existants Importationannuelledesbases:ajoutelesutilisateursetgroupesmanquantsaprèsavoirpurgéles options(importdesélèves)ouleséquipespédagogiques(importdesprofesseurs). Administrationd'unmoduleEOLE Écran48Choixdutyped'importation Attention Dans le cas où l'import initial doit être réalisé en plusieurs passes (cités scolaires...), l'option importationannuellenedoitêtreutiliséequ'aupremiertour. ii - Sources de données Lasecondeétapedel'importationestlechoixdelasourcededonnéesàutiliser. Cechoixdépendduformatdesfichierspréparéspourl'importation. Écran49Choixdelasourcededonnées EOLE( 109

110 iii - Données à importer Latroisièmeétapedel'importationestlechoixdesdonnées(typesdecomptes)àimporter. Leschoixproposésàcetteétapedépendentdelasourcededonnéessélectionnéeàl'étapeprécédente. Lechoixdoitgénéralementêtrefaitentrelesélèves(avecousansresponsables)etlesprofesseurs(avecou sanspersonnelsadministratifs). LesbasesBE1Dnecontiennentquedesélèves. Écran50Choixdesdonnéesàimporter iv - Préférences pour la création des comptes La quatrième étape de l'importation consiste à renseigner les options à utiliser pour créer les nouveaux comptesutilisateurs. Lespréférencesseparamètrentpartyped'utilisateur. Lenombredeformulairesàvaliderdépendradoncdeschoixréaliséslorsdes2étapesprécédentes. Administrationd'unmoduleEOLE Remarque Lespréférencessontconservéesd'uneimportationàl'autre. EOLE( 110

111 Préférencesdescomptesélèves Leschoixproposéssontlessuivants: Domainedemessageriepardéfaut:lesadressesmaildesnouveauxélèvespeuventêtregénérées soitdansledomainerestreintsoitdansledomaineinternet(modifiableparlasuite); Quotadisque :cequotadisqueseraappliquéàtouslesnouveauxélèves;ilpourraensuiteêtre personnalisépourchaqueclasse,chaqueutilisateur; Générationdesidentifiants:formatdecréationdesloginspourlesnouveauxélèves; Générationdesmotsdepasse:façondontsontgénéréslesmotsdepassedesnouveauxélèves; l'utilisationdeladatedenaissance(formatjjmmaaaa)permetd'éviterd'avoiràdistribuerlesmotsde passe,maispeutposerdesproblèmesdesécurité; Changement du mot depasse àla première connexion: permet d'obliger lesnouveauxélèvesà changerleurmotdepasselorsdeleurpremièreconnexionsamba; Activerleshell:permetd'attribuerunshellvalideauxnouveauxélèves(modifiableparlasuite); ProfilWindows:choixduprofilWindowsàappliquerauxnouveauxélèves(modifiableparlasuite). Administrationd'unmoduleEOLE Écran51Préférencespourlesélèves Préférencesdescomptesresponsables Leschoixproposéssontlessuivants: Générationdesidentifiants:formatdecréationdesloginspourlesnouveauxresponsableslégaux; Génération des mots de passe : façon dont sont générés les mots de passe des nouveaux responsables. Écran52Préférencespourlesresponsableslégaux EOLE( 111

112 Remarque La date de naissance des responsables légauxn'est pas forcément renseignée dans lesfichiers utiliséspourl'importation. Si la date de naissance a été choisie pour initialiser le mot de passe mais qu'elle n'est pas renseignée,unmotdepassegénéréaléatoirementseraaffectéàl'utilisateur. Préférencesdescomptesenseignants Leschoixproposéssontlessuivants: Quotadisque:cequotadisqueseraappliquéàtouslesnouveauxprofesseurs;ilpourraensuiteêtre personnalisépourchaqueprofesseursinécessaire; Générationdesidentifiants:formatdecréationdesloginspourlesnouveauxprofesseurs; Génération des mots de passe : façon dont sont générés les mots de passe des nouveaux professeurs; Changementdumotdepasseàlapremièreconnexion:permetd'obligerlesnouveauxprofesseursà changerleurmotdepasselorsdeleurpremièreconnexionsamba; Activerleshell:permetd'attribuerunshellvalideauxnouveauxprofesseurs(modifiableparlasuite); ProfilWindows :choixduprofilwindowsàappliquerauxnouveauxprofesseurs(modifiableparla suite). Administrationd'unmoduleEOLE Écran53Préférencespourlesenseignants EOLE( 112

113 Préférencesdescomptesadministratifs Leschoixproposéssontlessuivants: Quotadisque:cequotadisqueseraappliquéàtouslesnouveauxpersonnels(modifiableparlasuite) ; Générationdesidentifiants:formatdecréationdesloginspourlesnouveauxpersonnels; Génération des mots de passe : façon dont sont générés les mots de passe des nouveaux personnels; Changementdumotdepasseàlapremièreconnexion:permetd'obligerlesnouveauxpersonnelsà changerleurmotdepasselorsdeleurpremièreconnexionsamba; Activerleshell:permetd'attribuerunshellvalideauxnouveauxpersonnels(modifiableparlasuite); ProfilWindows :choixduprofilwindowsàappliquerauxnouveauxpersonnels(modifiableparla suite). Administrationd'unmoduleEOLE Écran54Préférencespourlespersonnelsadministratifs v - Téléchargement des fichiers Lacinquièmeétapedel'importationconsisteàtéléchargerlesfichierscontenantlesdonnéesàimporter. Lenombredefichiersàtéléchargerdépendradoncdelasourceetdesdonnéesdéfiniesdanslesétapes précédentes. Écran55Téléchargementdesfichiers EOLE( 113

114 vi - Lecture des fichiers Lesfichierstéléchargésdoiventensuiteêtretraités. Pourlancerletraitement,ilfautcliquersurlelienLancerlalecturedesfichiers. Lalectures'effectueensuiteétapeparétape. ElleestterminéelorsquelemotFINapparait. Écran56Lecturedesfichiers Administrationd'unmoduleEOLE Remarque Ilesttoujourspossibled'annulerleprocessusd'importationtantqueletraitementfinaln'apasété lancé. vii - Importation des comptes Unefoislesfichierslus,iln'yaplusqu'àcréereffectivementlescomptesutilisateursetlesgroupes. Pourlancerletraitementfinal,ilfautcliquersurlelienLancerl'importation. Letraitements'effectueensuiteétapeparétape. IlestterminélorsquelaphraseFINDEL'IMPORTATIONDECOMPTESapparait. EOLE( 114

115 Écran57Importationdescomptes viii - Rapport d'importation et liste des comptes Administrationd'unmoduleEOLE Unefoisl'importationterminée,lerapportd'importationestdisponiblesurlapaged'accueildel'EAD. Écran58Affichagedurapportd'importationsurlapaged'accueildel'EAD EOLE( 115

116 Une copie horodatée de ce rapport est également disponible dans le dossier importation du répertoire personneldel'utilisateur admin.lenomexactdecefichier(delaforme: rapport_<date>_<heure>.txt)est indiquétoutenbasdurapportvisibleparl'ead. Le dossier importation contient également la liste des comptes créés/retrouvés lors de l'importation est disponible au format CSV. Un fichier CSV horodaté est généré par type d'utilisateur créé (exemple: responsables_ _0001.csv). Lenomexactdecesfichiersestindiquédanslerapportvisibleparl'EAD. Lesmotsdepassedesutilisateursretrouvéslorsdel'importationnesontpasmodifiés. Danslesfichiersdelistedescomptes,ilsontreprésentésparlemotclé:(déjàattribué). Lesfichiersdelistedescomptedesimportationsprécédentessonttoujoursdisponiblesgrâceàl'horodatage desfichiers. Aprèsplusieursimportations,ilesttoutdemêmeconseillédenettoyerledossierimportation. En cas d'erreur durant l'importation, il peut également être utile de consulter le fichier: /var/log/ead/ead server.log. Truc & astuce Aprèsl'importation,ilestconseilléd'utiliserl'outildepurgedescomptepoursupprimerfacilementles comptedesutilisateursn'ayantplusdelienavecl'établissement Attention Administrationd'unmoduleEOLE Lors d'une importation, les élèves sont retrouvés grâce aux nom, prénom, date de naissance et numéroélève. Unedifférence,mêmeminime,risqued'entrainerlacréationd'undoublon Importation en mode console Ilestégalementpossiblederéaliseruneimportationenmodeconsoleenutilisantlecompteroot. Cetteversiondel'outild'importationestplutôtréservéeaudéveloppementetaudébogage. Elleselanceenutilisantlacommande:/usr/bin/importation_scribe Elles'utilisesoitdirectementsurleserveur,soitviaSSH(enactivant,depréférence,letransfertX11). Lesfichiersutiliséspourl'importationdoivent,biensûr,êtreprésentssurleserveur. EOLE( 116

117 Écran59Importationenmodeconsole Rapport complet Unrapportd'importationcompletestdisponiblesousformedefichierjournaldusystème. Cefichierestdisponibledans/var/log/eole/importation.log. Administrationd'unmoduleEOLE Ilcontientlatracedetouteslesimportationsréaliséesaveclaversionréécritedel'outil. Écran60Affichaged'unextraitdufichierdelogdesimportations EOLE( 117

118 3.12. Observation des virus LemenuOutils/Virusdel'EADpermetdeconsulterlesfichiersinfectésdétectésetmisenquarantaine parleserveur. Ils'agituniquementdefichiersquiontétécopiésdansl'undesrépertoirespartagésduserveur. Chaqueligneindiqueladate,lenomduvirusetlechemindufichierinfecté. Écran61Affichagedesvirusdétectésdansl'EAD Lorsqu'unvirusestdétecté,ilestplacéenquarantainedans/var/virus/.L'antivirusprotègeaussileserveurde messagerie. Il ne protège par contre pas les stations. Il est plus prudent, voire indispensable, suivant le systèmed'exploitationd'installerunanti virussurlesstationsclientes. Remarque Ladétectiondesvirusn'alieuquesil'optionActiverl'anti virustempsréél(ongletsambaenmode expert)estàouidansl'interfacedeconfigurationdumodule. Administrationd'unmoduleEOLE Introduction activationdel'application; copiedesfichiersdel'application; créationdel'utilisateur user_assr. Deuxméthodessontdisponiblespourlacopiedesfichiersdel'applicationsurScribe: installationréseau; installationdepuisdvd. Unefoisinstallée,l'applicationestaccessibleàl'URL: Activation de l'application lesdeuxtypesd'installation. EOLE( 118

119 Administrationd'unmoduleEOLE Installation réseau Allerdans Renseignerleschampsdemandés. ValiderencliquantsurleboutonTélécharger. Letéléchargements'effectueraentre21het23hafind'éviterd'encombrerlaconnexionInternet.Unefoisle téléchargementdémarré,unrapportestcréé. Ilpermetdevérifierquel'applicationaétécorrectementcopiée. Lafindurapportestmarquéeparlabalise ##FIN##. duderniertéléchargement". EOLE( 119

120 Installation depuis DVD A l'activation de l'application, deux répertoires serveurassr et copies sont créés dans T:\logiciels\assr. Le premiersertaustockagedesfichiersdel'application,lesecondàl'enregistrementdescopiesdescandidats. Pour l'installation, avec l'utilisateur admin, copier les fichiers du DVD dans le répertoire T:\logiciels\assr\serveurassr. Administrationd'unmoduleEOLE Écran65Copiedesfichiers EOLE( 120

121 Installation du client Pré requis IlfautpréalablementdésinstallerJavaetQuickTimes'ilssontdéjàprésentssurlastation. Installation Leclientestdisponiblesurlapaged'accueildel'applicationhttp://<adresse_module>/assr/. Administrationd'unmoduleEOLE Téléchargeretlancerl'installeur. Lorsdel'installation,l'URLd'accèsàl'applicationvousestdemandé: EOLE( 121

122 Administrationd'unmoduleEOLE Renseignerhttp://<adresse_module>/assr/. Unefoisinstallé,ilresteàparamétrerl'emplacementdestockagedescopies.Scribeintègreunemplacement prévuàceteffet:t:\logiciels\assr\copies\. AllerdansModifierlaconfigurationdel'applicationpuisrenseignezlechemindans"Chemindestockagedes copies". EOLE( 122

123 Écran68Copiedesfichiers. Administrationd'unmoduleEOLE Écran69Copiedesfichiers. EOLE( 123

124 3.14. Machines Liste des machines L'EAD du Scribe permet de lister des informations autour des machines, groupes de travail et domaine Windows. LemenuOutils/Stations/Machinesproposequatresolutions: "Clientsdudomaine"(pardéfaut):listedesmachinesdémarréesayantunclientScribeWindows installé: Administrationd'unmoduleEOLE Écran70Machines:listedesclientsdudomaine Ilestpossibled'éteindre,démarreroufermerunesessionsurcespostes. "Maîtresexplorateurs":listedesmaîtresexplorateursappartenantàungroupedetravailspécifique: Écran71Machines:listedesmaîtresexplorateurs EOLE( 124

125 "Controleurdedomaine":listedescontrôleursdudomaineaveclenomdudomainequ'ilcontrôle: Écran72Machines:listesdescontrôleursdedomaine "Touteslesstations":listetouteslesmachinesprésentesdanslespropositionsprécédentes: Administrationd'unmoduleEOLE Écran73Machines:listesdetouteslesstations Suppression d'une machine LemenuOutils/Stations/suppressiondelastationpermetdeconsulterlalistedesstations Windowsenregistréesdansl'annuaireet,sinécessaire,desupprimerl'undecescomptesdemachine. EOLE( 125

126 Écran74Suppressiond'unemachinedansl'EADScribe Truc & astuce Administrationd'unmoduleEOLE Laré inscriptiond'unestationdansledomaine(formatageetréinstallationd'unemachineavecun nomidentique)peutparfoisrenvoyeruneerreur. Lasuppressionducomptedelastationpeutaideràrésoudreleproblème Imprimantes Ilyaplusieursfaçondegérerlesimprimantesdansunétablissement. Il est possible de partager les imprimantes sur les postes utilisateurs, de passer par des serveurs d'impressionoud'utiliserlemoduleeolecommeserveurd'impression. NousnetraiteronsiciquedecasoùlemoduleEOLEsertdeserveurd'impressionavecCUPS. Deuxinterfacessontdisponiblespourgérerlesimprimantes: l'interfacesimplifiéeintégréeàl'ead(gestion); CUPS(gestionetinstallation/configuration). L'interfacesimplifiée L'interfacedegestiondesimprimantesintégréeàl'EADpermetdegérerlesimprimantesdéjàinstallées. Lesprofesseurspeuvent: consulterl'étatdesimprimantes; consulter/interrompre/relancerlestravauxd'impression; arrêter/démarrerdesimprimantes. EOLE( 126

127 Administrationd'unmoduleEOLE Sauvegarde Bacula au sein du projet EOLE i - Le choix de Bacula BaculaestunprojetdegestiondessauvegardeslibresousGNU/Linux. La plupart des solutions de sauvegarde sont propriétaires. Elles sont prévues pour gérer des stratégies complexescomportantungrandnombredenœudsclients,etsontsurdimentionnéespourgérerdesserveurs EOLE(deuneseulemachineàquelquesmachines). SesfonctionnalitésetcetteorientationlogiciellibrefontqueBaculaestlasolutiontechniquequiaétéretenue pourimplémenterunesolutiondesauvegardeauseinduprojeteole. LeprojetEOLEadoncprisencomptecesproblématiquesdesauvegardepourlesmodulescontenantdes donnéesissuesdutravaildesutilisateurs. Ainsi,lesmodulesconcernéssont: Scribe,HorusetEclair,quiembarquentlasolutioncomplète(clientetserveurdesauvegarde); Amon,quinefournitqueleclientdesauvegarde. EOLE( 127

128 ii - Configuration de la sauvegarde Attention Cette documentation neconcernepaslesmodules AmonEcole et EoleVZ. Voirladocumentation AmonEcoleouEoleVZsivousêtesdanscecadre. BaculaestembarquédanslesmodulesEOLEcitésdanslasectionprécédente. Uneinterfacedeconfigurationsimplifiéeestintégréedansl'EAD(menusauvegardes). Configurationdusupport Troismédiasdesauvegardesontpossibles: sauvegarde distante,surunpartageréseau,avecunformulairedeconfigurationpourlamiseen œuvre. C'estlasolutionpréconiséeparleprojetEOLE,etsélectionnéepardéfaut. Il s'agit de sauvegarder sur un partage de type SMB, de préférence authentifié (ex. \\machine\partage). Administrationd'unmoduleEOLE Écran75Configurationd'unsupportdesauvegardedistantdansl'EAD sauvegarde locale,surundisqueusbouinterne,avecunformulairedeconfigurationdemiseen œuvre. Méthodesimple,adaptéeauxpetitsvolumes,ellen'estcependantpasconseillée,carrestepurement localeàlamachineetestdoncsensibleauxcorruptionséventuellesduserveurmême. Lepériphériquedoitêtredésignéparsonnœuddepériphérique(ex.:/dev/hda1). EOLE( 128

129 Écran76Configurationd'unsupportdesauvegardeUSBlocaldansl'EAD sauvegarde manuelle,quicommesonnoml'indiqueimposeàl'utilisateurdedéfinirvialesoutils Baculasapropredestinationdesauvegarde.Cechoixcorrespondengénéralàl'utilisationdelecteurs debandes,ets'intègredansunestratégiedesauvegardeàplusgrandeéchelle. Lepilotedépendantdumatériel,lelecteurdebandedoitêtreconfigurémanuellement. VoirladocumentationdeBacula: Administrationd'unmoduleEOLE manual/lecteurs_de_bandes_support.html manual/demarrer_avec_bacula.html#section Pourindication,lesfichierssuivantssontconcernés: /etc/eole/distrib/bacula dir.conf /etc/eole/distrib/bacula sd.conf Écran77Configurationd'unsupportdesauvegardemanueldansl'EAD EOLE( 129

130 Paramètresd'envoi EOLEoffrelapossibilitéd'envoyerdeuxtypesdecourriel: lesrapportsd'erreurdebacula; lesrapportsdesauvegarderéussit. Ilestrecommandédedéfinirlesdeuxtypesd'adresse.Eneffet,lepremiercourrielinformequelasauvegarde s'estmaldéroulée,maislesecondqu'unesauvegardes'estbienréalisé. IlfautensuiteconfigurerleserveurSMTPrelai. Conseil Siunanti spamouunrelaismtprejettelescourrielsàcausedunomd'expéditeurducourriel(par défaut bacula dansl'interfacedeconfigurationdu moduleenmode expert dans bacula / Adress de l'expéditeur. SurHorus,demanièreplusglobal,ilestpossibledenerenseignerqueservice/Adress del'expéditeur. Truc & astuce Ilestpossiblededéclarerplusieursdestinatairesenséparantlesadressespardesvirgues. Exemple:toto@ac dijon.fr,titi@ac dijon.fr. Administrationd'unmoduleEOLE SileserveurSMTPestsurunportdifférentde25,ilestpossibledespécifierleportdelafaçon suivante: <adresse_serveur_smtp>:<port>. Programmation Unefoisletypedesauvegardedéfini,ilestpossibledeprogrammerdessauvegardes. Écran78L'interfacedeprogrammationdessauvegardesdansl'EAD Attention Pourprogrammerunsauvegardedanslanuitdelundiàmardià1heuredumatin,ilfautpenserà choisir"mardi""1heure". EOLE( 130

131 Duréederétention La durée de rétention fait partie des options avancées de l'interface de configuration du module, onglet Bacula. Pardéfautelleestde50jours. Celasignifiequetouteslessauvegardes(complètesetincrémentales)serontconservéspendant50jours.Si une sauvegarde complète est programmée par semaine, l'espace occupé sur le support de sauvegarde devraitatteindre10foisceluidelapartitiondedonnéesduserveur. Pour limiter l'espace disque nécessaire pour la sauvegarde, il est possible de différencier la durée de rétention des sauvegardes complètes, incrémentales et différentielles dans l'interface de configuration du moduleenactivantactiverlesupportdespooldevolumes. Administrationd'unmoduleEOLE Écran79Configurationdeladuréederétentiondessauvegardes EOLE( 131

132 EOLE( Administrationd'unmoduleEOLE 132

133 Attention Unemodificationdelavaleurencoursdeproductionn'auraaucuneffetsurlessauvegardesdéjà effectuéesquiserontconservéessuivantl'anciennevaleur. Afindeprendreencomptelanouvellevaleur,viderlesupportdesauvegarde. Fichiers/répertoirespersonnalisés Sauvegarder un fichier ou répertoire personnalisé Les modules EOLE sauvegardent par défaut une sélection de fichiers et de répertoires. Il est parfois nécessairedecomplétercettelistepardesfichiersourépertoirespersonnalisés. Pourajouterunfichierourépertoirepersonnalisé,ilsuffitdel'ajouterdanslefichiersuivant: /etc/bacula/listefichiersperso.conf Exclure un fichier ou répertoire personnalisé Delamêmefaçon,ilestpossibled'exclureunfichierouunrépertoiregrâceaufichier: /etc/bacula/listefichiersexperso.conf EOLE( Administrationd'unmoduleEOLE 133

134 iii - Déroulement de la sauvegarde Unefoisparamétrée,unesauvegardes'effectueendeuxétapes: lasauvegardedesdonnées; lasauvegardeducataloguebacula. IldoitêtresauvegardéséparémentafinqueleJobdesauvegardedesdonnéessoientmarquécomme"OK" etnoncomme"running"sionsauvegardaitlecatalogueenmêmetemps. Sauvegardedesdonnées Lasauvegardedesdonnéessefaitdelamanièresuivante: étapepréliminaire: lapremièreactionconsisteàextrairelesdonnéesdel'annuaireldapsousformedefichiertexte (si nécessaire): RunBeforeJob = "/usr/share/eole/bacula/baculaservices.shprebackupldap", ensuite,lesbasesdedonnéesmysqlsontextraitesousformedefichiertexte(sinécessaire): RunBeforeJob prebackupmysql", étapedesauvegarde; étapepostinstallation: "/usr/share/eole/bacula/baculaservices.sh enfin,lesupportest,éventuellement,monté,lescript /etc/bacula/precommandes estexécuté(s'il existe), le SID Samba est sauvegardé (si nécessaire) et les services prédéfinit sont arrêtés: RunBeforeJob prebackup"; = = "/usr/share/eole/bacula/baculaservices.sh Administrationd'unmoduleEOLE efface le fichier texte avec l'extraction LDAP: RunAfterJob = "/usr/share/eole/bacula/baculaservices.shpostbackupldap", EOLE( 134

135 efface le fichier texte avec l'extraction MySQL: effacelefichierdesauvegardedusid,faitunecopiedesauvegardeduconfig.eolsurlesupport de sauvegarde, exécute le script /etc/bacula/postcommandes s'il existe, démonte le support de sauvegarde(sinécessaire)etrelancelesservicesarrêtés:runafterjob="/usr/share/ eole/bacula/baculaservices.shpostbackup"; RunAfterJob = "/usr/share/eole/bacula/baculaservices.shpostbackupmysql", en cas d'erreur, exécute le script: RunAfterFailedJob "/usr/share/eole/bacula/baculaservices.shpostbackuperr". = lasauvegardeducatalogue Bacula précédépar: montelesupportdesauvegarde, créeundump.sqldelabase, copieledumpdans/var/sauvegardes, RunBeforeJob="/usr/share/eole/bacula/baculaservices.shprecatalog"; suiviepar: exécute/etc/bacula/scripts/delete_catalog_backup, démontelesupport, RunAfterJob="/usr/share/eole/bacula/baculaservices.shpostcatalog". iv - Administrationd'unmoduleEOLE Création d'un partage pour la sauvegarde distante Introduction EOLE permet d'utiliser plusieurs supports pour effectuer les sauvegardes, dont un un répertoire partagé. Nousallonsvoiricicommentcréerunpartageaveclesdroitsd'accèsadéquatssurunposteWindowsXP: créationd'un"comptelocal"surlastationwindows; partagedudossieretréglagedesdroitsd'accès. LedossierpartagépeutsetrouversurledisquedurdelastationWindows.Ilpeutaussisurtrouversurun disquedurexterneconnectéàlastationparexemple(ousurunecléusbpourfairedestests). Remarque Ilestpossiblededonnerdesdroitsd'accèsàuncomptedudomaineaupartagecréésurunposte Windows.Lorsdel'accèsaupartage,lastationvaalorsvérifierlavaliditédel'utilisateuretdesonmot depasseauprèsducontrôleurdedomaine. Lorsdelasauvegarde,sinécessaire,BaculaarrêteralesservicesSambapours'assurerqu'aucun fichier/dossierneseramodifiépendantlasauvegarde.l'arrêtdesambaimpliquequelecontrôleurde domainenerépondraplus.l'accèsaupartageneseradoncpasvalidéetlasauvegardenepourra passefaire. Lesaccèsaupartagepourlasauvegardedoitdoncsefaireenutilisantuncomptelocalduposteoù setrouveledossierpartagépourlasauvegardescribe. Créationd'uncomptesurleposteWindows Ouvrirunesessionenadministrateurlocaldelastationsurlaquellevousvoulezcréerlepartage.Puisouvrez laconsoledegestiondel'ordinateur. EOLE( 135

136 Ensuite,créezunnouvelutilisateur(Menu"Action"ouclicdroitdansl'espacevidedelacolonnededroite) Administrationd'unmoduleEOLE...aveclesoptionsconfiguréescommececi: EOLE( 136

137 Administrationd'unmoduleEOLE Partagedudossieretréglagedesdroitsd'accès Après avoir créé un dossier "sauvegarde" à l'emplacement de votre choix, partager le (clic droit sur le dossier): EOLE( 137

138 Administrationd'unmoduleEOLE Puis cliquer sur Autorisations. Supprimer les autorisations par défaut ("Tout le monde") puis ajoutez "usersauv"avec"contrôletotal": EOLE( 138

139 Administrationd'unmoduleEOLE Fermerlafenêtredesautorisationspuisallerdansl'onglet"Sécurité"etcliquersur"Paramètresavancés": Décocher"Héritedel'objetparent...",unefenêtres'ouvrealors,sélectionner"Supprimer": EOLE( 139

140 Ajouterensuitel'utilisateur"usersauv"toujoursavecle"Contrôletotal": Administrationd'unmoduleEOLE Enfin,affecterle"Contrôletotal": EOLE( 140

141 Administrationd'unmoduleEOLE Sauvegarde Bacula sur Scribe Liste des fichiers sauvegardés par défaut La liste des fichiers sauvegardés par défaut sur Scribe est définie dans le fichier /etc/bacula/baculafichiers.conf. Extraction de données extractiondusidsambadanslefichier/etc/eole/scribe_sid; extractiondel'annuaireldapdanslefichier/home/sauv_ldap.ldif; extractiondelabasededonnéemysqldanslefichier/home/sauv_mysql.sql; sauvegardedesquotasdisqueutilisateursdanslefichier/home/sauv_quota.txt. EOLE( 141

142 Restauration sous EOLE Restauration complète SilesupportestUSBouPC distant,larestaurationcomplètes'effectueenexécutantlacommande: usr/share/eole/bacula/restauration bacula.sh Plusieursquestionssontposées: Voulez vousconfigurerl'envoid'unmailenfinderestauration[o/n]? Si vous répondez "oui" ("O"), vous devrez renseigner l'adresse mail à laquelle envoyer le rapport de restaurationainsiqueleserveursmtpàutiliserpourl'envois'iln'apasétédétectédanslaconfigurationdu serveur. Ensuite,sélectionnezletypedesupportenrépondant"distant"ou"usb"àlaquestion: Typedesupport("distant"ou"usb"): À ce moment, renseignez les paramètres suivants tel qu'ils l'étaient dans la page de configuration de la sauvegardedansl'ead. Enfin, la restauration s'exécute, patientez, les informations peuvent mettre quelques minutes avant d'apparaitre,baculaneles"flush"pastoutdesuitedanssonfichierdelog. Lorsquelarestaurationcomplèteestterminée,re configurezvotreserveuraveclacommande: reconfigure État du serveur avant la restauration complète Administrationd'unmoduleEOLE Quelquesprérequisavantdelancerlescript/usr/share/eole/bacula/restauration bacula.sh: installationdepuislederniercd; leserveurdoitêtremisàjour(ildoitêtreaumêmeniveaudemajqu'aumomentdela dernièresauvegardeafind'assurerlacompatibilitébacula); si GFC MySQL est utilisé, il faut exécuter le script personnalisé (EAD) du CAPTI script_gfcmysql.sh. EOLE( 142

143 Restauration partielle Larestaurationpartiellepermetderestaurerseulementcertainsdesfichiersetdesdossierssauvegardés. Biensûr,votreserveurEOLEdoitavoirétésauvegardéaumoinsunefois. Ensuitec'estautourdelarestaurationproprementdite.Elles'effectueaumoyend'unprogrammeenlignede commandebconsole: [bconsole c/etc/bacula/bconsole.conf] Danscetexemplenousverronscommentrestaurerlefichier/home/a/admin/perso/icones.url. Laprocédurepeutêtreabandonnéeàtoutmoment. Une fois bconsole démarré, commencez par taper la commande suivante (attention aux majuscules/minusculesetsansaccents): restorefileset=complete Cettecommandeindiqueàbconsoled'initialiserunerestauration. Vousavezalorsplusieurschoix,lespluspertinentssont: ToselecttheJobIds,youhavethefollowingchoices: 5:Selectthemostrecentbackupforaclient(sélectionnerlasauvegarderéussielaplusrécente) 6:Selectbackupforaclientbeforeaspecifiedtime(sélectionnerladernièresauvegarderéussieavantune datespécifiée) Unefoisl'arborescencecréée Buildingdirectorytree... Administrationd'unmoduleEOLE Il faut marquer les fichiers/dossiers à restaurer avec la commande (attention, la commande mark est récursive): mark Pour"dé marquer"lesfichiersmarquésparerreur: unmark Lorsque les fichiers et les dossiers à restaurer sont sélectionnés, passez à l'étape suivante avec la commande: done Onobtientalorslemessagesuivant: Bootstraprecordswrittento/var/lib/bacula/ dir.restore.1.bsr [...] Sélectionnez"Restore"(choixn 1)puisquevousnevouleznirestaurerl'annuairenilabasededonnées, seulementdesfichiersetdesdossiersutilisateursdans/home(scribe)ou/data(horus).cechoixpermetde NEPASarrêterlesservicespendantlarestauration. L'étapesuivantedéterminequelsserontlesparamètresderestauration.Pourmodifiercertainesoptions,la principaleestl'emplacementdedestination,taper: mod Attention PourrestaurerunfichieravecsesACL,ilestobligatoiredechoisirunepartitionaveclesupportdes ACL.Sinonlesdroitsneserontpascorrectementrestitués. Pour restaurer dans un autre répertoire (non obligatoire) Larestaurationpeutmaintenantêtrelancée.Ilneserapluspossibled'abandonneraprèscetteétape. OKtorun?(oui/mod/non):mod Sélectionner ensuite: 9: Destination et saisir le chemin (prefix) pour la restauration. Par exemple /home/restauration/. EOLE( 143

144 Attention Sivousrestaurezunfichierd'unepartitionavecACL(parexemple/homesurScribe),ilfautrestaurer lefichierdansunrépertoireavecacl.sinonlesdroitsassociésaufichierneserontpasrestaurés. Larestaurationpeutmaintenantêtrelancée.Ilneserapluspossibled'abandonneraprèscetteétape. OKtorun?(oui/mod/non):oui Lorsquelarestaurationestterminée: [...] Termination:RestaurationOK Enfinpourquitterlaconsole: quit Puissurleserveur, reconfigure.selonlesfichiersrestauréscen'estpasforcémentnécessaire,cependant certainsl'exigent(ex./var/lib/ldap,/var/lib/mysql,etc.). Conseil CettesectiondécritlesprocédurespourrestaurerdesfichiersaveclesoutilsEOLE.Ilesttoutàfait possibled'utiliserunedesautresconsolesbaculapourréalisercetteopération Quelques références Administrationd'unmoduleEOLE Définitiondelasauvegarde: DocumentationEOLE: L'interface d'administration semigraphique Uneinterfacesemi graphiqueestégalementdisponiblesurquelquesmodules. L'interface semi graphique n'est pas présente sur tous les modules. Seulement sur les modules Amon/AmonEcole,Scribe,HorusetSphynx(grâceauscriptmanage sphynxlancéenroot). Cetteinterfacepermetd'exécuterquelquestâchessimpled'administrationduserveur:diagnostique,miseà jour,listedespaquetsenmiseàjour,etc. L'inteface semi-graphique Scribe EOLE( 144

145 Écran80L'interfacesemi graphiquedescribe Administrationd'unmoduleEOLE Actionsdisponibledepuiscetteinterface: Diagnostic_Scribe Lancelacommande:diagnosequieffectueundiagnosticdesprincipalesfonctionsdumodule. Reconfiguration Lancelareconfiguration(reconfigure)duserveur. Paquets_en_Maj Listelespaquetsàmettreàjoursurleserveur,maisn'effectuepascettemiseàjour. Mise_A_Jour Lancelamiseàjourenutilisantlesinformationsdéfiniesdansl'interfacedeconfigurationdumodule Demarre_les_services Redémarretouslesservicesdebasedumodule. Status_Samba AffichelesconnexionsSamba. Redemarrer_Serveur Arret_Serveur Redémarrerleserveur. Arrêterleserveur. Shell_Linux Passageenmodelignedecommande. Quitter Sortirdel'application. EOLE( 145

146 5 Les mises à jour 5.1. Les procédures de mise à jour * LesprocéduresdemiseàjourmanueldesmodulesEOLEsontaccessibledequatremanières: EAD; interfacesemi graphique; Zéphir; lignedecommande. Deplus,àlafindel'instanciation,lamiseàjourestconfigurédefaçonautomatique. Intégrité de la mise à jour UnemiseàjourEOLEreprésenteunensembledepaquets.L'installationmanuelledeseulementl'un d'entreeuxpeutrendrevotresystèmeinstable. L'utilisationdesméthodeslistéesci dessuspermetdegarantirl'intégritéduserveur. Administrationd'unmoduleEOLE MiseàjourEAD,semi graphiqueetautomatique >cf"miseàjour",page75. >cf"lamiseàjour",page Les mises à jour en ligne de commande Scripts Query-Auto et Maj-Auto Ilestimportantdetenirsonsystèmeàjour.Pourcela,ilestpossibledelancermanuellementunemiseàjour. Query Auto:donnelalistedespaquetsàmettreàjour. Maj Auto:téléchargeet/ouinstallelespaquetsàmettreàjour. Cesdeuxscriptspermettentégalementdetesterlespaquetscandidats(oueole 2.x proposedavec C)oude développements(oueole 2.x devavec D). Ilestégalementpossibledesimulerl'installation( s)ouseulementtéléchargerencachelespaquets( d). Truc & astuce Sivousn'avezpasencoreconfigurévotremoduleetquevousvoulezd'abordmettreàjour,ilfaut utiliserlesoptionssuivantes: Maj Auto i Seoleng.ac dijon.fr. EOLE( 146

147 Reconfiguration Àlafindel'exécutiondelacommande [Maj Auto],sidespaquetsontétémisàjour,unmessage vousinviteàreconfigurervotreserveur.lareconfigurationestnécessairecarlespaquetsmisàjour ontcopiéleurspropresfichiersdeconfiguration,leserveurestdoncdansunétatinstable. Reconfigurer le serveur remet en place la configuration correcte, telle que définie lors de la configurationduserveur. Pourcefaire,exécuterlacommande[reconfigure] Script Maj-Cd [Maj Cd]estlescriptàutiliserpourmettreunmoduleàjourdepuisunCD Romd'installationoudemiseàjour plusrécentqueceluiutilisépourl'installationmaisd'unemêmeversionmajeure(exemple:mettreàjourun serveurinstalléavecuncd2.2aveclecd2.2.1). Maj Cd:installelespaquetsàmettreàjourdepuisunCD Rom(saufoption s). Options: h:affichel'aide; i:ignorelefichierdeconfiguration/etc/eole/config.eol; s:simulation(rienn'estniinstallé). Administrationd'unmoduleEOLE Reconfiguration Àlafindel'exécutiondelacommande[Maj Cd],sidespaquetsontétémisàjour,unmessagevous inviteàreconfigurervotreserveur.lareconfigurationestnécessairecarlespaquetsmisàjouront copiéleurspropresfichiersdeconfiguration,leserveurestdoncdansunétatinstable. Reconfigurer le serveur remet en place la configuration correcte, telle que définie lors de la configurationduserveur. Pourcefaire,exécuterlacommande[reconfigure]. EOLE( 147

148 Script Upgrade-Auto [Upgrade Auto]estlescriptdemigrationquipermetdepasserd'uneversiond'EOLEàlasuivante(2.0=>2.1 =>2.2). Déroulement de la procédure Lescript/usr/share/eole/Upgrade Autopermetdefairelamigrationdefaçonautomatique. Lesétapessont: vérificationdel'étatdemiseàjourduserveur; modificationdufichier/etc/apt/sources.listpourajouterledépôtdelaversionverslaquellemigrer; téléchargementdespaquets; lancement des éventuelles commandes spécifiques au module (/usr/share/eole/<nom_module> pre_upgrade); installationdespaquets; lancement des éventuelles commandes spécifiques au module (/usr/share/eole/<nom_module> post_upgrade); miseàjourdesparamètresduserveursurlezéphirsileserveuryestenregistré. Ilfautensuitereconfigurer([reconfigure])etredémarrer([reboot])leserveur. Précautions d'emploi parprécaution,ilestrecommandédefaireunesauvegardeduserveuravantdelancerlescriptde migration; lamiseàjourdusystèmen'estpasautomatiséecarelleestsusceptibledeposerdesquestionsà l'utilisateurencoursd'exécution; sonutilisationestcritique(pasderetourenarrièrepossibleunefoislespaquetsinstallés). Administrationd'unmoduleEOLE Mode téléchargement uniquement Commelenombredepaquetsàmettreàjourestimportant,cettephasepeutprendredutemps,enparticulier silaconnexioninternetestlente. C'estpourquoiilestpossibledepréparercetteétapeàn'importequelmomentavecl'option download: [Upgrade Auto download] Laprocédureréalisealorsletéléchargementdetouslespaquetsnécessairesansappliquerlamiseàjour. Réalisation de la migration Pourlancerlamigrationunefoislespaquetstéléchargés: [Upgrade Auto] [reconfigure] Upgrade ''via'' un CD-Rom LamigrationestégalementpossibleenutilisantleCD ROMd'installationdelaversioncible: [Upgrade Auto cd] [reconfigure] Pour la migration par CD ROM, une mise à jour est ensuite nécessaire pour bénéficier de toutes les fonctionnalitésdelanouvelleversion. Attention Ce script fait des actions pré migration et post migration. Il ne peut donc être disponible que lorsqu'une nouvelle version majeur est sortie. Il est normal de ne pas trouver ce script dans la dernièreversiondeeole. EOLE( 148

149 5.3. Installation manuelle de paquets Maj Auto installe l'ensemble des paquets disponibles pour la version de mise à jour désirée (Stable, Candidate,Développement). Ilestpossibled'installermanuellementdespaquets,pourn'entesterquecertainsparexemple.Cecisefait aveclacommande: apt eole Avantdeprocéderàl'installationd'unpaquet,assurez vousquelessourcesaptsontconfiguréessurla bonneversiondemiseàjouraveclacommandequery Auto. MisesàjourStables: Query Auto MisesàjourCandidates: Query Auto C MisesàjourdeDéveloppement: Query Auto D Ensuite,pourinstallerlepaquet"eole bacula",exécutezlacommande: apt eoleinstalleole bacula Intérêt de la commande "apt-eole" Administrationd'unmoduleEOLE Lacommande apt eole aétéajoutéeafind'appelerlacommande apt get aveclesbonnes optionslorsdesappelsinstalletremove Les dépôts EOLE Architecture des dépôts EOLE Lesitederéférence dijon.fr/eoleng proposepourchaquedistributioneole(2.0,2.1,2.2) plusieurssous distributions: eole 2.x dev:cespaquetssontdespaquetsdedéveloppement,ilsnedoiventpasêtreinstallés; eole 2.x proposed:paquetscandidats,cesontlespaquetséligiblespourpasserenversionstable aprèsvalidationtotale(bug,régression,etc.); eole 2.x :paquetsdeladistributiondebase,aucunpaquetn'yestajoutéaprèslapublicationdu premiercdofficieldelaversionmajeure; eole 2.x updates:misesàjourfonctionnelles; eole 2.x security:misesàjourdesécurité. Avecl'arrivéedusupportdel'architecture64bits,lespaquetsbinaires(fichiers*.deb)delaversion2.2ontété répartisdans3sous répertoires: all:paquetscompatiblesavectouteslesarchitectures; i386:paquetscompilésspécifiquementpourl'architecturei386; amd64:paquetscompilésspécifiquementpourl'architecture64bits. EOLE( 149

150 Truc & astuce AMD64estlenomd'unearchitectureprocesseurdéveloppéeparlasociétéAMD.Cettearchitecture estcompatibleaveclestandard32bitsx86d'intel.elleestutilisée,entreautres,parlesamdathlon 64, Athlon FX, Athlon X2, Sempron 64, Turion et Opteron. Intel a par la suite adopté cette architecturepoursesprocesseursrécentsdetypepentium4,pentiumd,pentiumextremeedition, CeleronD,etXeon. Politique de publication des paquets Lesmisesàjoursontcomposéesdepaquetsdépendantslesunsdesautres.Avanttoutepublicationsurle sitederéférence dijon.fr/eoleng etsurlesmiroirsacadémiques(ex.: ftp://ftp.crihan.fr),les paquetssontcopiéssurledépôthttp://test eoleng.ac dijon.fr.cedépôtestréservéauxdéveloppeursetaux contributeurs. Ledélaidesynchronisationdespaquetsentreles2dépôtsvarieenfonctiondutypedepaquet: eole 2.x dev:synchroniséenpermanence; eole 2.x proposed:synchronisationdeuxfoisparjour; eole 2.x updates/eole 2.x security:synchronisationmanuelleavecannoncepréalable; eole 2.x:aucunemodificationsurcedépôt. EOLE( Administrationd'unmoduleEOLE 150

151 6 Le contrôleur de domaine et le serveur de fichiers Scribeestuncontrôleurdedomaineprincipal(PDC)detypeWindowsNT.Celasignifiequ'ilpermetune authentificationcentraliséedesouverturesdesessionsurlespostesclientsetqu'ilfournitunensemblede partagesauxutilisateurs(dossierpersonnel,dossierdegroupes,partagescommuns,d'icônes,etc.). Scribeintègrelesnotionsdeprofesseuretd'élève.Lesdroitsd'accèssontdifférentssuivantlesgroupes auxquelsl'utilisateurappartient.globalement,unprofesseuraplusdedroitsqu'unélève.ilaégalementàsa dispositiondesoutilsluipermettantd'interagiraveclesélèves(observation,blocage,distributiondedevoirs, etc.) Les partages Partages standards Surleserveur,chaqueutilisateurdispose: Administrationd'unmoduleEOLE d'unrépertoirepersonnel; dupartagecommun. Spécifiquement,lesélèvesdisposent: d'undossier groupes contenantlespartagesdelaclasse,desgroupesetdesoptionsdontilest membre; Spécifiquement,lesprofesseursdisposent: d'un dossier groupes contenant les partages des groupes, des équipes pédagogiques et des matièresdontilestmembre: dupartageprofesseursdanslequelsetrouvel'outilgestion postes(observation,diffusion, blocageréseauetdistributiondedevoirs). Spécifiquement,lespersonnelsadministratifsdisposent: d'undossiergroupescontenantlespartagesdesgroupesetdesservicesdontilestmembre: Personnalisation de la configuration des partages LefichierdeconfigurationdeSamba/etc/samba/smb.confestgénéréàpartirdesinformationscontenuesdans l annuaire. Il est toutefois possible de forcer la configuration d'un partage en plaçant l'intégralité de la section [<partage>]désiréedansunfichiernommé:/usr/share/eole/backend/conf/<partage>.conf Les fichiers possédant l'extension.conf et contenus dans le répertoire /etc/samba/conf.d/ sont automatiquementprisencompte. EOLE( 151

152 Le mode invité Certainesconfigurationsoulogiciels(exemple:wpkg)nécessitentdeparamétrerdespartagesenmodeinvité (guestok=yes). Celan'estpossiblequesilemodeinvitéaétéactivédansl'ongletSambadel'interfacedeconfigurationdu module(enmodeexpert) Fonctionnalités diverses Corbeille Samba Pardéfautlorsquel'onsupprimeunfichierdepuisunpartageSamba,ilestdirectementsupprimé. Dansl'ongletSambadel'interfacedeconfigurationdumodule(enmodeexpert),ilestpossibledeparamétrer Sambapourquelesfichierssuppriméssoientdéplacésdansunrépertoire"corbeille". Le nom proposé par défaut (.corbeille) définit un répertoire qui sera masqué pour les utilisateurs. Il est possiblederendrecerépertoireaccessibleenluidonnantunautrenom(exemple:corbeille). Laduréedeconservationdesfichierssupprimésestégalementparamétrable. Administrationd'unmoduleEOLE Remarque Les fichiers déplacés dans la corbeille sont inclus dans le calcul de l'espace disque occupé par l'utilisateur.pourlimiterlesdépassementsdequotadisque,ilestconseillédeparamétrerunedurée deconservationassezcourte Anti-virus temps réél Afindelimiterlapropagationdesvirusàtraversleréseau,ilestpossibled'activerunesurveillanceanti virus tempsréelsurlespartages. Elleestactivabledansl'ongletSambadel'interfacedeconfigurationdumodule(enmodeexpert). Laduréedeconservationdesfichiersmisenquarantaineestégalementparamétrable. Lesfichiersenquarantainesontdéplacésdanslerépertoire/var/virus Surveillance des quotas disque Dansl'onglet Samba del'interfacede configurationdumodule(enmodeexpert), ilestpossibled'activer l'envoid'uncourrielàunutilisateurdanslecasoùcelui cidépassesonquotadisque. Ilfautbiensûrquel'utilisateuraituneadressedecourrielvalidedéfiniedansl'annuaire. EOLE( 152

153 7 L'administration des listes de diffusion 7.1. Présentation SurScribe,lelogicieldegestiondelistesdediffusionSympa*(version>=5.2)estpréinstalléetconfiguréde manièreàs'intégrertotalementaumodule. DelamêmemanièrequelesystèmedemessageriedeScribe,legestionnairedelistesdediffusionsgère deuxdomaines: undomaineinternet,dutypeetablissement.ac acad.fr; undomainerestreintdutypei etablissement.ac acad.fr. Pardéfaut,l'utilisateuradminestl'administrateurdel'applicationSympaetlepropriétairedetoutesleslistes. Administrationd'unmoduleEOLE 7.2. L'interface web L'interface web (wwsympa.fcgi) estconstituéd'uneinterfaceprincipale,pourledomaineinternet etd'une interfacesecondaire(robot),pourledomainerestreint.ellessontaccessiblessurlesadressessuivantes: acad.fr etablissement.ac acad.fr Al'heureactuelle,lesinterfacesSympanesontaccessiblequevial'adresseprivéeduScribe. Chacunedisposedesapropreinterfaced'administration. Ilestégalementpossibledecréerdeslistesdediffusionafind'yinscriredespersonnesextérieures. Ainsiilestenvisageabledecréerdeslistesdetoutessortes(projetlocaux,passionnésdekayak,etc.). EOLE( 153

154 7.3. Les listes automatiques Laplupartdesgroupescréésparl'extractionoul'EADsevoientassocierunelistedediffusiondumêmenom surledomaineinterne. Ceslistessontcrééesautomatiquementetlesabonnésdelalistedediffusionsontsynchronisésavecceux dugroupeldaptouteslesdeuxheures. Unindividun'estdoncpasinscritàlalisteimmédiatementaprèssonaffectationaugroupe. La synchronisation LDAP implique que la liste des abonnés à la liste n'est pas modifiable via l'interface Sympa. Leslistesprofesseursetélèvessontobligatoirementprésentes. Pourqu'unprofesseurapparaisse,ilestimpératifquesonadress personnaliséesoitremplieouqu'il possèdeuneboiteauxlettreslocale. Voiraussi... >cf"groupesetutilisateurs",page Les listes manuelles Administrationd'unmoduleEOLE L'applicationpermetdecréer"manuellement"deslistestotalementindépendantesdel'annuaireLDAP. LesmembresdeceslistessontalorsstockéesdanslabaseMySQLdeSympa. Cettepossibilitéestutiledanslecasoùl'onsouhaitegérerunelistedediffusionimpliquantdespersonnes extérieuresàl'établissementparexemple. Création de liste manuelle 1. seconnecteràl'interfacedudomainesouhaitéaveclecompte"admin"; 2. cliquersurl'onglet"créationdeliste"; 3. choisirlenomdelalisteetbienréfléchirau"typedeliste"désiré; 4. saisirl'objetetladescriptiondelalisteainsiquesacatégorie(engénéral"groupesdetravail" ou"autre"); 5. envoyerlademande; 6. lebouton"admin"dumenudegauchepermetensuited'accéderàlagestiondesabonnés. Voiraussi... >cf"lalistededistributionsympa",page325. EOLE( 154

155 8 L'interface CUPS CUPS(CommonUNIXPrintingSystem)fournituneinterfacewebpourfaciliterl'installationetlagestiondes imprimantessurleserveur. Cetteinterfaceesttotalementaccessibleauxutilisateursroot,<nomdumodule>,adminetauxutilisateursdu goupeprintoperators.surscribe,elleestenaccèsrestreintpourlesprofesseurs,identiqueàcelleproposées dansl'interfacesimplifiéedel'ead. CUPSestleserveurd'impressionintégréàlasolutionEOLE. Nousneverronsiciquelapartieserveurdelaconfigurationdesimprimantes Création de l'imprimante Ajouter une nouvelle imprimante Dansl'EAD,lemenuImprimantes/Imprimantes/CUPSouvrel'interfacedeconfigurationCUPSdans unenouvellefenêtre. Administrationd'unmoduleEOLE Cliquerdanslafenêtreleboutonajouteruneimprimante. Ilestnécessairedes'identifieravecunutilisateurroot,<nomdumodule>,adminouappartenantaugroupe PrintOperators. Écran106AjouteruneimprimanteCUPS Ilsuffitalorsd'indiquerunnom(généralementlenomdel'imprimante),unlieu(généralementlenomdela salle) et une description (généralement les caractéristiques de l'imprimante: A4, recto verso, noir et blanc/couleur...).puiscliquersurpoursuivre. EOLE( 155

156 Écran107DescriptiondelanouvelleimprimanteCUPS Choix du matériel Ilyatroisgrandstypesd'imprimantes: lesimprimanteslocales(avecunportusb,parallèle,...); lesimprimantesréseaux; lesimprimantespartagéessurunposteclientwindows. i - Administrationd'unmoduleEOLE Les imprimantes locales SeuleslesimprimantesUSBsontreconnuesdirectementparlesystème.Pourlesimprimantessurleport parallèle,leportsérie,scsi,ilsuffitdechoisirle"matériel"correspondantetdeleconfigurer. ConsulterladocumentationCUPSencasdedoute. Écran108MatérielpouruneimprimantelocaleCUPS ii - Les imprimantes réseaux Ilexisteungrandnombresdeprotocolesréseauxpourlesimprimantes:AppSocket/HPJetDirect,Internet PrintingProtocol(httpouipp).Généralement,lesimprimantesréseauxsontcapabledefaireduJetDirect.En casdedoute,sereporteràladocumentationdel'imprimante. EOLE( 156

157 Imprimante compatible JetDirect Choisirlematériel"AppSocket/HPJetDirect"etpoursuivre.IndiquerensuiteuneURIdumatérieldu type: socket:// :9100 Écran109MatérielpouruneimprimanteréseauCUPS Les imprimantes partagées sur un poste client Windows iii - Créationd'unpartaged'imprimantesousWindows XP Administrationd'unmoduleEOLE Nouspartonsduprincipequel'imprimanteestfonctionnellesurleWindows. Remarque Il est possible d'accéder directement à l'imprimante du poste sans passer par le serveur. Cette documentationnetraitepasdececas. Dans le menu Windows Démarrer/Imprimantes et télécopieurs cliquer droit sur votre imprimanteetchoisirpartager... Écran110PartageruneimprimantesousWindows Ilsuffitalorsdecocher partagercetteimprimanteetdedonnerunnomdepartage. EOLE( 157

158 Administrationd'unmoduleEOLE Écran111PartagercetteimprimanteWindows Enfin,dansl'onglet Sécurité,supprimertouteslesautorisationsaux autresgroupes etutilisateurs que Administrateurs.Cegroupedevantavoirtouteslesautorisations. EOLE( 158

159 Administrationd'unmoduleEOLE Écran112Choixdesdroitsdupartagedel'imprimanteWindows ConfigurationdeCUPS Ilsuffitdesélectionnerlematériel"WindowsPrinterviaSamba"etpoursuivre. L'URIdumatérielestdutype: rdc1/epson_740 Écran113MatérielpouruneimprimanteCUPSpartagésousWindows Remarque Lorsdelamodificationdel'imprimante,l'URIn'afficherapluslenomdel'utilisateuretlemotdepasse. Ilseranécessairedelere indiquer. EOLE( 159

160 8.2. Choix du pilote Ilexistedeuxcatégoriesdechoixpourlespilotesd'impression. utilisationdupiloteclientwindows; utilisationdupilotecups. Avantages et inconvénients des solutions Lepiloteclientestpluscompliquéàmettreenplaceetdiffèresuivantlesconstructeurs.Parcontre,lepilote estparfoispluscompletquelaversionserveur.cettesolutionneconcernequewindows. LepiloteCUPSestplussimpleàmettreenplace.Ilestparticulièrementadaptéauxréseauxhétérogènes. Parcontre,lespilotesnesontsouventpasécritsdirectementparlesconstructeurs Utilisation des pilotes clients Windows ConfigurationdeCUPS Danslalistedesmarques,choisir"Raw"quelquesoitlemodèledel'imprimanteet"RawQueue"comme modèle. Danscecas,CUPSenvoiedirectementlesdonnéesàl'imprimantesanslestraiter. Administrationd'unmoduleEOLE Écran114DriverRawpourl'imprimanteCUPS EOLE( 160

161 Écran115DriverRawpourl'imprimanteCUPS InstallationdupiloteWindows Administrationd'unmoduleEOLE Cette étape est importante. Elle permettra aux différents postes utilisateur de récupérer les pilotes d'impressionpourpouvoirimprimerlesdocuments. L'installationseferadepuisunposteclientWindowsintégréaudomaine.Ilfautvousmunirdupilotefournipar leconstructeurdel'imprimante. Commencer par se connecter à un poste Windows en "admin" ou un utilisateur appartenant au groupe PrintOperators. Dans un navigateur de fichiers aller sur le partage du serveur: \\<nom du serveur> puis choisir "imprimantesettélécopieurssur...". Cliquerdroitetchoisirpropriétés. Écran116Propriétédel'imprimantesousWindows Répondrenonàlaquestion"Voulez vousinstallerlepilotemaintenant". EOLE( 161

162 Écran117Annulationdel'installationdespilotes Ilestalorspossibledechoisirunpilotedéjàprésentsurleserveuroud'installerunnouveaupilotedans l'onglet"avancé"danslasection"pilote". Administrationd'unmoduleEOLE Écran118Nouveaupiloted'impressionWindows EOLE( 162

163 Attention Il se peut que Windows change le nom de l'imprimante à cette étape. Vérifier que le nom correspondentpasàcequevoussouhaitez. Remarque Dans l'onglet "Partage" il est possible d'installer des "Pilotes supplémentaires..." pour les autres versionsdewindows Utilisation des pilotes CUPS ConfigurationdeCUPS Danslalistedesmarques,choisirlamarquedevotreimprimante,puispoursuivre.Enfin,choisirlemodèlede votreimprimante. Administrationd'unmoduleEOLE Écran119Marque/FabriquantdelanouvelleimprimanteCUPS EOLE( 163

164 Écran120Modèle/Pilotedel'imprimanteCUPS Sivousnetrouvezpasvotrematérieldanslalistepardéfaut,ilestpossiblederecherchersonimprimantesur lesitedecups: InstallationdupiloteWindows LorsquelespilotessontinstalléssurCUPS,ilestnécessairedeconfigurerleposteclientavecdespilotes PostScript. Administrationd'unmoduleEOLE Il existe plusieurs pilotes PostScript. Dans cette documentation nous utiliseront les pilotes PostScript Microsoft.Celanes'appliqueraquepourlesversionsdeWindowssupérieursouégalesà2000. SivousutilisezencoredesversionsdeWindowsinférieurs,ilvousfaudra,parexemple,lespilotesPostScript proposésparadobe. IlfautcommencéparrécupérerlespilotesPostScriptMicrosoft. Les pilotes d'impressions PostScript Microsoft se trouve dans le répertoire suivant de Windows XP: %WINDIR%\SYSTEM32\SPOOL\DRIVERS\W32X86. Ilvautfaudralesfichierssuivant: ps5ui.dll pscript5.dll pscript.hlp pscript.ntf Cesfichierssontàcopiersurleserveur,enroot,danslerépertoiresuivant: /usr/share/cups/drivers/ Enfin,ilfautassocierlespilotesCUPSauximprimantes. PourassocierlespilotesCUPSàuneimprimante,ilfauttaperlacommandesuivante: cupsaddsmb v Hlocalhost Uadmin<Epson_740> <Epson_740>étantlenomdel'imprimantedéfinitdansl'interfaceCUPS. EOLE( 164

165 9 La gestion des onduleurs LelogicielpréconisépourlagestiondesonduleursestNUT(NetworkUPSTools).Ilestcapabledegérerun grandnombred'onduleurs Configuration Présentation Sur les modules EOLE, le service à utiliser s'appelle NUT. Le répertoire contenant ses fichiers de configurationest/etc/nut.iln'yapasdefichiersdeconfigurationfournispardéfaut. Attention Lesfichiersdeconfigurationdoiventêtreaccessibleenlecturepourl'utilisateurnut. Truc & astuce Les fichiers d'exemple fournis dans /usr/share/doc/nut/examples peuvent être utilisés comme configurationdebase. Administrationd'unmoduleEOLE EOLE( 165

166 Lesonduleurssurportsérie Lefichier/etc/nut/ups.confindiquecommentestbranchél'onduleuretqueldriverdoitêtreutilisépourlegérer. Soncontenuseradoncàadapterselonlemodèleetlafaçondontestbranchél'onduleur. [eoleups] #exemplepourlesonduleursapcaveccâblesérie driver=apcsmart port=/dev/ttys0 Sil'onduleurestbranchésurleportsérie(engénéral:/dev/ttyS0),ilfautenadapterlesdroits: chgrpnut/dev/ttys0 Afin que cette modification soit appliquée à chaque redémarrage, il faut ajouter à udev un fichier de configuration/etc/udev/rules.d/91 permissions.rulescontenant: KERNEL=="ttyS0",GROUP="nut",MODE="0660" LesonduleurssurportUSB LesonduleursUSBsontdétectésautomatiquementavecledriverusbhid ups. Lefichier/etc/nut/ups.confsuivantfonctionnerapourlaquasi totalitédesonduleursbranchéssurleportusb. [eoleups] driver=usbhid ups port=auto Administrationd'unmoduleEOLE Ilfautinstallerledriverssupplémentaires:apt getinstallnut usb. Contrôledesaccès Le fichier Lefichier/etc/nut/upsd.confdéfinitlafaçondontlelogicielacceptelesconnexions: #exempledeconfigurationlocale ACLall / ACLlocalhost /32 ACCEPTlocalhost REJECTall Attention Danslefichierd'origineetdanslesexemples"all"estnoté" /0". Celanefonctionnepasavecl'instructionACCEPT,pourlaquelleilfautbienspécifier" / ". EOLE( 166

167 Lefichier/etc/nut/upsd.usersdécritlesutilisateursautorisésàgérerlelogiciel: [admin] password=mypass#àmodifier allowfrom=localhost actions=set instcmds=all [monuser] password=pass#àmodifier allowfrom=localhost upsmonmaster Le fichier /etc/nut/upsmon.conf définit l'utilisateur autorisé à surveiller l'onduleur ainsi que la commande a exécuterlorsqueleserveurdoitêtrearrêté. MONITOReoleups@localhost1monuserpassmaster SHUTDOWNCMD"/sbin/shutdown hnow" Remarque Danscetexemple,nousavonsutiliséeoleupspourdésignerl'onduleur. Cenomaétéchoisiarbitrairement. Administrationd'unmoduleEOLE Il ne doit contenir que des chiffres ou des lettres en minuscules: [a z][0 9] sans espaces, ni caractèresspéciaux. Finalisationdel'installation Afinqueleservice nut démarrecorrectement,ilestnécessairequelesoptionssuivantessoientmisesà "yes"danslefichier/etc/default/nut: #startupsd START_UPSD=yes #startupsmon START_UPSMON=yes Leservicenutpeutêtreredémarréaveclacommandesuivante: /etc/init.d/nutrestart Pardéfaut,leserviceestbienlancéau(re)démarrageduserveur,lacommandesuivantepeutêtreutiliséesi nécessaire: /usr/sbin/update rc.dnutdefaults Attention Lefichier/etc/default/nutestsusceptibled'êtreécrasélorsd'unemiseàjourcontenantlepaquetnut. PréférerutiliserlesprocéduresEOLEavecunedictionnairelocaletdetemplatedefichier. Surveillancedel'onduleur Ilestpossibledesurveillerl'onduleurgrâceàZéphir. Pourcela,ilfautredémarrerleservicez_statsaprèsavoirconfiguréNUT.Lesagentsdétectentlaprésence del'onduleuretl'observationsemetenplaceautomatiquement. Pourstopperlasurveillancedel'onduleur,ilestnécessairedesupprimerlesfichiersdeconfiguration. Voiraussi... >cf"personnalisationduserveuràl'aidedecreole",page198. EOLE( 167

168 9.2. Clients supplémentaires Certainsonduleurssontassezpuissantspouralimenterplusieursmachines.NUTpermetd'installerplusieurs clientssurlemêmeonduleur.danscecas,unemachineauralecontrôledel'onduleur(lemaitre/master)et en cas de coupure, lorsque la charge de la batterie devient critique, indiquera auxautres machines (les esclaves/slave)des'éteindreavantdes'éteindreluimême. Pourajouterdesesclavesilfaut: paramétrerleserveurmaitrepourqu'ilacceptecesserveursesclaves; paramétrerlesesclavespourleurindiquerleserveurmaitre. Configurationduserveurmaitre Ilfautautoriserl'accèsauxautresmachines: endéfinissantuneacldanslefichier/etc/nut/upsd.conf: ACLclient1IP_SERVEUR_ESCLAVE/netmask ACCEPTclient1 "client1"estunnomchoisiarbitrairementpourl'acl; enautorisantl'acldanslefichier/etc/nut/upsd.users: [monuser] password=pass allowfrom=localhostclient1 upsmonmaster Administrationd'unmoduleEOLE "allowfrom":autoriselenouveauclientclient1 Configurationduserveuresclave Surunserveuresclave,seullefichier/etc/nut/upsmon.confnécessiteunemodification.Ildoitcontenir: "slave":indiquequ'ils'agitd'unclientexterne. EOLE( 168

169 9.3. Configuration d'un second onduleur Sile serveurdisposede plusieursalimentations,il est possible delesconnecter chacune à unonduleur différent.cependantsilesonduleurssontdumêmemodèleetdelamêmemarque,ilfautajouterdequoi permettreaupilotenutdelesdifférencier. Cettedifférenciationsefaitparl'ajoutd'unecaractéristiqueuniquepropreàl'onduleurdanslaconfigurationde celui cidanslefichier/etc/nut/ups.conf.cescaractéristiquesdépendentdupiloteutilisé,lapage mandupilote vousindiqueralesquellessontdisponibles. Afinderécupérerlavaleurilfaut: neconnecterqu'unseulonduleur; leparamétrercommeindiquédanslasectionprécédente; grep<nom_variable>; débrancherl'onduleur; brancherl'onduleursuivant redémarrernut/etc/init.d/nutrestart exécuterànouveaulacommandepourrécupérerlavaleurdelavariable. Administrationd'unmoduleEOLE Exemple PourdeuxonduleursMGE,reliésàunserveurScribeparcâbleUSB,ilestpossibled'utiliser"serial": grepserial driver.parameter.serial:av4h4601w ups.serial:av4h4601w Pourobtenirlaconfigurationsuivante: [eoleups] driver=usbhid ups port=auto serial=av4h4601w [eoleups2] driver=usbhid ups port=auto serial=av4h4601x 9.4. Commandes utiles testd'uneinstallationsansdémarrerleserviceupsd:upsdrvctlstart; testdel'arrêtduserveursansavoiràattendrequelabatteriesoitvide:upsmon cfsd; pourlaconfigurationdel'onduleur); modifier la configuration: upsrw (où "eoleups" est un nom choisi arbitrairementpourlaconfigurationdel'onduleur). EOLE( 169

170 9.5. Quelques références Siteofficiel: Listedesonduleursreconnus: Ilestégalementpossibled'utiliseruneinterfacewebpoursurveillersononduleur: EOLE( Administrationd'unmoduleEOLE 170

171 Diagnostic d'un module EOLE 1 La commande diagnose Lorsdelamiseenœuvred'unmodule,unoutildediagnosticpermetdevaliderquelaconfigurationinjectée vialesétapesd'adaptationetd'instanciationestcorrecteetfonctionnelle. Diagnosticd'unmoduleEOLE VIII lacommandediagnosevalidedonclespointsclésdelaconfigurationdesservices. L'étatdesservicesestindiquéclairementparuncodecouleurvert/rouge. EOLE( 171

172 Diagnosticd'unmoduleEOLE Lespointsimportantsdel'étatduserveursontvérifiés: laversiondumoduleinstallé; laconnectiqueréseauetsaconfiguration; l'étatdesprincipauxservices. S'il apparait que certaines sections seraient en erreur, il faudrait revoir le fichier de configuration /etc/eole/config.eol,etreconfigurerleserveur. EOLE( 172

173 2 Le diagnose, mode étendu Silediagnosticprécédentn'estpassuffisantpourcomprendrel'éventuelleerreurdétectée,unmodeétendu permetd'obtenirplusd'informations. Pourcela,taper: diagnose L Diagnosticd'unmoduleEOLE Lepremierécrandétaillel'aspectmatérielduserveur. Ledétaildesdisquesreconnus,leurpartitionnement,etletauxd'occupationdespartitionsestaffiché. Lenomdumodule,ainsiquelesversionsdelasolutionsontaffichésàtitreindicatif. EOLE( 173

174 Diagnosticd'unmoduleEOLE L'étatdesmisesàjourestensuitedéterminé.Sicommeici,ilenexiste,ilestconseillédelesinstallerpour vérifiersileproblèmerencontrén'estpascorrigéparl'unedecelles ci. lalistedesdernièresactionsréaliséessurleserveurestaffichée(miseàjour,reconfigure,etc.). EOLE( 174

175 Diagnosticd'unmoduleEOLE Enfin,onretrouvel'affichagestandarddel'outil. Voiraussi... >cf"lacommandegen_rpt",page299. EOLE( 175

176 Reconfiguration d'un module EOLE 1 Reconfigure Suiteàundiagnosticréaliséaveclacommandediagnose,àdescorrectionsdansleparamétrageousuiteà unemiseàjour,ilestnécessairedereconfigurerleserveur. Onréalisecetteopérationaveclacommandereconfigure,plutôtqu'aveclacommandeinstance. reconfigure est la commande à lancer pour appliquer un changement de configuration (par exemple, le changementd'adressageip)ou,siaumoinsunpaquetaétémisàjour(automatiquesilamiseàjourest lancéeparl'ead). Reconfigurationd'unmoduleEOLE IX AvecMaj Auto,unmessageorangeindiques'ilestnécessairedelancerreconfigure. Cettecommande: ré appliquelesidtrouvédansl'annuairesurhorusetscribe; supprimedespaquets(utilisépourlesnoyauxnotamment); exécutelesscriptspre/postreconf; metàjourlesvaleurspardéfautdesdictionnaires; recréé"admin"s'iln'apasététrouvé(scribeethorus); copie,patchetrenseignelestemplates; contrôle la version du noyau en fonctionnement et demande un redémarrage si ce n'est pas la dernièreversion(rebootautomatiquesimiseàjourparead); relancelesservices. Remarque II est à noter que la commande [instance] prend comme argument le fichier de configuration à exploiter ([instance zephir.eol]). Il génère un fichier /etc/eole/config.eol s'il existe déjà, un avertissementapparait). Desoncoté,[reconfigure]exploitelefichier/etc/eole/config.eol. Ilconvientdoncderéaliserlesmodificationssurcefichierenutilisantl'interfacedeconfigurationdu module. EOLE( 176

177 2 Pourquoi reconfigure au lieu d'instance Instance:estlacommandeàlanceràl'installationd'unnouveauserveur.Cettecommande: initialiselesmotsdepasse"root","<nomdumodule>"et"admin"; génèreunnouveausid; génèrel'annuaireetlesbasesmysqlsiinexistants; lancelesscriptspre/postinstance; copie,patchetrenseignelestemplates; (re)lancelesservices; contrôle la version du noyau en fonctionnement et demande un redémarrage si ce n'est pas la dernièreversion(rebootautomatiquesimiseàjourparead). Reconfigure : ré applique la configuration (exemple, après une mise à jour) ou des modifications de configuration(exemple,changementd'adresseip).cettecommande: ré appliquelesidtrouvédansl'annuaire; supprimedespaquets(exemplelenoyau); exécutelesscriptspre/postreconf; metàjourlesvaleurspardéfautdesdictionnaires; recréé"admin"s'iln'apasététrouvé; copie,patchetrenseignelestemplates; contrôle la version du noyau en fonctionnement et demande un redémarrage si ce n'est pas la dernièreversion(rebootautomatiquesimiseàjourparead); relancelesservices. Reconfigurationd'unmoduleEOLE Lorsd'unemiseàjourvial'EAD,reconfigureestlancéautomatiquement.Silamiseàjouraétéeffectuée surlaconsoleouviasshaveclacommande Maj Autounmessageorangeindiques'ilestnécessairede lancerreconfigure. Ilexisteplusieurscontre indicationsàl'utilisationdelacommandeinstancesurunserveurdéjàinstancié: attentionàl'annuairesurscribeethorus,instancepermetdelere générercequieffacetousles comptes utilisateurs et les stations intégrés au domaine. Une nouvelle extraction ne réglera pas forcémentleproblème; risquededésynchronisationdusid; lesscriptspre/postinstance/reconfiguresontdifférents; valeurspardéfautnonmisesàjour; reconfigureestautomatique,ilneposepasdequestion. EOLE( 177

178 X Creoleestunensembledeprogrammes,permettantlaconfigurationetlamiseàjourdesserveurs. Ce mécanisme automatisé inclut une procédure de patch ainsi que la possibilité de rajouter des spécifications: ajoutdevariable; modificationdefichiertemplatisé; templatisationdenouveaufichier. 1 Création de patch LesmodulesEOLEsontlivrésavecunensembledefichiersdeconfigurationplacésdans/etc/eole/distribet copiés vers leur emplacement de destination à chaque instance/reconfigure (Ex.: /etc/eole/distrib/my.cnfvers/etc/mysql/my.cnf). Cesfichiersdeconfigurationpeuventnepasconveniràvosbesoins.Danscecas,vouspouvezmodifierle contenudufichierdeconfigurationàl'aided'unpatch. Personnalisationduserveur Personnalisation du serveur à l'aide de Creole L'outils gen_patch vouspermetdegénérerfacilementunnouveaupatch.pourcefaireilvoussuffitde copierlefichierdeconfigurationdepuis /etc/eole/distrib vers /etc/eole/modif,dele modifieretde lancerla commandegen_patch. Sont concernés par la procédure de patch uniquement les fichiers déjà présents dans /etc/eole/distrib et référencésdanslesdictionnairesfournisparl'équipeeole. Pourlesautresfichiers,l'utilisationdedictionnaireslocauxetdetemplatespersonnalisésestrecommandée. Remarque Lerépertoire/etc/eolecontientlesrépertoiressuivants: distrib:templatesoriginauxfournisprincipalementparlepaquetconfd'unmodule; modif:endroitoùdoiventêtrecopiésetmodifiéslestemplatessouhaités; patch:fichierspatchgénérésàpartirdesdifférencesentrelesdeuxrépertoiresprécédents; template : templates finaux (i.e. templates originaux sur lesquels les patches ont été appliqués). EOLE( 178

179 Fonctionnement technique Leprogrammegen_patcheffectueundiffpourchaquefichierprésentdanslerépertoiremodif [diff unrdistrib/toto.confmodif/toto.conf>patch/toto.conf.patch] Lesprogrammesdetemplatisation(instanceetreconfigure)copientpuispatchentlesfichiersoriginauxavant detravaillerdessus [cp/etc/eole/distrib//etc/eole/template] [patch N</etc/eole/patch/toto.conf.patch] Procédure de patch Connectez vousenrootsurvotreserveureole. Copierletemplateoriginaldans/etc/eole/modif [cp/etc/eole/distrib/toto.conf/etc/eole/modif] Réaliserlesmodificationssouhaitées [vi/etc/eole/modif/toto.conf] Ajoutervosmodifications Sauvegarder Utilisation de Vi Utilisationdevipourl'édition Utilisation de variables de dictionnaire Il est possible d'utiliser la syntaxe Creole et des variables de dictionnaires (éventuellementdesdictionnairespersonnalisés). Personnalisationduserveur Lancerlacommandegen_patch [gen_patch] Patchtoto.conf.patchcréé Reconfigurerlamachine [reconfigure] EOLE( 179

180 Truc & astuce Pourdésactiverunpatch,ilsuffitdesupprimeroudéplacerlefichier.patchsetrouvantdans/etc/eole/ patch Ilestpossibled'ajouterdesdictionnairespourrajouterdesspécificationsd'unmoduleEOLEdebase. Ilestégalementpossibled'accompagnercesdictionnairesdefichiersdeconfigurationtemplatisés. L'intérêtétantderéunirl'ensembledesélémentsconfigurablesd'unmoduleauseindel'interfaceCreole. Templatiser un nouveau fichier Nous voulons templatiser le fichier toto.conf à l'aide des mécanismes Creole afin de rajouter l'adresse_ip_eth0(variableexistante)ainsiquel'adressedel'établissement(nouvellevariable). Ajouterundictionnairelocal Dans/etc/eole/dicos/local/ rajouterunfichier.xml <?xmlversion='1.0'encoding='utf 8'?> <creole> <files> <filename='/etc/toto.conf'/> </files> Personnalisationduserveur 2 Ajout de dictionnaires locaux <variables> <familyname="perso"> <variablename='nom_proviseur'type='string'description="nomduproviseur"/> </family> </variables> <constraints> <checkname='obligatoire'target='nom_proviseur'/> </constraints> <help> <variable name="nom_proviseur">nom du proviseur dans la page d'accueil du portail</variable> </help> </creole> Ajoutervotrefichiertemplatisé EOLE( 180

181 Notrefichiertoto.confseraplacédans/etc/eole/distrib/ Ilfautrajouterlesvariablesàl'aidedelasyntaxeCreole. exemple: l'adresse est %%adresse_ip_eth0 et l'adresse est % %adresse_etablissement adresse_ip=%%adresse_ip_eth0 Lenomduproviseur=%%nom_proviseur Entrezl'adressedel'établissement Tapez[gen_config/etc/eole/config.eol] Dansl'ongletPersorajoutezl'adressedel'établissement Enregistrez Reconfigurer Lemécanismedeconfigurationaécritvotrefichier/etc/toto.confaveclesvariables. Les variantes Zéphir Cette procédure décrit comment rajouter des spécifications locales. Dans le cadre d'un développement massif,lemodulezéphirproposeunmécanismedevariantessemblable. Personnalisationduserveur 3 Syntaxe XML Creole Un dictionnaire Creole contient un en tête XML et un corps contenu dans un nœud XML racine <creole></creole>. EOLE( 181

182 <?xmlversion='1.0'encoding='utf 8'?> <creole> <files> </files> <variables> </variables> <constraints> </constraints> <help> </help> </creole> Truc & astuce Ilesttoujoursintéressantderegarderdanslesdictionnairesprésentssurlemodulepourcomprendre les subtilités des dictionnaires Creole. Trouver une variable dont la définition correspond plus ou moinsàvosbesoinsetinspirezvousdecequiaétéfait. En têtexml L'en têteeststandardpourtouslesfichiersxml: <?xmlversion="1.0"encoding="utf 8"?> Ceten têteestnécessairepourquelefichiersoitreconnucommeétantauformatxml. Afind'éviterlesproblèmed'encodage,ilestconseillédecréerlefichiersurunmoduleEOLE(éditeursde textevi,nano,mc...) Fichierstemplatisés : <files> Desfichierspeuventêtretemplatiséspourutiliserlesvariablesdéfiniesdansl'interfaceCreole. Ilsdoiventêtreplacésdanslerépertoire/etc/eole/distrib/. Personnalisationduserveur Structure générale d'un dictionnaire XML Creole LesdescriptionsdesfichiersdoiventêtreplacéescommeenfantsdunœudXML<files></files>. Exemple <files> <filename="/etc/monprogramme/fichier.conf"/> <filename="/usr/share/hosts"source="hosts_bis"/> </files> EOLE( 182

183 leparamètrename(obligatoire)contientl'emplacementoùseracopiélefichier; leparamètresourcepermetd'indiquerlenomdufichiersourcedifférentdeceluidedestination; leparamètremodepermetdespécifierdesdroitsàappliqueraufichierdedestination; leparamètreownerpermetdeforcerlepropriétairedufichier; leparamètregrouppermetdeforcerlegroupepropriétairedufichier; sileparamètremkdirvauttrue,lerépertoiredestinationseracréésiiln'existepas(eoleng>=2.1). Eneffet,danslecasdesfichiers/etc/hostset/usr/share/hosts,leparserchercheralefichiers'appelanthosts dans/etc/eole/distrib/. Oronpeutvouloir2fichierssourcedifférents.Enutilisantleparamètre source,leparserirachercherle fichierhosts_bisdanslecasdufichieràcopierdans/usr/share/hosts. Danslepremiercas,letemplate/etc/eole/distrib/fichier.confserautilisé. Variables : <variables> L'ensembledesvariablessontdéfiniesdansunnœud<variables></variables>. Lesvariablessontregroupéesdansdesfamilles. Familles : <family> Un conteneur famille permet d'avoir des catégories de variables. Celle ci correspond à un onglet dans l'interface. ParexempleunefamileSquidpourgérertouteslesvariablesrelativesaSquid. leparamètrename(obligatoire)estàlafoislenometl'identifiantdelafamille; leparamètremodepermetdedéfinirunecatégorieavancée(mode='expert'); leparamètrehiddenindiquesilafamilledoitêtreaffichéeounon,savaleurpouvantêtremodifiéevia unecondition(voirplusbas). Variables : <variables> UnevariablecontientunedescriptionetoptionnellementunevaleurEOLEpardéfaut. Lesvariablespeuventêtreàvaleuruniqueoumulti valuées. Attributs: Personnalisationduserveur l'attributname(obligatoire)estlenomdelavariable; l'attribut type (obligatoire)permetdeconstruireuntypeeoleavecdesvérificationsautomatiques (fonctionsdevérificationsassociéesachaquetypedevariable); l'attributdescriptionpermetdedéfinirlelibelléàafficherdanslesinterfacesdesaisie; l'attributmultipermetdespécifierqu'unevariablepourraavoirplusieursvaleurs(parexemplepourun DNS,onauraplusieursadressesIPdeserveursDNS); l'attribut hidden indique si la variable doit être affichée ou non (on peut par exemple souhaiter masquerdesvariablesdontlavaleurestcalculéeautomatiquement). Variable simple <variablename='variable1'type='ip'description='variablesimple'/> <variable name='variable2' type='netmask' description='variable simpleavecvaleurpardéfaut'><value> </value> </variable> EOLE( 183

184 <variable name='multi1' type='string' description='variable multiple simple'multi='true'/> <variablename='multi2'type='ip'description='variablemultipleavec plusieursvaleurspardéfaut'multi='true'> <value> </value> <value> </value> </variable> Séparateurs : <separators> Les séparateurs permettent de définir des barres de séparation au sein d'une famille de variable dans l'interfacedeconfiguration. Lesséparateursdéfinisdansundictionnairesontplacésdanslenoeudxml<separators></separators> Défintion du séparateur "Paramètres réseau globaux" dans l'interface de configuration amon dans la famille général <separators> <separatorname='type_amon'>paramètresréseauglobaux</separator> </separators> l'attributnamecorrespondaunomdelavariablesuivantleséparateur(icileséparateursetrouve avantlavariabletype_amon); ladescriptionsetrouveentrelesdeuxbalises<separator></separator>c'estellequiseraaffichée. Contraintes : <constraints> Desfonctions(contraintes)peuventêtreutiliséepourtester/remplir/grouper/conditionnerdesvariables. L'ensemble des contraintes d'un dictionnaire se placent à l'intérieur d'un nœud XML <constraints></constraints>. Calculautomatique<fill> Personnalisationduserveur Variable multivaluée Exemple <constraints> <fillname='calc_network'target='network_eth0'> <paramtype='eole'name='ip'>ip_eth0</param> <paramtype='eole'name='mask'>netmask_eth0</param> </fill> </constraints> EOLE( 184

185 Renseigneautomatiquement(parlecalcul)unevaleurpardéfautàunevariable. Icioncalculenetwork_eth0àpartirdeip_eth0etdenetmask_eth0enutilisantlafonctioncalc_network. N.B:Lesfonctionsutiliséesdoiventêtredéfiniesdanslefichiereosfunc.pyouajoutéesdanslesfonctions personnalisées. Calculautomatiquenonmodifiable : <auto> Renseigneautomatiquement(parlecalcul)lavaleurd'unevariable. Exemplesd'utilisation:adresseIPenmodedhcp... Descriptiondesfonctions Exemple <fillname='calc_network'target='network_eth0'> <paramtype='eole'name='ip'>ip_eth0</param> <paramtype='eole'name='mask'>netmask_eth0</param> </fill> Lescontraintesfill,check,conditionpermettentd'appeleruneoudesfonction(s)delalibrairieeosfunc.py. Ellessontconstruitesdelamanièresuivante. l'attributnamedelacontraintescorrespondaunomdelafonction(danseosfunc.py); l'attributtargetcorrespondàlavariableconcernéeparlacontrainte; l'attributparamcorrespondauxparamètrespassésàlafonction. Descriptiondelabaliseparam: Siilyaunattributname,c'estunparamètrededictionnaire(keywordargs) Siiln'yapasd'attributname,c'estunparamètresimple(args) Siilyaunattributtype: eoleleparamètreestlavaleurd'unevariabledudictionnaire.siilyaunattributoptional='true',le paramètreestignorésilavariablen'existepas; python,leparamètreestleretourducodepythonindiqué; l'attribut optionnal='true' indique que le paramètre sera ignoré si une exception se produit à l'évaluation. Personnalisationduserveur Cettevaleurnepeutpasêtremodifiéeparl'utilisateuràladifférencedesfonctionsdecalculautomatique. Remarque L'usagedel'attributoptionalestréservéaufonctiondetypecondition Siunevariableréférencéeparunparamètren'existepasetqueoptional='True'n'estpaspositionné, Creolerenvoieuneerreurauchargementdudictionnaire. Dans le cas d'un paramètre de type python, il est possible d'accéder aux fonctions du module eosfuncdecreole(eosfunc.<nom_fontion>). IlfautégalementpenserquelorsdelasaisiedeconfigurationsurZéphir,cecodeseraexécutésurle serveurzéphir. Validation : <check> EOLE( 185

186 <constraints> <checkname='valid_entier'target='port_rpc'> <paramname='min'>0</param> <paramname='max'>65535</param> </check> <checkname="valid_enum"target="activer_programme"> <param>['oui','non']</param> </check> </constraints> Icionvalidelavaleurrenseignéepourport_rpcenvérifiantquec'estunentierentre0et Onvalidelavaleurdeactiver_programmeencontrôlantquesavaleurestcomprisedanslaliste['oui','non'], l'interfaceproposeautomatiquementunelistedéroulanteproposantcesdeuxchoix. Contrainteentrevariables : <condition> Exemple <conditionname='hidden_if_not_in'source='port_rpc'> <param>0</param> <param>7080</param> <target>ip_eth0</target> <targettype='family'>net</target> <targettype='file'>squid.conf</target> <targettype='filelist'>ldap</target> </condition> Icisilavariableport_rpcsiport_rpcn'apas0ou7080commevaleur,alorslavariableip_eth0etlafamille netserontcachées(paséditable). Personnalisationduserveur Exemple Lefichiersquid.confneserapasprisencompteainsiquelesfichiersdelafamilleLDAP. Lienentrevariables : <group> Ilestpossibledelierdesvariables(relationmaître esclavesoumaster slaves). silemasteraunevaleur,chacundesesslavesdoitenavoiruneaussi; si le master est multi valué (plusieurs valeurs, comme pour un DNS, paramètre multi dans la déclarationdevariable),lesslavesaussideviennentmulti valués(etdoiventavoirautantdevaleur queleurmaster). Oncréeainsidesgroupes. Exemple <groupmaster='adresse_ip_eth0'> <slave>adresse_netmask_eth0</slave> <slave>adresse_network_eth0</slave> </group> Aide : <help> EOLE( 186

187 Exemple <help> <variable name='adresse_ip_eth0'>adresse IP de la premiere carteréseau(ex: )</variable></help> Ilestpossibled'afficherdesaidesdansl'interface(affichéeausurvol). 4 Le langage de template Creole Définitionetutilisation Utilisation des variables du dictionnaire Creole LesvariablesdudictionnaireCreolesontaccessiblesenlespréfixantparun%%. SidansledictionnaireCreoleadresse_ip_eth0vaut etqu'onadansuntemplatesourcelecontenusuivant: blablabla%%adresse_ip_eth0blablabla Aprèsinstanciation,onalasortiesuivante blablabla blablabla Remarque Ilestpossibled'instanciermanuellementunfichierparticulieraveccreolecat siletemplatesourceestsource.txtetlefichierciblecible.txtalorsoninstancielefichierde lamanièresuivante: creolecat.py ocible.txsource.txt Siunevariableexistedansletemplateciblemaisqu'ellen'estdéfiniedansaucundictionnaireCreole, alorsleprocessusd'instanciationeststoppé. Personnalisationduserveur L'ensembledesaidesd'undictionnairedoiventêtredesenfantsdunœudXML<help></help> Il est possible dans le template de rendre optionnelle l'existence ou non d'une variable dans le dictionnaire: %if%%is_defined('adresse_ip_eth0')hello%endif is_definedpermetdeprendrecetteprécaution.l'instanciationdonneracommerésultat: hello siadresse_ip_eth0existedansledictionnairecreole,ouunfichiervidesinon. Ainsil'instanciationnes'arrêterapasetlefichiercibleseraquandmêmegénéré. Demême,siunevariablequin'existepasestdansunblockquin'estpastraité,alorscen'estpas bloquant: %if0==1 bla %%undefined_variable blabla %endif çadonnerasimplementaprèsinstanciationunblocvide EOLE( 187

188 La notation par item La notation par item est la notation entre crochets, par exemple pour accéder à l'item numéro 5 d'une variable,ilfautécrire: variable[5] Lavariabledoitêtremultivaluée.Dansledictionnairecréoleunevariableestmultivaluéesielleestdéclarée commeétantdetypemultiple,parexemple: etsiuntemplatealaformesuivante: blabla %%ip_adresse_eth0[2] blabla alorsl'instanciationdutemplatedonneracommerésultat: blabla blabla Remarque Ilnefaututilisercettenotationparitemquedanslecasoùunevariableestdéclaréecommeétant multivaluéedansledictionnairecreole. EOLE( Personnalisationduserveur ip_adresse_eth0=[' ',' ',' '] 188

189 LesdéclarationsdulangageCreole Creolefournitunlangagedetemplate.Ilestpossibledecréerdesboucles,destests,degérerleslignes optionnelles,dedonnerlapossibilitéderéaliserdesinclusionsrépétées...voicilesdéclarationsdebasede celanguage: exemple: %if%%size=='1500' c'estgrand %else c'estpetit %endif sidansledictionnairecréolelavariablesizevaut1500,alorslerésultatsera: c'estgrand autreexempledetestpluscomplexe: %if%%toto=='yes'and(%%titi!=""or%%tatanotin['a','b','c']): c'estcomplexe %endif La déclaration d'itération : for Syntaxe: %for%%iinexpression hello%%i %endfor Exemple: %for%%iinrange(4) compte%%i %endfor Personnalisationduserveur La déclaration de test : if syntaxe: %ifexpression code_if%else code_else%endif donneracommerésultat: compte0compte1compte2compte3 SiunevariableCreoleestmultivaluée,alorselleestitérabledansunebouclefor. Exemple: siip_adresse_eth0=['0.0.0.',' ',' ']dansledictionnairecreole, alorsilestpossibled'écriredansuntemplate: %for%%ipin%%ip_adresse_eth0 %%ip %endfor alorsletemplateinstanciéseradelaforme: Ilestpossibleaussid'accéderàl'index(lapostiondanslaliste)delavariableencoursdeboucle: %for%%ipin%%ip_adresse_eth0 l'indexde:%%ipest:%%ip.index %endfor EOLE( 189

190 Letemplategénéréseralesuivant: La notation pointée Sideplusunevariablecréoleestmultivaluéeetmaîtreunevariablemaitrealorsilestpossibledefaireappel àsesvariablesesclavesàl'intérieurdelabouclefor. Exemple: Si network et netmask sont esclaves de ip_adresse_eth0, alors il est possible d'appeler ces variablesennotationpointée. Parexemple:dansledictionnairecréolefigurentlesvariablessuivantes. ip_adresse_eth0estdonclavariablemaitre(lesdeuxautresendépendent),et: ip_adresse_eth0=[' ',' ',' '] network=['0.0.0','1.1.1','2.2.2'] netmask=['0.0','1.1','2.2'] letemplatesuivant: %%foripinip_adresse_eth0 %%ip,%%ip.network,%%ip.netmask %endif donneracommerésultat: ,0.0.0, ,1.1.1, ,2.2.2,2.2 La déclaration while Syntaxe:%whileEXPRcontenu %endwhile Exemple: Personnalisationduserveur l'indexde:0.0.0.est:0 l'indexde: est:1 l'indexde: est:2 %while%somecondition('arg1',%%arg2) Theconditionistrue. %endwhile La déclaration repeat Syntaxe:%repeatEXPR %endrepeat La déclaration unless %unlessexpr %endunless peutêtreutilesiunevariableestdansledictionnairecreolepour'''nepas'''executeruneaction: %unless%%alive dothis %endunless La syntaxe d'inclusion ilestpossibled'incluredesfichiersàl'aidedeladéclarationsuivante: EOLE( 190

191 %include"includefilename.txt" oubienàpartirdunomlongdufichieràinclure(lenomdefichierétanticirenseignédansunevariablecreole : %includesource=%%myparsetext effacementdesretourschariots %slurp exemple: %for%%iinrange(15) %%i %slurp %endfor donnera: suruneseuleligne(gobelesretourschariots) remarquonsquedanscecaslà,slurpn'estpasnécessaireetilestpossibled'écrireleendsanssauterde ligne: %for%%iinrange(15) %%i %endfor exemple2: %if%%dns_nameservers!=<nowiki>['']</nowiki> dns_nameservers%slurp %for%%name_serverin%%dns_nameservers%%name_server%slurp %endfor %endif # Personnalisationduserveur Trucs et astuces l'instruction'''if'''suruneseuleligne: %ifexpr1then"chaine1"else"chaine2" générera: dns_nameservertototiti# La déclaration spéciale "echo" une autre manière d'écrire ceci aurait consisté à appeler une méthode python directement à l'aide de l'instructionecho: %echo' '.join(range(15) cependant,ilestfortementdéconseilléd'insérerducodepythondansletemplatecible,étantdonnéquedes instructionsdetraitementpeuventêtreeffectuéeàlavalidationdesvariablesdudictionnairecréole. Sivousvoulezquelederniercaractèresoitun";"aulieud'un","voiciuneastucepratique: %for%%iinrange(len(%%adresse_ip_dns) 1) %%adresse_ip_dns[%%i],%slurp %endfor %%adresse_ip_dns[len(%%adresse_ip_dns) 1]; çavagénérer ip1,ip2,ip3,ip4; Divers EOLE( 191

192 Onveutgénérer: \\ma_machine\partage aveclavariable%%machinequivaut"ma_machine". \\%%machine\partagenefonctionnepascarlesantislashesannulentlavariable. Unedessolutionspossiblesestlasuivante: Autreexemple,onveutgénérer%%NetUse%% Onnepeutpasl'écriretelquelcarCreolecroiraqueNetUseestunevariableEOLE. Unedessolutionspossiblesestlasuivante: %echo"%%netuse%%\n" Mais dans le cas où il y a trop de % dans le template, il est possible de changer carrément de meta caractères,enajoutantunesectioncompiler settingsenen têtedutemplate,exemple: %compiler settings cheetahvarstarttoken=@@ directivestarttoken=@ %endcompiler settings l'attribut implicite "value" d'une variable Lanotationpointéeempêchel'accèsauxméthodesetattributdelavariable.Parexemple,pouravoiraccèsà la méthode startswith de la valeur de la variable (qui est de type string) il faut faire un % %variable_essai.value.startswith('/') etpasun %%variable_essai.startswith('/') La liste des variables d'un dictionnaire Ilestpossibledelisteretdoncd'utiliserlalistedesvariablesdudictionnaire. Pourlistertouteslesvariablesetleurvaleur: %for%%varin%%self.context Personnalisationduserveur %echo"\\\\" %%{machine}\partage %if%%self.context[%%var]!="" %%varestégalà%%self.context[%%var] %endif %endfor Cequirenvoie: ldap_loglevelis0 xinet_interbaseisoui active_bacula_sdisoui adresse_netwareis22 numero_etabis d ssoisnon sso_session_timeoutis7200 cups_loglevelisinfo activer_log_distantisnon [...] EOLE( 192

193 %for%%varin%%liste_variables_eole %if type(%%self.context[%%var.value])!= list and type(%%self.context[% %var.value])!=dict Scalaire%%var.valueestégalà%%self.context[%%var.value] %elif type(%%self.context[%%var.value]) == list and len(%%self.context[% %var.value])>=1 Liste%%var.valueestégalà%slurp %for%%iinrange(len(%%self.context[%%var.value]) 1) %%self.context[%%var.value][%%i],%slurp %endfor %%self.context[%%var.value][len(%%self.context[%%var.value]) 1] %endif %endfor Ce qui renvoie, par exemple, avec liste_variables_eole = ['ldap_loglevel', 'adresse_ip_dns']: Scalaireldap_loglevelestégalà0 Listeadresse_ip_dnsestétalà , Utilisation de fonctions prédéfinies dans les templates Ilestpossibled'accéderàdesfonctionsprédéfinies,provenantdumodule:eosfunc.py. Ellespeuventêtreutiliséesdansuntemplatedelamanièresuivante(exemple): blabla%%fonction_predefinie(%%variable)blabla Ajout de fonctions personnalisées Ilestpossibled'ajouterdeslibrairiesdefonctionspersonnaliséesdans:/usr/share/creole/funcsLeslibrairies doiventposséderl'extension.pyetcontenirdesfonctionspython,exemple: defto_iso(data): """encodeunechaineeniso""" try: returnunicode(data,"utf 8").encode("ISO ") except: returndata Personnalisationduserveur Sivoussouhaiteznetravaillerquesurcertainesvariables,vouspouvezdéfinirunevariablemultipledans votredictionnaire(ex:liste_variables_eole)etl'utiliserparexemplecommesuit: Remarque:Sivousdevezimportezdeslibrairiespythondansunfichierdefonctionspersonnalisées,neles importezpasendébutdefichier.lesimportsdoiventêtrefaitsdanslafonctiondecalculellemême. Parexemple: defwpkg_user_pass(user): try: fromcreoleimportparsedico dico=parsedico.parse_dico() except: print"erreurlorsduchargementdudictionnaire" sys.exit() returnuser+dico['numero_etab'] EOLE( 193

194 creolecat : utilisation avancée usage:: creolecat.py x <path>/eole.xml i <path>/zephir.eol o <path>/resultat.txttesttemplate.tmpl testtemplateestlefichieràinstancier. choix "oui" ou "non" Sivoussouhaitezdéfinirundictionnairepouruneapplicationquireprésenteleschoix'''oui/non'''delafaçon suivante: oui:0 non:1 pourquoipas:2 Ilvoussuffitdedéfinirlesvariablesdudictionnaireavecoui/non/pourquoipas. Dansletemplatedel'application,définissezunevariablecommesuit: %set%%ouinon={'oui':0,'non':1,'pourquoipas':2} Ilsuffitensuitede«résoudre»lesvariablesdudictionnairecommececi: ACTIVE_FOO=%%ouinon[%%appli_active_foo] Vouspouvezvousservirdecetteastucepourlerenvoisdevariabletrue/false EOLE( Personnalisationduserveur 194

195 5 Gestion des certificats SSL Lagestiondescertificatsaétéstandardiséepourfaciliterleurmiseenoeuvre. Ilssontdésormaisgérésparl'intermédiairedesoutilsCreole. Uncertainnombredecertificatssontmisenplacelorsdelamiseenoeuvred'unmoduleEOLE: /etc/ssl/certs/ca_local.crt:autoritédecertificationpropreauserveur(certificatsauto signés); /etc/ssl/private/ca.key:cléprivéedelacaci dessus; /etc/ssl/certs/acinfraeducation.pem:contientlescertificatsdelachaînedecertificationdel'éducation nationale(igca/education/infrastructure); /etc/ssl/req/<nom_serveur>.p10:requêtedecertificatauformatpkcs10,cefichiercontientl'ensemble desinformationsnécessairesàlagénérationd'uncertificat; /etc/ssl/certs/eole.crt : certificat serveur généré par la CA locale, il est utilisé par les applications (apache,ead2,eole sso,...); /etc/ssl/certs/eole.key:cléducertificatserveurci dessus. AprèsgénérationdelaCAlocale,unfichier/etc/ssl/certs/ca.crtestcrééquiregroupelescertificatssuivants: ca_local.crt ACInfraEducation.pem toutcertificatprésentdanslerépertoire/etc/ssl/local_ca Déterminationdunomdeserveur(commonName)danslecertificat Lenomdusujetauquellecertificats'appliqueestdéterminédelafaçonsuivante(importantpouréviterles avertissementsdanslesnavigateurs): silavariable ssl_serveur_name estdéfiniedansl'interfacedeconfigurationdumodule(onglet Certifs ssl >NomDNSduserveur),elleestutiliséecommenomdeserveurdanslescertificats; sinon, si un nom de domaine académique est renseigné, le nom sera : nom_machine.numero_etab.nom_domaine_academique (exemple: amon_monetab a.mon_dom_acad.fr); le cas échéant, on utilise Personnalisationduserveur Certificatspardéfaut : nom_machine.numero_etab.debut(nom_academie).min(ssl_country_name) (exemple:amon_monetab a.ac dijon.fr). Afind'éviterdesproblèmesdecompatibilitéaveccertainesapplications,lescertificatsdoiventêtreauformat PEM.Danslecascontraire,vouspouvezlesconvertiràl'aidedelacommandeopenssl. Exemple Conversiond'uncertificatauformatDER: openssl x509 inform DER outform PEM /etc/ssl/certs/mon_certif.der out/etc/ssl/certs/mon_certif.pem in EOLE( 195

196 Chemin des certificats Pourquelesservicesd'unmoduleEOLEutilisentuncertificatparticulier(parexemple,certificatsignéparune autorité tierce), il faut modifier deux variables dans l'onglet Certifs ssl de l'interface de configuration du serveuronglet(enmodeexpert): NomlongducertificatSSLpardéfaut(server_cert):chemind'uncertificatauformat PEMàutiliserpourlesservices; NomlongdelacléprivéeducertificatSSLpardéfaut(server_key):chemin Dansle casd'un certificat signé parune autorité externe,copier le certificat dela CA en question dans /etc/ssl/local_capourqu'ilsoitprisencompteautomatiquement(nonnécessairepourlescertificatsdel'igc nationale). Pourappliquerlesmodification,utilisezlacommande reconfigure.silescertificatsconfigurésnesontpas trouvés,ilssontgénérésàpartirdelacalocale. Obtentiond'uncertificatsignéparl'IGCdel'EducationNationale Etapesàsuivre: 1. récupérerlarequêteducertificatsituéedanslerépertoire/etc/ssl/req(<nom_serveur>.p10); 2. seconnectersurl'interfacewebdedemandedescertificatsetsuivrelaprocédure; 3. récupérerlecertificatdepuisl'interface(copier/collerdansunfichier); 4. copierlefichierdanslerépertoire/etc/ssl/certs. Attention SeulslesISR/OSRdesacadémiessontaccréditéspoureffectuerlesdemandes. EOLE( Personnalisationduserveur delacléprivéecorrespondante(éventuellementdanslemêmefichier). 196

197 6 Gestion des services Introduction Servicesconcernés Lesservicesnongérés:lesservicesnonréférencésdanslesystèmedegestiondesservicesdeCreolene sontjamaismodifiés. Ilsrestentdoncdansl'étatoùlespaquetsUbuntulesainstallésoudansceluiqueleuradonnél'utilisateur. LesservicesnongéréssontgénéralementlesservicesdebaseUbuntu(rc.local,gpm...)ettousceuxpour lesquelslemodulenefournitpasdeconfigurationspécifique(mdadm,nut,...). Les services désactivés: ces services seront systématiquement arrêtés (service stop) et désactivés (update rc.dremove)lorsdesphasesd'instanceetdereconfigure.lesservicesconcernéssontgénéralement liésàuneréponseà"non"dansl'interfacedeconfigurationdumodule. Lesservicesactivés:cesservicesserontsystématiquementactivés(update rc.ddefaults)et(re)démarrés (servicestart)lorsdesphasesd'instanceetdereconfigure.lesservicesconcernéssontceuxnécessairesau fonctionnementdumodule. Fichiersdeconfiguration Lefichierdeconfigurationprincipald'unmoduleestletemplate:/etc/eole/distrib/services Ildéfinitlalistedesservicesquelemoduledoitgérer.CertainssontconditionnésparuntestCreolequi permettradedéterminersileservicedoitêtreactivéoudésactivé. Unefoistemplatisé,cefichierseretrouvedans:/etc/sysconfig/eole/services/0_services.srv Des fichiers de services supplémentaires peuvent être ajoutés dans /etc/sysconfig/eole/services, avec l'extension".srv". Ilspeuventêtresoitajoutésdirectementpourajouterunouplusieursservicesàactiver,soitêtregénéréspar untemplate(exemple:2_sso.srv).siletemplatepossèdelemêmenomquelefichierdedestinationetqu'il contientdestestscreole,lesystèmed'activation/désactivationfonctionneraautomatiquement. Personnalisationduserveur Les modules EOLE intègrent nativement un système de gestion de services linux (scripts d'init) qu'il est possibled'utiliserpouractiver/désactiverdesservicesnongérésparlemoduleeoleinstallé. Lefichier/etc/sysconfig/eole/disabled.srvpeutcontenirunelistedeservicesàdésactiverobligatoirement. EOLE( 197

198 7 Gestion des noyaux Linux NoyauxEOLE Lefichier/etc/sysconfig/eole/noyauindiquelaversiondunoyauqueleserveurdevraitutiliser.Silenoyauutilisé estdifférentdunoyauconseillé,lacommandereconfigurevousproposeraderedémarrerleserveur. Lesanciensnoyaux,quinesontplusutilisés,sontpurgésaudébutdureconfigure. Personnalisationdunoyau Danscertainscas(problèmesmatériels,tests,...),ilpeutêtresouhaitabled'utiliserunautrenoyauquecelui recommandépareole. Lefichier/etc/sysconfig/eole/noyau_localpermetd'indiquerausystèmelenoyauàutiliser. Attention Cettefacilitéestàutiliseràtitreexceptionnel. Aucunsignalementliéàl'utilisationd'unnoyaudifférentdeceluipréconiséparEOLEneseraprisen compte. 8 Ajout de scripts à l'instance ou au reconfigure Ilestparfoisnécessaired'ajouterunscriptàl'instanciationdumoduleouaureconfigure. EOLEmetenplacedesmécanismespermettantd'exécuterdesscriptsavantouaprèsl'instanciationoula reconfiguration. Personnalisationduserveur LesmodulesEOLEutilisentnormalementdesnoyauxUbunturecompilésparl'équipeEOLEafind'yajouter certainspatchstelsqueceuxpourlesupportdeipp2poud'ipset. Cesscriptsdoiventêtredansl'undesrépertoiressuivants: /usr/share/eole/preinstance/ /usr/share/eole/postinstance/ /usr/share/eole/prereconf/ /usr/share/eole/postreconf/ Ilsdoiventêtreexécutable. Attention Si le script quitte avec un autre code de retour que "0", l'instance ou le reconfigure s'arrêtera immédiatement. Ilestpréférablequelescriptsoitdelaforme: #/bin/bash #<<<SCRIPT>>> exit0 EOLE( 198

199 Les clients Scribe LesclientsScribe XI 1 Installation et configuration des clients Windows 1.1. Principe Scribeagissantcommeuncontrôleurdedomaine,lesstationsWindowsdoiventdansunpremiertempsêtre intégréesdansledomaine. Afind'interagirdavantageavecScribe,unprogrammeclientaétédéveloppépourlesstationsWindows. Ildoitêtreinstallésurchaquestationintégréeaudomaine. Mises à jour et sécurité Lesmisesàjourn'apportentpasseulementdenouvellesfonctionnalités,ellescorrigentaussides failles de sécurité. Il est donc important que les clients soient aussi à jour. Cela concerne le système d'exploitation (Windows Update) ainsi que les programmes installés (Firefox, Java, QuickTime,etc.). Desvulnérabilitéspeuvent,eneffet,touchern'importequelprogramme.Nepasappliquerlesmisesà jourrendraitvotresystèmevulnérableauxattaques. Rappelonsàcesujetquestatistiquementlamajoritédesattaquesprovientdel'intérieuretnonde l'extérieur. EOLE( 199

200 1.2. Configuration réseau Avantsonintégrationaudomaine,ilestindispensabledes'assurerquelesparamètresréseaudelastation sontcorrects(ip,passerelle,dns,wins). Plusieurscassontpossibles: lastationobtientsonadresseipduserveurdhcpduserveureole,danscecasiln'yarienàfaire; lastationobtientsonadresseipd'unserveurdhcpautrequeleserveureole,ilfaudraveillerà paramétrerl'adresseduserveurwins; lastationestadresséemanuellement,ilfaudraveilleràparamétrerl'adresseduserveurwins. LesclientsScribe Configuration du serveur WINS sous Windows XP Aller dans Panneau de configuration, Connexions réseau, faire un clic droit sur l'icône réseau local et sélectionner propriétés, puis double cliquer sur Protocole Internet (TCP/IP), cliquersuravancé...etsélectionnerl'ongletwins. Écran121ConfigurationduserveurWINS EOLE( 200

201 1.3. Intégration et installation du client Scribe manuelle Intégration au domaine Ajoutezlastationaudomainedelafaçonsuivante: clicdroitsurlepostedetravail; Propriétés; ongletnomdel'ordinateur; cliquersurmodifier...; sélectionner dansmembrederenseignerlenomdu valider:utiliseradminouuncompteayantlesdroitssuffisantspourfinaliserl'intégration; Redémarrer. LesclientsScribe Domaine: Domaine; Écran122Intégrationmanuelleaudomaine EOLE( 201

202 Particularité de Windows 7 L'intégration au domaine d'une station Windows 7 nécessite l'application préalable des clés de registresuivantes: HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters DWORDDomainCompatibilityMode=1 DWORDDNSNameResolutionRequired=0 HKLM\System\CurrentControlSet\Services\Netlogon\Parameters DWORDRequireSignOnSeal=1 DWORDRequireStrongKey=1 LesclientsScribe Lefichierregnécessaireestmisàdispositiondans: /home/esu/console/win7_samba3domainmember.reg Installation du client Scribe Pré-requis à l'installation du client Scribe Le service pack 3 pour Windows XP est recommandé pour un fonctionnement correct du client Scribe. WindowsVistaestcompatibleavecl'ensembledesapplications. CertainesfonctionnalitésduclientnefonctionnentpassousWindowsSeven. Ilestindispensablequelastationsoitmiseàl'heureavantsonintégrationaudomaine,pourcela exécutezlacommandenettime/set/yes\\<adresse_ip_scribe>. Installation manuelle du client L'installeurduclientpossèdeunraccourciaccessibleavecl'utilisateuradmindansU:\Install_Client_Scribe. Fig.28:InstallationduclientScribe EOLE( 202

203 Unefoisinstallé,leprogrammed'installationdemandeunredémarrage. Aprèscela,l'ouverturedesessionsuivantedevraitressembleràcela: LesclientsScribe Fig.29:Bureaupardéfautdel'utilisateur"admin" Windows 2000 L'installeurduclientScribeutiliseleprogrammesc.exe.Lesutilisateursdewindows2000trouveront cetexécutabledanslewindows2000resourcekit. sc.exepeutaussiêtrecopiédepuiswindowsxpdans%windir%\system32. Installation et redémarrage automatique Ilestpossibled'installerleclientenmodeautomatiqueàl'aided'unfichier.batcontenantceci: echooff remilfautempecherleredemarrageparlepremierinstalleur echoinstallationduservicedemiseajour U:\client\cliscribe updater setup.exe/verysilent/norestart echoinstallationduclient U:\client\cliscribe setup.exe/verysilent echoredemarrage... echoon Enfind'installationlesystèmeredémarrerasansposerdequestion. EOLE( 203

204 1.4. Intégration et installation du client Scribe automatique IntegrDom Lelogiciel"IntegrDom"estfournidanslerépertoirepersonneldel'utilisateuradmin. LesclientsScribe CetoutilpermetdejoindreunestationXPaudomaineetd'yinstallerleclientScribeenuneseulefois. Ilestpossibledepré paramétrerlelogiciel.pourcela: seconnecterenadminsurunestationdéjàintégreraudomaine; lancerleprogrammeu:\integrdom\integrdom.exe; remplirlesparamètresdeconfiguration; cliquersursauvegardezlesparamètres; copierlecontenudurépertoireu:\integrdom\surunecléusb. Fig.30:IntégrationaudomaineetinstallationautomatiqueduclientScribe Pourjoindreunenouvellestationaudomaine,ilfaut: connecterlacléusbsurlastation; lancerintegrdom.exedepuislacléusb; cliquersurintégrerledomaine. Remarque LelogicielIntegrDomestunecontributiondeDanielPiquéedel'académiedelaRéunion. EOLE( 204

205 Attention L'intégrationautomatiqueavecIntegrDomn'estvalidéquepourWindowsXP Joinscribe Joinscribe est un outil d'intégration au domaine et d'installation du client Scribe qui s'exécute depuis le serveur. Avantd'exécuterjoinscribe,ilfautpréparerleposteclientdelamanièresuivante: LesclientsScribe dans les "options des dossiers", onglet Affichage, décocher l'option fichierssimple; mettreunmotdepasseàl'utilisateuradministrateur; désactiverlepare feudewindows. Utiliser le partage de Unefoislespostesclientspréparés,lancerjoinscribedepuislaconsoleduserveurScribe. Exemple Exempled'utilisationdejoinscribe: joinscribe d f joinscribe d Truc & astuce Encasdeproblème,consultersurleserveurScribelesfichiers /var/log/joinscribe/ etsurleposte clientc:\windows\eole\tmp\paramintegr.log. Remarque LelogicieljoinscribeestunecontributiondeChristopheDezedel'académiedeNantes Mise à jour du client Scribe LeclientScribeinstallésurlesstationsWindowsestautomatiquementmisàjoursiunenouvelleversionest disponiblesurleserveur.l'installeurduclientscribeprésentsurleserveurestfourniparlepaquetcontrole vnc client.autrement dit,silepaquetcontrole vnc clientestmisàjoursurleserveur,lesclientswindowsse mettrontautomatiquementàjourauprochainredémarrage. Principedelamiseàjourduclient: lorsdel'installationduclientscribe,lefichier%windir%\eole\install.iniestcréé.cefichiercontient laversionduclientinstallé; àchaquedémarragedelastationleservicedemiseàjourduclientvérifiesurleserveursiune nouvelleversionestdisponibleentéléchargeantlefichierhttp://<adresse_module>:8790/install.ini; siunenouvelleversionestdisponible,leservicedésinstallel'ancienneversion,redémarre,installela nouvelleversionetredémarreànouveau. Lefichierderéférenceduserveurest/home/client_scribe/install.ini.(liépour"admin"dansU:\client\install.ini). LesopérationseffectuéesparleservicedemiseàjourduclientScribesontjournaliséesdans %WINDIR %\cliscribe_updater.log. LeservicedemiseàjourduclientScribeestaccompagnéd'unefenêtred'indicationdel'avancementqui s'affichelorsqu'unutilisateurouvreunesessionpendantlamiseàjourduclientscribe. EOLE( 205

206 Écran123Fenêtred'avancementdelamiseàjour LesclientsScribe Truc & astuce Sipouruneraisonprécise la miseàjourdes clientsdoit être ponctuellement désactivée, ilest possibledelefaire: parstation,enrenseignant"version=0"danslefichier%windir%\eole\install.ini; pour toutes les stations, en renseignant "VERSION = 0" dans le fichier /home/client_scribe/install.ini. Attention Ilestfortementdéconseillédedésactiverlamiseàjourduclientparceque: leserveurseraàjouretpasleclient,certainesactionsrisquentdeneplusfonctionner; lesnouvellesfonctionnalitésneserontpasdisponibles; lesmisesàjourpeuventcontenirdescorrectionsdesécurité. Aucuneaidenepourraêtreapportéesileclientn'estpasàjour Désinstallation du client Scribe LadésinstallationduclientScribes'effectuedans: Panneaudeconfiguration Ajout/Suppressiondeprogrammes EOLE( 206

207 LesclientsScribe Fig.31:DésinstallationduclientScribe Remarque LeclientScribeestcomposédedeuxparties: leclient; leservicedemiseàjourduclient. Ellessontinstalléessimultanémentmaisdemandentunedésinstallationséparée. Le service de mise à jour du client doit être désinstallé avant le client car, au démarrage de la machine,sileclientn'estpastrouvé,leservicedemiseàjourleréinstalleraautomatiquement. EOLE( 207

208 2 Configuration d'un client GNU/Linux EOLE 2.1. Présentation LesclientsScribe LeprojetEOLEfournitdeuxclientsScribe.Cesontlesmodules: Eclair,leserveurdeclientlégers; ClientScribe,leclientlourd. Aveccesmodules,l'intégrationaudomaineestsimplifiée. Remarque LesclientsEOLEpourScribenepermettentpasdeprofiterdetoutessesfonctionnalités Adaptation sur le serveur Scribe Configurationdupartagedefichiers Pourfonctionner,leclientGNU/Linuxseconnecteàdeuxpartagesdifférents: lerépertoirepersonnelestmontéencifs(partagesamba); lesrépertoirespartagessontmontésenftp. Sambaestconfiguré,pardéfaut,sanslesextensionsUnix. Ilestnécessaire,pourlebonfonctionnementduclient,delesactiver. Dansl'interfacedeconfigurationduScribe,enmodeexpert,dansl'onglet Samba,vérifierque Activer lesextensionsunixestbienàyes. Attention ActiverlesextensionsUnixsurleserveurScribe,signifiequ'aveclejeudeslienssymboliques,un utilisateurpeutaccéder,commesimpleutilisateur,àl'ensembledesfichierssurlesystème. Celaneposepasvraimentdeproblèmedesécuritésilesdroitssontcorrectementconfigurés. LeserveurFTPdoitêtreactivésurScribe.Cequiestlecomportementpardéfaut. Configurationdesutilisateurs LesutilisateursScribedoiventavoirun"shell"Unixvalideconfiguré. Cettemanipulationsefaitaumomentdel'importationdesutilisateursoudansl'espacedeconfigurationdes utilisateursdel'ead(éditiongroupée). EOLE( 208

209 3 Administration des clients Afindefaciliterl'administrationdesclients,diversoutilsontétédéveloppésetinstalléssurScribe: ESU,configurationduposteclientetdel'environnementdel'utilisateur,composéd'uneconsoleet d'unclient; Gestion postes,actionsurlesélèvesparlesprofesseurs(observation/diffusiondeposte,blocage temporaire,...); l'ead,actionsurlespostesetlesutilisateurs. LesclientsScribe Fonctionnement général sous Windows SurunScribeinstallédefaçonstandard(pasd'adaptationslocales),del'installationduposteclientàsamise enproduction,onpeutdécrirelesétapescommececi: installationduposteclient; intégrationaudomainescribe; installationduclientscribe; utilisation. Àcetinstantlesutilisateurspeuventutiliserleposteclient.ScribeestlivréavecuneconfigurationESUpar défaut sous la forme d'un groupe de machine "grp_eole" comportant trois groupes d'utilisateurs: DomainAdmins,professeurseteleves. Ensuite,vialaconsoleESU,l'administrateur("admin"pardéfaut)peutpersonnaliserlaconfiguration,ajouter desgroupesdemachines,desgroupesd'utilisateurs,modifierlesrègles,etc L'ouverture de session Windows 200x, XP, Vista et 7 Présentation LeclientScribe/ESUfonctionnesousformedeservice.Ceserviceestaccompagnédedeuxapplications s'exécutantdansl'environnementdel'utilisateuràl'ouverturedesession. Enplusd'appliquerlaconfigurationESU,leclientScribegèrel'observationetladiffusiondel'écranduposte, leblocageinternetetle"modedevoir",l'arrêt,leredémarrageetlafermetureforcéedesessiondepuisl'ead. Lorsqu'unutilisateurdudomaineScribeouvreunesessionsurunposteWindows,unensembled'actionssont effectuées.certainessontdesmécanismesinternesàwindows,d'autressontspécifiquesàscribe. Aprèsqu'unutilisateurdudomaineaitvalidésonmotdepasselasessions'ouvre: leprofildel'utilisateurestinstallé; exécutionde%windir%\eole\cliscribe\logon.exe. Leprogrammelogon.exeeffectuelesactionssuivantes: lecturedufichier\\<scribe>\netlogon\<login>\winxp.txtetexécutiondesinstructions; requêtesurleserveurpour: l'applicationdesrèglesesu; l'applicationdublocage; l'applicationdumoded'observation(vnc_viewonly). EOLE( 209

210 Simulation d'ouverture de session Lorsdelamiseenplacedelaconfigurationd'ESU,ilestsouventnécessairederé ouvrirunesession pourtesterlesnouveauxparamétrages. Laré applicationdesrèglessansavoiràré ouvrirunesessionpeutsefaireavec: Démarrer=>Exécuter=>"%WINDIR%\Eole\cliscribe\logon.exe" Scriptspersonnalisés LesclientsScribe Ilestpossibled'ajouterdescommandesàexécuteràl'ouverturedesession.Cescommandesdoiventêtre renseignéesdansunfichier".txt"setrouvantdansundessous répertoirede\\<scribe>\netlogon\scripts. Cesscriptspeuventêtreajoutéspour: unutilisateur=>/home/netlogon/scripts/users/admin.txt; ungroupe=>/home/netlogon/scripts/groups/eleves.txt; unemachine=>/home/netlogon/scripts/machines/poste01.txt; unos(win95,win2k,winxp,samba,vista)=>/home/netlogon/scripts/os/winxp.txt; unosetunutilisateur=>/home/netlogon/scripts/os/win2k/admin.profil.txt; unosetungroupe=>/home/netlogon/scripts/os/winxp/professeurs.txt. Lesscriptspersonnaliséssontconcaténésdanslescriptprincipal,pardéfautaudébutdecelui ci.sides instructionsdoiventêtreeffectuéeaprès(nécessitéd'avoiraccèsaulecteur"commun"parexemple),placezla balise%%netuse%%etajoutezlesinstructionsensuite. Attention Windows7esttraitédelamêmemanièrequeWindowsVista(OS=Vista). LesscriptspersonnalisésnefonctionnentpassousEclair/ClientScribe. Lesscriptspersonnaliséspeuvent: exécuterdescommandes(instructioncmd); monterdeslecteurs(instructionlecteur). cmd Pardéfautleprogrammed'ouverturedesessionafficheleprogrammeetattendlafindesonexécutionpour continuer.unprogrammequinesefermepas(ex.notepad.exe)provoqueradesouverturesdesessiontrès longueetincomplètes. l'optionnowaitpermetdenepasattendrelafindel'exécutionduprogramme; l'optionhiddenpermetdemasquerlafenêtre. Leformatest: cmd,commande,[options] lecteur Silalettrespécifiéeestdéjàutiliséeparuneressourceréseau,celle ciestdéconnectéeavantré utilisationde lalettrepourlanouvelleressource.danslecascontraire(lecteurlocal,cléusb,cd Rom,lecteurcarte,etc.), lapremièrelettredisponibleestutilisée. Leformatest: lecteur,lettre:,partage EOLE( 210

211 cmd cmd:pourexécuternotepad.exepourl'utilisateuruser.assrlorsqu'ilouvreunesessionsurunposte XP: Fichier\\<scribe>\netlogon\scripts\os\WinXP\user.assr.txt: cmd,%windir%\notepad.exe,nowait lecteur:pourmonterlepartage \\monserveur\partage surlalettre V: pourtouslesutilisateursdu domaine: Fichier\\<scribe>\netlogon\scripts\groups\DomainUsers.txt: LesclientsScribe lecteur,v:,\\monserveur\partage Windows 9x Lorsdel'ouvertured'unesessionleWindowsexécutelefichier\\<scribe>\netlogon\<login>Win95.batpour: bloquerleclavieretlasouris(blockinput); monterleslecteursréseau; appliquerlemoded'observation; exécuteresuclnt.exe(clientesu4); débloquerleclavieretlasouris(blockinput) Eclair/ClientScribe Le montage des partitions Scribe LemontagedespartitionsScribesefaitautomatiquementaudémarragedelasession. LemontagesefaitgrâceàPAMetsonmodulepam_mount. Le répertoire personnel est monté avec le protocole SMB/CIFS directement dans son "perso" grâce au modulenoyaucifs.touslesautrespartagessontmontésenftpavecuneversionmodifiéedecurlftpfs. La gestion des profils Lesprofilssontappliquésenpremiergrâceauscriptdedémarragedelasessiongraphique. ESU L'applicationdesrèglesESUsefaitendernier. Audémarragedelasession,lescript/usr/share/profile eole/logon_user.pyestexécuté. EOLE( 211

212 3.2. Les profils utilisateurs Lesprofilsutilisateursreprésententl'environnementpardéfautdesutilisateurs.Ilexistetroistypesdeprofils: leprofillocal: ileststockésurlastationwindows,l'environnementestdoncmodifiélorsquel'utilisateurchangede poste leprofilitinérant: ileststockédanslerépertoirepersonneldel'utilisateur,l'environnementsuitl'utilisateur LesclientsScribe lesprofilsobligatoires: ilssont stockésdans un répertoirecommun, l'environnement est le mêmepourtous mais il faut générerlesprofilsavantdepouvoirlesutiliser EOLEgèrecestroistypes. Iln'yariendeparticulieràfairepourlesprofilslocauxouitinérants. Parcontre,ilfautcréerlesprofilsobligatoires. Pourplusd'informationsconcernantlesprofilsd'utilisateurs,veuillezconsulterladocumentationofficiellede Microsoft: Profils utilisateurs vs ESU Ilestimportantdedistinguerlesprofilsutilisateurs(notioninterneàWindows)etESU.Lesprofils utilisateurssontappliquésenpremieretdéfinissentunenvironnementdedépart.laconfiguration ESUestappliquéeensuiteetmodifie,ajouteousupprimedesparamètresdecetenvironnement. Parexemple,lemenudémarrerestcontenudansleprofildel'utilisateurmaissiuncheminalternatif estdéfinidansesu(consoleesu:windows=>dossiers)alors,lemenudémarrerutiliséseracelui définidansesu,etnonceluiduprofil Création de profil obligatoire sous Windows XP Introduction Leprofilobligatoirepermetdestockerlesparamètresutilisateuretmachinedeslogicielsinstalléssurles postesclients.ilesttéléchargédepuisleserveuràchaqueouverturedesessionetsupprimédelastationàla fermeture de la session. Cela permet aux utilisateurs de repartir d'un environnement standard à chaque session. Il faut différencier le profil et les modèles ESU. Le profil définit un environnement par défaut (exemple: l'apparencedel'explorateur).lesmodèlesesupermettentdeleparamétrerdifféremmentenfonctiondela machineetdel'utilisateurquis'yconnecte. Lesmodèlessontunesur coucheduprofil.ilsmodifientlesparamètresdel'environnementaprèsl'application duprofil.siunparamètreestspécifiédansleprofiletdansesu,c'estesuquil'emporte. Remarque Cettedocumentationestunepréconisation.Ellepeutêtreutilementadaptéesuivantvotreexpérience etvosbesoins. EOLE( 212

213 Ajoutd'unutilisateurspécifique Ilestconseilléd'utiliserunutilisateurfictifpourcréerleprofilobligatoire. CetutilisateurdoitêtreconfiguréavecunprofillocaletêtremembredugroupeDomainAdmins. C'estl'utilisateurspécifiqueadmin.profilquiserautilisépourlasuite. Préparationdelastation Nettoyage de la station Sidesprofilsautrequelocaux(exceptésceuxd'adminetadmin.profil)sontdéjàprésentssurlamachine,il estpréférabledelessupprimer. Afind'éviterleseffetsdebords,n'installerqueleslogicielsnécessairesàlagénérationduprofil. Ilarrivequecertainslogicielsmalprogrammésparamètrentdesvaleursquiprovoquentuneerreurlorsquele profilestappliquésurunestationoùlelogicieln'estpasinstallé. LesclientsScribe Installation des programmes à pré-paramétrer dans le profil obligatoire Touteslesapplicationsn'ontpasforcémentbesoind'êtreparamétréesdansleprofilobligatoire.Ilpeutarriver quecertainesapplicationsn'apprécientpascemodedefonctionnement.ilestnécessairedefairedestests pourendéterminerlaliste. Truc & astuce L'utilisation d'un logiciel de virtualisation avec "photos" permet d'installer une version propre de Windowsetderepartirduprofilutilisélorsdeladernièrecopie. Générationduprofil Ouvrir une session avec l'utilisateur "admin.profil" sur un client XP et utiliser les logiciels installés (OpenOffice.org,Firefox,Encyclopédies,etc.).Fermerlasession,leprofilestprêtàêtrecopié. L'idéeestdepré paramétrerlesapplicationsainsiquel'explorateuretlebureau. Exemple ouvrirlepostedetravail; danslemenuaffichage; sélectionnezdétails; fermerlafenêtre LorsquelesutilisateursouvrirontlePostedetravail,lesicônesserontaffichésen"Détails". Exemple AcrobatReaderdemandedevalidersalicence,lorsdupremierlancement.Cettequestionestposée unefoisparsessionàunutilisateur"profilobligatoire",lavalidationn'étantpasretenuelorsdela fermeture de session. Pour résoudre ce problème, valider la licence avec admin.profil lors de la générationduprofil. EOLE( 213

214 Remarque Ce type de comportement (validation, paramètres non retenus d'une session à l'autre) est généralementliéauprofilobligatoire.lesinformationssontenregistréesdansunepartieduprofil fourniparleprofilobligatoire. Ceciestàopposerauxinformationsstockéesdans ApplicationsData redirigépardéfautparesu dans U:\.Config\Applications Data. Ces dernières étant donc retrouvées lors de l'ouverture de la sessionsuivante.parexemple,openoffice.orgenregistrelavalidationdesalicenceunefoispour toutes. LesclientsScribe Lefondd'écranbénéficied'unegestionparticulièredansESU:laspécificationd'unfichierimageà afficheretl'ajoutd'informationstextuellesenhautàdroite.lesdeuxétantcompatibles.afind'éviter touteffetdebordéventuel,c'estunebonneidéedeledésactiverensélectionnant "Aucun" dans "Propriétésdel'affichage/Bureau/Arrière plan:". Copieduprofil Ouvrir une session avec l'utilisateur admin". Aller dans le Panneau de configuration/système/propriétés/avancé. Dans le cadre Profil des utilisateurs cliquersurparamètres. Danslanouvellefenêtresélectionnerleprofilcorrespondantàl'utilisateur"admin.profil". EOLE( 214

215 LesclientsScribe DanslapartieAutoriséàutilisercliquersurModifier.Entrer[toutlemonde]puiscliquersurVérifier lesnoms. EOLE( 215

216 LesclientsScribe Unefoisleprofilcopiéladernièrefenêtresefermeautomatiquement.Copierensuitelecontenududossier dans:\\<adresse_serveur>\netlogon\profil. SurScribe,ilestégalementpossibled'utiliserledossier\\<adresse_serveur>\netlogon\profil2. Cecipermetdespécifierunprofildifférentpourcertainsutilisateurs(ex.:profilpourlesprofesseursetprofil2 pourlesélèves). Remarque Lorsque le profil est copié directement sur le serveur dans \\<adresse_serveur>\netlogon\profil\, Windowsappliqueautomatiquementdesdroitsd'écriturepourtoutlemondesurledossierprofil.Le passageparunrépertoiretemporaireévited'avoiràmanipulerlesdroitsetdiminuelerisqued'erreur. Dansledossier \\<adresse_serveur>\netlogon\profil\ renommerlefichier ntuser.dat vers ntuser.man (nepas confondreavecunéventuelfichierntuser.dat.txt).pouryparvenirilfautd'abordafficherlesextensionsdes fichiersconnus(dansl'explorateur,"outils/optionsdesdossiers.../affichage",décocher" Masquerlesextensionsdesfichiersdontletypeestconnu"). EOLE( 216

217 LesclientsScribe et... EOLE( 217

218 LesclientsScribe Remarque Sidesdifficultéssontrencontréeslorsdelacopieduprofilsurleserveur,unesolutionconsisteà renommerledossieretàencréerunnouveau Les sessions locales SidescheminsontétésmodifiésparESU(Groupedemachine>Windows>Dossiers),lorsde l'ouvertured'unesessionlocale,leprogramme logon.exe redéfinitlescheminsd'accèsauxicônesdu Menu démarreretdubureauavecleursvaleurspardéfaut. Eneffet,leslecteursréseaupeuventêtrenondisponibleslorsdel'ouvertured'unesessionlocale. Remarque SousVistaet7,ceprocessusnécessiteuneélévationdedroitsauniveaudel'UAC. Leprogramme logon.exe affichealorslaquestion: "Ré initialiserlemenudémarreretlebureau?" suivitparcelledel'uac(siactivé)pourlavalidationdel'action. L'UACou"ContrôledesComptesUtilisateur"estunmécanismecenséprotégerlesystèmed'actions malencontreusesoufrauduleuses. Lorsqu'un utilisateur, même Administrateur, effectue une action requérant des privilèges d'administrateur (lancement de regedit.exe, configuration du réseau, installation de nouveaux programmes,etc.),l'uacbloquel'actionetafficheunedemandedeconfirmationpourl'exécutionde l'action. L'UACn'estpasindispensable,ilpeutdoncêtredésactivé. LapageWikipediaàproposdel'UAC: EOLE( 218

219 3.3. Gestion des configurations clientes avec ESU Introduction Présentation LesclientsScribe ESU(EnvironnementSécurisédesUtilisateurs)estuneapplicationdegestionavancéedespostesclients. ESUpermetdeconfigurerlepostedetravailàl'ouverturedesessionenfonctiondunomdel'utilisateurou desgroupesdontilestmembreetdunomdelamachinecliente. Lesfonctionnalitésprincipalesd'ESUsont: paramétragedesrestrictionssurleposte(parexemple:désactivationdelamodificationdel'heure, masquerdeslecteursdanslepostedetravail,etc.); affichaged'unfondd'écranavecpossibilitéd'yinscriredesinformationscomplémentaires; installationd'imprimantesréseau(possibilitédecoupleravecl'auto installationdespilotes); paramétraged'applications(parexemple:pagededémarragefirefox); redirectiondedossiersversunlecteurréseau(ex.:mesdocuments,bureau,menudémarrer); interdictiond'accèsàungroupedemachinesàcertainsutilisateurs. Ces fonctionnalités sont représentées sous forme de règles dans le fichier de référence \\<adresse_serveur>\esu\console\listeregles.xml. Structuregénéraledel'outil ESUsecomposededeuxparties: laconsole,quisertàparamétrerl'ensembledesrègles; leclient,quiappliquelesrèglessurleposte. Le dossier \\<adresse_serveur>\esu\console contient la console, des modèles de groupes de machines et d'utilisateursetl'éditeurdelalistederègles. Ledossier\\<adresse_serveur>\esu\BasecontientlesparamètresdéfinisdanslaconsoleESU. Compatibilité ESUestpleinementcompatibleWindows98/Me/2k/2k3/XP/Vista. LacompatibilitéavecEclair,ClientScribeetClientHorusestpluslimitée. Seulelagestiondufondd'écranetcelledeFirefoxsontaujourd'huiassurées. EOLE( 219

220 La console ESU i - Présentation La console ESU sert à paramétrer les règles qui seront appliquées sur les machines clientes lors de l'ouverture de session. La liste des règles disponibles est définie dans le fichier \\<adresse_serveur>\esu\console\listeregles.xml.ellessontrépartiesendeuxgroupes: les règles "machines" définissant le comportement global des machines, elles sont appliquées quelquesoitl'utilisateurquiseconnecte; les règles "utilisateurs" définissant l'environnement de l'utilisateur comme les restrictions, le paramétragedel'explorateuretdufondd'écran,etc. LesclientsScribe Pardéfaut,seull'utilisateuradminaaccèsàlaconsole.Pourfaciliterl'accèsunraccourciestcréédansson répertoirepersonnel(u:). Laconsoleestorganiséeentroisparties: la première liste lesgroupes de machines du domaine, et les utilisateurs/groupes gérés dans ce groupedemachines; la seconde contient les différentes catégories de règles. Ces catégories peuvent comporter des sections; latroisièmepartieaffichelesrèglesetleurparamétrage. Lapremièrecolonnemontrel'organisationgénéraled'ESU.Lapremièreligneindiquelenomdudomaine. Celui cicontientunensembledegroupesdemachinesdéfinisenfonctiondunomdesmachines.chaque groupedemachinecontientdesutilisateursoudesgroupesd'utilisateurs. Lors de l'ouverture de session, ESU va chercher à quel groupe de machines appartient la machine sur laquellel'utilisateurseconnecte.siungroupedemachineesttrouvé,esuvacherchers'ilcontientl'utilisateur ouundesgroupesauxquelsl'utilisateurappartient. Lalistedesgroupesdemachinesetdesutilisateursestparcourueduhautverslebas.Siunemachine appartient à plusieurs groupes, le premier sera utilisé, les autres ignorés. Il en va de même pour les utilisateurs/groupesd'utilisateurs. Écran124Fenêtreprincipaled'ESU EOLE( 220

221 ii - Les groupes de machines Création d'un nouveau groupe de machines Lesgroupesdemachinesserventàregrouperlesmachinesdansunemêmeconfigurationenfonctiondeleur nom. Al'installationdumodule,ESUestpré configuréavecungroupedemachines grp_eole paramétréafinde prendreencomptetouteslesmachinesdudomaine(simplementlecaractère"*"). Cegroupedemachinesaétépré crééafindeservird'exempleetpourquel'installationduclientscribesoit suffisantepourobtenirunestationpleinementfonctionnelledèslapremièreouverturedesession. Pour créervotre propregroupe,faites unclicdroit surle domaine etsélectionnez"nouveau groupede machines"ousélectionnezledomaineetutilisezleraccourciclavier[ctrl+n]. Renseignezlenomdugroupedemachine(icitechnologie)etparamétrezlesnomsdesmachinesàajouter augroupe. LesclientsScribe Écran125Ajoutdesnomsdemachinesappartenantaugroupe PardéfautlesnouveauxgroupesdemachinessontcréésenutilisantlemodèleESUU:\esu\Console\Modeles\ GM\GroupeMachine_[Scribe].xml. CemodèleajouteautomatiquementlesgroupesDomainAdmins,elevesetprofesseursavecunensemblede règlespré configurées(dossierredirigés,restrictions,etc.). Truc & astuce Ilestpossibledeprendreencompteplusieursmachinesenunefoisenutilisantlecaractèreétoile, exemple:"techno*". Écran126Utilisationdujocker(*)pourparamétrerlesnomsdemachinesprisesencompteparlegroupe Unefoislegroupedemachinescréé,ilfautétablirsaprioritéparrapportaugroupedemachinegrp_eole(siil n'apasétésupprimé):clicdroitsurlegroupedemachineetchoisir"augmenterlapriorité". EOLE( 221

222 LesclientsScribe Écran127Augmenterlaprioritéd'ungroupedemachine Les Gestionnaires L'item"Gestionnaires"permetdedéléguerl'administrationd'unouplusieursgroupesdemachinesàunautre utilisateur ou à un autre groupe. Lorsqu'un utilisateur lance la console, il n'a accès qu'aux groupes de machinespourlesquelsilestdéfinicommegestionnaire. LegestionnairepeutmodifierlaconfigurationESUdesongroupedemachinesetaaussiaccèsenécritureau répertoirecontenantlesicônes(i:\<nom_du_groupe_de_machines>\). Écran128Ajoutdegestionnairesdansungroupedemachines EOLE( 222

223 Il est également possible d'ajouter un gestionnaire au niveau du domaine. Il aura le droit d'administrer l'ensembledesgroupesdemachinesdéfinisdansesuetd'enajouter Le groupe DomainAdmins LesmembresdugroupesDomainAdminsontunaccèscompletàlaconsoleEsusansqu'ilnesoit nécessairedelesajoutercommegestionnaires. D'unemanièregénérale,lesmembresdugroupeDomainAdminsontlesdroitsd'écriture(doncde suppression)surl'ensembledespartagesduserveur(partagesgroupe,dossierspersonnels,esu, etc.). LesclientsScribe iii - Les utilisateurs et groupes d'utilisateurs Unenvironnementdifférentpeutêtreappliquéenfonctiondunomdel'utilisateuroudesgroupesauxquelsil appartient. Écran129Exempledeparamétragederèglespourunutilisateurouungrouped'utilisateurs Création d'un nouveau groupe d'utilisateurs dans un groupe de machines. Unclicdroitsurlenomdugroupedemachinepermetd'ajouterunutilisateurouungroupe.Unclicdroitsur l'utilisateuroulegroupepermetdelesupprimerouderéglersapriorité. EOLE( 223

224 LesclientsScribe Écran131Augmenterlaprioritéd'unutilisateur iv - Les imprimantes Attention CecineconcernepaslespostesWindowsMeetinférieuretnécessitel'utilisationdeESU. Danslapartierègleutilisateurs,quel'onobtientencliquantsurungrouped'utilisateursdanslacolonnede gauche,sélectionner"panneaudeconfiguration"section"imprimantes". A cet endroit vous pouvez spécifier le chemin UNC (\\<scribe>\<imprimante>) d'accès aux imprimantes disponiblespourcegroupedemachineetcegrouped'utilisateur. Ainsiélèvesetprofesseurspeuventavoirdesimprimantesdifférentessurunmêmeposteetunutilisateur peutavoirdesimprimantesdifférentesenfonctionduposteetdugroupedemachinesauquelilappartient. v - Trucs et astuces Lesdossiersd'icônes lesicônesplacéesdansr:\grp_eole\_machine\bureauserontvisiblespartouslesutilisateurs; lesicônesplacéesdansr:\grp_eole\professeurs\bureauneserontvisiblesqueparlesprofesseurs. Attention, l'utilisateur admin fait partie du groupe professeurs mais, il est également membre du groupe DomainAdmins. Au vu des priorités, c'est le dossier défini d'icônes du groupe DomainAdmins (R:\grp_eole\professeurs\Bureau)quiluiseraproposé. Firefox Afindeparamétrercorrectementla Gestionduprofil FirefoxavecESU,ilfautsélectionneraumoinsune Option,lapagededémarrageparexemple. Écran132ConfigurationESUduprofilFirefox EOLE( 224

225 LesclientsScribe Écran133ConfigurationESUdesoptionsFirefox Accèslimitéàunposteenfonctiondel'utilisateur Pourlimiterl'accèsàunposte,ilsuffitdeneconfigurerquelesgroupesd'utilisateursautorisésetdecocher Déconnecterlesutilisateursn'appartenantpasaugroupedemachines. IcilesutilisateursnefaisantpaspartiedesgroupesDomainAdminsouprofesseurs(parexemplelesélèves) serontdéconnectésautomatiquement. Écran134Limiterl'accèsàunposte Modèlesderestrictions Desmodèlespré configuréssontlivrésavecesu: Pourlesgroupesdemachines U:\esu\Console\Modeles\GM\GroupeMachine_[Scribe].xml Cemodèleestutilisépardéfautlorsdelacréationd'ungroupedemachines. Pourlesgroupesd'utilisateurs U:\esu\Console\Modeles\GU\GroupeUtilisateur_DomainAdmins[Scribe].xml U:\esu\Console\Modeles\GU\GroupeUtilisateur_eleves[Scribe].xml U:\esu\Console\Modeles\GU\GroupeUtilisateur_professeurs[Scribe].xml Cesmodèlespeuventêtreutiliséslorsdel'ajoutd'unutilisateuroud'ungroupedansungroupedemachines (ex.user.assr) Personnalisation du fond d'écran Ilestpossibledemodifierlecontenudutexteàaffichersurlefondd'écranlorsquel'optionAfficherlenomde l'utilisateurenfondd'écranestcochéedanslaconsoleesu. EOLE( 225

226 Lapersonnalisationsefaitparutilisateur/grouped'utilisateursàl'aided'unfichiertexteayantl'extension.bgd. CefichierdoitsetrouverdansU:\esu\Base\<groupe_de_machine>\<utilisateur_ou_groupe>.bgd. LesclientsScribe Pour modifier le texte du fond d'écran pour les membres du groupe DomainAdmins dans le groupe de machinegrp_eole,créezlefichieru:\esu\base\grp_eole\domainadmins.bgd. Cefichierpeutcontenirdesvariablessuivantes: Touteslesvariablesd'environnementWindows(%WINDIR%,%PATH%,...) %ESU_PROXY_HOST% %ESU_PROXY_PORT% %ESU_PROXY_BYPASS% %ESU_PDC% %ESU_DOMAINE% %ESU_OS% %ESU_PARTAGE_ICONES% %ESU_LECTEUR_ICONES% %ESU_GU%#%ESU_GM% %USERNAME% %USERLNAME% %GROUPES% %SID% %IP% Exemple de configuration personnalisée du texte en fond d'écran Contenudufichier: USERLNAME==%USERLNAME% COMPUTERNAME==%COMPUTERNAME% ESU_OS==%ESU_OS% ESU_GU==%ESU_GU% GROUPES==%GROUPES% IP==%IP% NUMBER_OF_PROCESSORS==%NUMBER_OF_PROCESSORS% PROCESSOR_IDENTIFIER==%PROCESSOR_IDENTIFIER% PROCESSOR_LEVEL==%PROCESSOR_LEVEL% ######################### D'autreinformations... ######################### Résultat: EOLE( 226

227 LesclientsScribe Attention CertainesvariablesnefonctionnerontpascorrectementsurEclair/ClientScribe/ClientHorus Gestion-postes Gestion postesestuneapplicationwindowsaccessibleuniquementparlesprofesseurs(p:\gestion postes). Ellepermetdiversesopérationssurunouplusieurspostes/utilisateurs. L'applicationproposetroisoutilsdifférents,accessiblesviasestroisonglets. lepremierongletsertàl'observationetladiffusiond'unposte.iln'estpossibled'observerqueles élèves,enrevancheunprofesseurpeutdiffusersonpostesurceluid'unautreprofesseur.ilestbien entenduindispensablequel'observateuretl'observésoienttouslesdeuxconnectés; lesecondongletcontientle"modedevoir":blocagedel'accèsauxpartageset/ouàinternetpourdes élèves.iln'estpasindispensablequelesélèvesàbloquersoientconnectés.leblocages'appliquera dèsleurouverturedesession; letroisièmeongletpermetdedistribuerdesdevoirs.cesdevoirspeuventêtredistribuésàtousles groupes(niveau,classe,équipepédagogique,matière,groupe...)etpeuventêtreaccompagnésde donnéesenlectureseulepourledestinataire. Attention CetteapplicationnefonctionnepassousEclair.Unepartiedesfonctionnalitéssontprésentesdans Eclair Client Manager. Iln'existepasd'équivalentpourClientScribe Observation/Diffusion du poste Observation L'observationconsisteàafficherleposted'unélèvedansunefenêtresurleposteduprofesseur.Lasélection d'unélèveàobserversefaitparclasseoupargroupe,ensuiteseulslesélèvesconnectéssontlistés. Lalistedesélèvesconnectésaffichelelogindel'élèveetlenomdelamachinesurlaquelleilestconnecté. EOLE( 227

228 LesclientsScribe Unefoisl'élèvesélectionné,cliquersur Observer.Larequêteesttransmiseauserveuretàlastationde l'élèvecequipeutprendrequelquesinstants. L'applicationpermetd'observerplusieursélèvesenmêmetemps,cependantlenombredépenddelaqualité etdelavitesseduréseau. Remarque Leniveaud'observationVNCestconfigurabledansl'EAD:Outil/VNC. Troisniveauxd'observation: Désactivé Visualisationsimple Visualisationetcontrôle EnmodeVisualisationetcontrôle,l'utilisateurpourrachoisirvialacocheClavier/Sourisactifss'ilveut pouvoirprendrelamainsurlastationélève. Diffusion Ladiffusionestl'affichageduposteduprofesseursurunouplusieurspostes(élèveet/ouprofesseur).La sélectionsefaitparclasse,pargroupeouparmembredugroupe professeurs.commepourl'observation, seulslesutilisateursconnectéssontlistés. EOLE( 228

229 LeboutonCesserladiffusionl'arrêteimmédiatementsurtouslespostes. Toutenouvellediffusion(nouveauclicsurleboutonDiffusermonécran)interrompraladiffusionencours. Laqualitéduréseauinfluedirectementsurlenombremaximumdediffusionssimultanéespossibles Bloquer Internet / Masquer les partages (Mode devoir) Lesprofesseurspeuventrestreindrel'accèsàInternetet/ouauxpartagesainsiquemonterlepartagedevoir pendantunepériodedonnée. LesclientsScribe Ces restrictions sont appliquées immédiatement si l'élève est connecté, sinon elles sont appliquées à l'ouverturedesession. Lorsquelapérioded'interdictionestécouléel'environnementdel'élèveestautomatiquementremisenmode normals'ilestencoreconnecté. BlocageInternet LasélectiondublocageInternetsefaitvialalistedéroulanteTypedeblocage. LeblocageInternetinterdittouslesaccèsréseauxendehorsdesservicesDNS,VNCetduserviceSamba (ports et445)àdestinationduScribeafindetoujourspouvoirouvrirunesessionsurledomaineet accéderauxpartages.cecisetraduitparl'impossibilitéd'accéderàinternetdequelquefaçonquecesoit (connexiondirecteouparproxy). Ilestpossibled'appliquerunblocageréseauàunutilisateurouàunemachine. Conseil IlestpossibledesélectionnerplusieursutilisateursenmêmetempsengardantlatoucheMAJou CONTRÔLEenfoncée. EOLE( 229

230 Masquerleslecteursréseaux Enplusdublocagedel'accèsàInternet,l'applicationpermetdemasquerleslecteursréseauxspécifiquesà Scribepouruneduréedonnéeafinquel'élèven'aitplusaccèsàsondossierpersonnelainsiqu'auxdossiers groupesetcommun(choixaucunlecteurréseau). Lesdevoirssontdistribuésdansledossier"devoirs"situésurleserveur.IlestaccessibleencheminUNCpar \\<scribe>\<login_utilisateur>\devoirs.l'applicationproposedemontercedossiersouslelecteury:. SélectionnerleboutonradioSeulementlepartage"devoirs"masqueratousleslecteurspuisconnecterale dossier"devoirs"del'utilisateuraulecteury:danslepostedetravail. LesclientsScribe Associéaublocageréseau,cechoixpermetd'isolerl'utilisateuretl'empêchedediffuser/récupérerledevoir pourpermettreàd'autresutilisateursdeprendreconnaissancedesquestionsàl'avance. Pour masquer tous les lecteurs et connecter le dossier "devoirs" de l'utilisateur au lecteur Y:, il faut sélectionnerleboutonradioseulementlepartage"devoirs". Associéaublocageréseau,cechoixpermetd'isolerl'utilisateur.Celal'empêcheradoncderécupéreretde diffuserledevoirversd'autresutilisateurs. Commepourleblocagedel'accèsInternet,lemasquagedespartagesauneduréelimitée.Àlafindecette période,sil'élèveestencoreconnectésurunclient,sonenvironnementseraré initialiséautomatiquement. Ne pas masquer certaines lettres Gestion postesoffrelapossibilitédespécifierunelistedelecteursàafficherlorsdeschoix Aucun lecteur ou Seulement le partage "devoirs". Ceci se fait (pour l'instant) au moyen d'un fichier lecteurs.txt placé dans P:\gestion postes\lecteurs.txt contenant une liste des lettres de lecteurs à afficher(lettresanslesdeuxpoints":",séparateurvirgule","). Exemple:c,d,s EOLE( 230

231 Distribution de devoirs Introduction Undevoirestcomposédedeuxéléments: le devoiren lui mêmesousla forme d'un ouplusieursfichiersqui serontcopiésdans le dossier "devoirs"durépertoirepersonneldel'utilisateuretauxquelsilauraunaccèsenlectureetenécriture (modification/suppression); lesdonnéesdudevoir,secondélément,sontdesfichierscopiésàunendroitspécifiqueduserveur, des liens symbolique vers ces fichiers sont ensuite créés dans le sous répertoire "données" du répertoiredudevoirdel'utilisateur.cesfichiersneserontdoncaccessiblesqu'enlecture. LesclientsScribe Lagestiondesdevoirssefaiten4étapes: distribution; ramassage; distributiondescorrigés; effacementdesfichiersdudevoir. Distribuer Ladistributiond'undevoircommenceparlasélectiond'unouplusieursfichiers"devoir".L'ajoutdefichiers "données"estfacultatif. Ensuitesélectionnezlegroupeauquelledevoirdoitêtredistribué.Touslesgroupessontprésentsdansla liste,ycomprislesgroupesincluantdesutilisateursprofesseurs. Enfin,cliquezsurDistribuer,uneboitededialoguedeconfirmationaffichelenombrededevoirsprêtsàêtre distribués. EOLE( 231

232 Lorsqueladistributionestterminée,unmessageaffichelenombrededevoirseffectivementdistribuésetle nomdudevoir.cenomestautomatiquementassociéaudevoir,ilcorrespondà<login> <numéro_devoir>et estutilisépourcréerlesous dossierdanslerépertoire"devoirs"del'utilisateurcontenantl'ensembledudevoir etlesliensverslesdonnées. LesclientsScribe Attention Danslecasdegrosfichiersetdenombreuxmembresdanslegroupecible,l'opérationpeutprendre dutemps.veillezànepasfermerl'applicationpendantladistribution. Conseil Étant copiés qu'une fois puis liés dans les dossiers "devoirs", les données ont l'avantage d'économiserdel'espacedisquesurleserveur. Ramasser Sélectionnerledevoiràramasser.Lenomdugroupeauquelaétédistribuéledevoirestaffichéàcôtédu nomdudevoirdanslalistedéroulanteafindeleretrouverplusfacilement. Àlafinduramassage,unmessagerendcomptedel'opération.Si,parexemple,unélèveasuppriméle dossierdudevoir,iln'aurapaspuêtreramassé.danscecas,lerépertoiredunomdel'élèveseraquand mêmecréémaisilseravide. EOLE( 232

233 Leramassagedesdevoirscopielesfichiersdudevoirs(paslesdonnées)danslerépertoire"devoirs"dansle dossier personnel du professeur. Les devoirs ramassés seront copiés dans U:\devoirs\<nom_devoir> <groupe_cible>\<login>\. LesclientsScribe Remarque Lorsduramassaged'undevoir,touslesfichiersetdossierscontenusdansU:\devoirs\<nom_devoir>\ (sauf "donnees") sont recopiés. Il est donc possible de donner comme devoir la création d'un nouveaufichier. Rendrelescopiescorrigées Commesurunecopiepapier,lacorrectionpeuts'effectuerdirectementdanslefichiermaisellepeutaussi fairel'objetdel'ajoutd'unfichier.eneffet,commelorsduramassage,c'esttoutledossierquiestcopiédans lerépertoirepersonneldel'élèvedansu:\devoirs\<nom_devoir>\correction\. Delamêmemanièrequeprécédemmentunmessagevousavertitdurésultatdel'opération. EOLE( 233

234 Suppressiondesfichiersdudevoir Lorsqu'unutilisateurdistribueundevoir,celui ciestd'abordcopiédans U:\devoirs\.distribues.Cesfichiers sontensuiteutilisésparleserveurpourdistribuerledevoirauxdestinatairesetcréerunlienverslerépertoire <nom_du_devoir>\donness'ilexiste. Ilestpossibledesupprimercesfichierslorsqu'ilssontdevenusinutiles. LesclientsScribe Attention La suppression des données entraînera également la suppression du dossier <nom_du_devoir>\donneesdansledossierdesdestinataires. Lesfichiersdudevoiretsesdonnéessontcomptabilisésdanslecalculduquotarestant L'EAD et les clients L'EAD Scribe dispose d'actions affectant les clients. On peut par exemple envoyer des messages aux connectés,fermerleursessionet/ouarrêter/redémarrerlesmachines. Nousallonsdétaillericilespartiesdel'EADliéesàlagestiondesmachinesclientes. Attention Lagestiondesclientsdel'EADnefonctionnepaspourEclairetClientScribe Mode de contrôle VNC Cetitemsertàdéfinirsilesprofesseursontledroitd'observerlesélèvesetsi,lecaséchéant,ilsontledroit d'activerleclavieretlasourislorsdel'observation. EOLE( 234

235 LesclientsScribe Écran135Observation,activationdelapriseenmainduposte(clavieretsourisdel'observateuractifs) Remarque Uneré ouverturedesessionsurleposteclientestnécessaireafindeprendrelechangementdu modedecontrôledevncencompte Connexions Historique L'historique des connexions affiche les dernières ouvertures de sessions sur le domaine Samba en commençantparlaplusrécente.l'historiqueneconcernequelasemainecourante. Envoidemessages L'envoi de messages aux connectés consiste en un popup s'affichant au premier plan sur l'écran de l'utilisateur. Il permet d'envoyer de courts messages aux utilisateurs ayant une session ouverte sur le domaine. Pourenvoyerunmessage,deuxsolutions: cliquersurlapetiteenveloppedelacolonneaction; cocherlacaseàgaucheetcliquersurenvoigroupé. L'envoigroupépermetd'envoyerlemêmemessageauxutilisateurssélectionnéssimultanément. Remarque Afinquelesmessagespuissentêtrereçus,ilestimpératifdelancerWinpopupsurlesstation98/Me ouqueleserviceaffichagedesmessages(messenger)soitsurdémarrageautomatique. EOLE( 235

236 LesclientsScribe Écran136Activerleserviced'affichagedesmessagessousWindowsXP L'installeur du client Scribe active automatiquement le service d'affichage des messages. Il n'est donc,enprincipe,pasnécessaired'intervenirsurlastation Gestion des stations Clientsdudomaine C'estl'itemsélectionnépardéfautlorsqu'onaccèdeaumenu Stations=>Machines.Cettelisterecenseles machinesenfonctionnementsurlesquellesleclientscribeaétéinstallé(windows2000minimum). Troisactionssontpossiblessurlesclients: fermerlasession(siuneestouvertebiensûr); redémarrerlastation; éteindreleclient. Cesactionssontforcées,siunesessionestouverte,letravaildel'utilisateurNEseraPASsauvegardéetla fermeturedesapplicationsforcée. Autrestypes touteslesstations:lesstationssurlemêmesous réseauquescribeayantunservicepartagede fichiersactif; maitresexplorateurs:machinesayantl'attribut MSBROWSE ; contrôleurdedomaine:serveursmb/cifsayantl'attribut1b. Voirnmblookupetfindsmb. Suppressiondestations La ré inscription d'une station dans le domaine (formatage ré installation d'une machine avec un nom identique)peutparfoisrenvoyeruneerreur.lasuppressionducomptedelastationpeutaideràlerésoudre. EOLE( 236

237 3.6. NuFW NuFWestunpare feuauthentifiant.ilpermetlefiltragedesconnexionsparutilisateurenplusdeceluipar adresseip. NuFWestpré installésurlepare feuamon. Samiseenœuvre,nécessitel'installationd'unprogrammeclientsurtouslespostesdel'établissement. NuFWsousWindows LesclientsScribe NuWinCestleclientNuFWpourWindows. LeclientNuWinCestintégréauclientScribemaisilestdésactivépardéfaut. Avanttout,ilfautactiverleclientNuWinC.CelasefaitdansESU. Aprèsl'avoiractivé,ilfautparamétrerl'IPdel'Amonetleportduserveurd'authentificationNuauth(4129). Écran137ConfigurationmachinedeNuWinC ESUpermetderéglercertainsparamètresspécifiquesàNuWinC. Ilest,parexemple,possibledeprotégeroudemasquerleclientNuFW. EOLE( 237

238 LesclientsScribe Écran138ConfigurationutilisateurdeNuWinC NuFWsousEclair/ClientScribe PourconfigurerleclientNuFWsousEclair/ClientScribeouClientHorus,ilsuffitd'allerdansl'ongletgénéralde l'interfacedeconfigurationdumoduleetd'activerl'authentificationnufw. Indiquerensuitel'adresseIPdel'AmonetlenumérodeportduserviceNuauth(4129pardéfaut). Écran139ConfigurationdeNuFWdansgen_config EOLE( 238

239 4 Clients FTP Si l'accès FTP est activé dans l'interface de configuration du module ( Services/Activation de l'accèsftp),lesutilisateurspeuventaccéderàleursdonnéesparl'intermédiaired'unclientftp. Dans l'onglet Ftp de l'interface de configuration du module (en mode expert), il est possible d'activer/désactiverl'analysedesfichiersparl'anti virusainsiquelechiffrementtls. LesclientsScribe Activation du chiffrement TLS LeséchangesréalisésavecduFTPsécurisénepassentpasoudifficilementlespare feu. 5 Clients Jabber Jabber,égalementconnusouslenomdeXMPP,estunensembledeprotocolesstandardsouvertsdel'IETF demessagerieinstantanéeetdeprésence,etplusgénéralementunearchitecturedécentraliséed'échangede données. Jabberestégalementunsystèmedecollaborationenquasi temps réeletd'échangemultimédiaviajingle, dont la VoIP (téléphonie sur Internet), la visioconférence et l'échange de fichiers sont des exemples d'applications Mise en place du serveur jabber Le service jabber (ejabberd) n'est pas préinstallé sur Scribe mais il est pré packagé en tant que paquet additionnel. Ildoncavanttout,installerlespaquetsnécessairesaveclacommande: apt eoleinstalleole ejabberd Ilfautensuiteactiverleserveurenrépondant"oui"àlaquestionActivationduserveurEjabberd dansl'ongletservicesdel'interfacedeconfigurationduserveur. Laconfigurationduserveurejabberdpeutêtreaffinéeenutilisantlemodeexpert(ongletEjabberd). Écran140Personnalisationduserviceejabberdvial'interfacedeconfigurationduserveur Ilestnécessairedereconfigurerleserveurpourquelesmodificationssoientprisesencompte. EOLE( 239

240 5.2. Configuration d'un client Unefoisleservicemisenplace,ilestpossibledes'yconnecterenutilisantn'importequelcompteprésent dansl'annuaire. Denombreuxlogicielssontcompatiblesjabberd,lesplusconnussont:Pidgin,Gajim,CoccinellaetKopete. Configuration de Pidgin LesclientsScribe Écran141ConfigurationdePidgin:ongletEssentiel Écran142ConfigurationdePidgin:ongletAvancé EOLE( 240

241 6 Autres logiciels ALIAS Automatiseur Libre d Installation d Applications pour Scribe est un logiciel développé par le DRT du CRDP de l'académie de Lyon. Son utilisation est décrite ici: lyon.fr/serv_ress/mission_tice/wiki/doku.php?id=alias:alias LesclientsScribe BlockInput BlockInput estunlogicieldéveloppéparjacquesthomasdulycéejacquescœurbourges(18).ilsertà verrouillerleclavieretlasourispendantl'exécutionduscriptdelogonsurlesstationswindows98/me. SurScribesonlancementestpréconfiguré,ilestcependantpossibled'yapporterquelquesmodificationsen suivantladocumentationftp://eole.orion.education.fr/doc pdf/scribe/blockinput.pdf EOLE( 241

242 Les applications web LeserveurpédagogiqueScribeproposeunensembled'applicationswebadaptéespourfonctionneravecun serveurd'authentificationunique. Lesapplicationsweb XII Grâceàcetteméthoded'authentificationunique,lesutilisateursdeScribeseconnectentuneseulefoispour accéderàl'ensembledesapplications.desrôlessontprédéfinisdanschacuned'entreelles. Ilestpossibledanscertaines,demodifierlesrôlesprédéfinispourl'utilisateur. Parmi les services web qu'il est possible de proposer on trouve des cahiers de texte numérique, des gestionnairesdefichiers,descmsmaisaussiunportail. Le portail Envole permet de centraliser les différentes applications web et offre bien d'autres services: widgets,réseauxsociaux,délégationdedroits... Le paramétrage du module Amon permet de rendre ces services web accessibles depuis l'extérieur de l'établissement. Application par défaut Si le portail Envole n'est pas activé, l'application web par défaut est SquirrelMail et l'adresse Ilestpossibledemodifiercecomportementdansl'interfacedeconfigurationdumodule: En Mode > Expert, onglet Apache > Application Web par défaut (redirection), saisir le chemin souhaité. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. EOLE( 242

243 1 SSO L'authentification unique (SSO) EOLEproposeunmécanismed'authentificationuniqueparl'intermédiaired'unserveurSSO *.Ceserveurest compatiblecas,samletopenid. L'utilisationd'unserveurSSO* permetdecentraliserl'authentification.ens'authentifiantauprèsduserveur SSO*,lesutilisateurspeuventseconnecterauxdifférentesapplicationswebsansavoiràseré identifiersur chacuned'elles. Configuration Dansl'interfacedeconfigurationdumodule,vouspouvezactiverl'authentificationSSOàl'endroitsuivant: Lesapplicationsweb OngletServices >GestionduserviceSSOeole Vousdevezensuiterenseignerl'adresseIPduserveurSSO* àutiliser.vouspouvezutilisersoitleserveur SSOdumodule,soitunserveurdistant: OngletServices sso >AdresseIPduserveurd'authentification Cetteopérationnécessitelareconfigurationdumoduleparlacommande[reconfigure]. Comptes utilisateurs pris en compte par le serveur SSO PardéfautleserveurSSO*installésurlesmodulesEOLEutiliseunseulannuaireLDAP.Ilpourrait être envisageable de le faire évoluer pour utiliser d'autressources de comptes utilisateurs (base localedescomptesparexemple). Connexion Une connexion vers une application ( redirige le navigateur vers le serveur SSO* ( afin d'effectuer l'authentificationviaunformulaire: Fig.32:formulaired'authentificationSSO * LorsqueleserveurSSO validelecoupleidentifiant/motdepassedel'utilisateur,ildélivreaunavigateurun jeton sous forme de cookie et le redirige vers l'application ( L'applicationreconnaitlejetonetautorisel'accèsàl'utilisateur. Remarque Lenavigateurdoitêtreconfigurépouraccepterlescookies. EOLE( 243

244 2 Grr Présentation Lesapplicationsweb Écran143Paged'accueildeGRR EOLE( 244

245 GRR(GestionetRéservationdeRessources)estunoutildegestionderéservationdesallesetdematériels. Installation Celogicielestpré installésurlemodulescribemaisiln'estpasactivépardéfaut. Ilestactivabledepuisl'interfacedeconfigurationdumodule,dansl'ongletEnvole. L'applicationn'estpasdisponibleimmédiatementaprèsl'activation. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. Accéderàl'application Pouraccéderàl'application,serendreàl'urlhttp://<adresse_serveur>/grr/ Lesapplicationsweb L'authentificationpeutêtreréaliséeparlebiaisduserveurSSOouêtregéréeparl'application. Rôledesutilisateurs(SSOactivé) Il est possible dans le menu "Configuration SSO" de sélectionner le rôle à donner aux différents profils existantslorsdeleurpremièreconnexion. Par défaut les rôles sont restreints, l'administrateur doit donc définir finement les rôles avant même le lancementdel'application. Administrateur Seull'utilisateuradminest"administrateur"del'application. Ilpeut déléguerce rôle endonnantlesdroits"administrateur" àunutilisateur ayant initialiséson compte. Gestionnaire Legestionnaireàlesdroitspourgérertelleoutelleressource. Gestionnaireutilisateur Legestionnaired'utilisateurpeutajouter,éditer,supprimerdesutilisateursayantpourstatut"usager" ou"visiteur", L'administrateurpeutdéléguerledroitdegérerlesutilisateurs. Usager Lesprofesseursontpardéfautunaccès"usager"àl'application. L'usagerpeutcréer,modifieroueffacersespropresréservations. Visiteur Les administratifs,lesélèves,lesresponsablesetlesinvités ontpar défautun accès"visiteur"à l'application. Un«visiteur»peutvoirlesréservationsmaisnepeutpasagirdessus. EOLE( 245

246 Remarques Sil'authentificationestgéréeparl'applicationetnonpasleserveurSSO,ilfaututiliserlecompte "administrateur" avec pour mot de passe azerty (par mesure de sécurité le mot de passe doit absolumentêtrechangé). Lors d'un changement de version, il se peut qu'une mise à jour de la base de données soit nécessaire. Dans ce cas, une page d'avertissement s'affiche avecun lien "Mettre à jour la base MySQL"permettantàl'administrateurd'effectuercetteaction. Ilestpossiblededésactiverl'applicationdepuisl'interfacedeconfigurationdumodule,dansl'onglet Envole. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. Lesapplicationsweb LescomptessontcréésdansGRRlorsdelapremièreconnexiondesutilisateurs(initialisationdu compte). 3 Gibii Présentation Écran144Paged'accueildeGibii EOLE( 246

247 Gibii(GestionInformatiséeduB2I)proposeunegestioninformatiséecomplèteduB2I(BrevetInformatiqueet Internet). bordeaux.fr InstallationdeGibii Celogicielestpré installésurlemodulescribemaisiln'estpasactivépardéfaut. Ilestactivabledepuisl'interfacedeconfigurationdumodule,dansl'ongletEnvole. L'applicationn'estpasdisponibleimmédiatementaprèsl'activation. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. Accéderàl'application Lesapplicationsweb Pouraccéderàl'application,serendreàl'urlhttp://<adresse_serveur>/gibii/ L'authentificationsefait obligatoirement parlebiaisduserveurssosaufpourlesuperadministrateur,ce servicedoitdoncêtreactif. Console d'administration du super administrateur La console de super administration de Gibii est accessible à l'url: Lecompteestsadminetlemotdepassepardéfautestsadmin. Changement de mot de passe pour sadmin Ilfautimpérativementchangerlemotdepassedel'utilisateursadmin. Rôlesdesutilisateurs Attention Encoursd'écriture superadministrateur L'utilisateursadminestleseulsuperadministrateur. IlpeutgérerlesétablissementscentralisésdansGibiietavoiraccèsauxstatistiques. administrateur Seull'utilisateuradminest"administrateur"del'application. Ilalagestiondesélèvesetdesprofesseurs. Ilpeut déléguerse rôle endonnantlesdroits"administrateur" àunutilisateur ayant initialiséson compte. gestionnaire Remarques Attention Encoursd'écriture Ilestpossiblededésactiverl'applicationdepuisl'interfacedeconfigurationdumodule,dansl'onglet Envole. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. EOLE( 247

248 4 Gepi Présentation Lesapplicationsweb Écran145Paged'accueildel'adminGepi Gepiestunlogiciellibredegestiondesnotes,desabsences,etdescahiersdetextepourlesétablissements francophonesduseconddegré. InstallationdeGepi Celogicielestpré installésurlemodulescribemaisiln'estpasactivépardéfaut. Ilestactivabledepuisl'interfacedeconfigurationdumodule,dansl'ongletEnvole. L'applicationn'estpasdisponibleimmédiatementaprèsl'activation. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. Accéderàl'application Pouraccéderàl'applicationserendreàl'urlhttp://<adresse_serveur>/gepi/ Danscetteversionpré installée,l'authentificationn'estgéréequeparl'application. Authentification par SSO L'authentificationparlebiaisduserveurSSOnepeutêtreréaliséequ'àpartirdelaversion EOLE( 248

249 Migrationverslaversion1.5.1 Lamiseàjourdesdonnéesn'étantpasgéréenativement,laversion1.5.0esttoujourslaversionpardéfaut. Seuleuneprocéduredepatchpermetd'accéderàlaversion Importationdecomptes Seconnecterenadmin; DansGestiongénérale,importerdesdonnéesdepuisleserveurLDAPduScribe. Lescomptes(élèvesetprofesseurs),lesmatières,lesclasses,lesliensprofesseurs matières,ainsiqueles liensélèves classessontcréésdansl'application.dansgestiongénérale: allerdirectementàl'étape4:lefichierdemandépeutêtretrouvésuiteàuneimportationdansle répertoire personnel de l'administrateur (/home/a/admin/perso/gepi/prof_disc_classes.csv) et lancer l'importation; àl'étape5:lefichierdemandépeutêtretrouvésuiteàuneimportationdanslerépertoirepersode l'administrateur(/home/a/admin/perso/gepi/eleves_options.csv),lancerl'importation. Lesapplicationsweb L'applicationestalorsutilisable. Attention Cetteopérationestàrenouveleràchaqueimportationoucréationdecomptes. Rôlesdesutilisateurs Attention Encoursd'écriture Remarques Ilestpossiblededésactiverl'applicationdepuisl'interfacedeconfigurationdumodule,dansl'onglet Envole. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. 5 Webcalendar Présentation Écran146Paged'accueildeWebcalendar EOLE( 249

250 Webcalendarestuneapplicationd'agendaspartagés. Installation Celogicielestpré installésurlemodulescribemaisiln'estpasactivépardéfaut. Ilestactivabledepuisl'interfacedeconfigurationdumodule,dansl'ongletEnvole. L'applicationn'estpasdisponibleimmédiatementaprèsl'activation. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. Accéderàl'application L'accèsàl'applicationsefaitparlebiaisdehttp://<adresse_serveur>/calendar/ Lesapplicationsweb L'authentificationsefaitobligatoirementparlebiaisduserveurSSO,ceservicedoitdoncêtreactif. Rôlesdesutilisateurs Toututilisateurprésentdansl'annuaire,exceptélesresponsables,aaccèsàl'application. Administrateur Seull'utilisateuradminest"administrateur"del'application. Ilaunaccèscompletàl'applicationetàsaconfiguration. Ilpeutdéléguercerôleendonnantlesdroits"administrateur"àunutilisateur. Enseignant/Administratif Ilaunaccèsauxagendasdetouslesautresutilisateurs. Elève Unélèveaccèdeauxagendasdesclassesetàceuxdesautresélèves. Assistant Toututilisateurpeutdéfinirun(des)assistant(s)pourdéléguerlagestiondesonagenda. Danscecas,toutévènementcrééparunassistantdansl'agendad'unutilisateurestcréédanslesien etsoumisàvalidationdansl'autre. Remarques Ilestpossiblededésactiverl'applicationdepuisl'interfacedeconfigurationdumodule,dansl'onglet Envole. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. Lorsd'unchangementdeversion, lesmisesàjourde la basededonnéessont automatisées et aucuneinterventiondel'administrateurn'estnécessaire. LorsqueCdtestactivéenmêmetempsqueWebcalendar,lesinformationsrentréesdanslecahier de texte (emploi du temps importé depuis Sconet, devoirs,...) sont automatiquement visibles sur l'agendad'unenseignantoud'unélève. Cettefonctionnalitéestactivéepardéfaut. Ilestpossibled'autoriserlesélèvesàaccéderauxagendasdesenseignants: Réglages >Réglagesdusystème >ongletréglages >chapitrerestrictions. Cette option est inactive dès que le Contrôle d'accès Utilisateur est activé et nécessite une configurationmanuelledesdroitspourchaqueutilisateur. EOLE( 250

251 6 Dokuwiki Présentation Lesapplicationsweb Écran147Paged'accueildeDokuwiki DokuWiki est un Wiki simple d'utilisation. Il permet l'édition et la rédaction commune entre plusieurs utilisateurs. InstallationdeDokuwiki DokuWikis'installemanuellement,saisirlescommandessuivantesdansunterminal: #Query Auto #apt eoleinstalleole dokuwiki L'applicationestdisponibleimmédiatementaprèsl'installation. Attention! Ilexisteunpaquetdokuwikiqu'ilnefautpasconfondreaveclepaqueteole dokuwiki. EOLE( 251

252 Accéderàl'application Pouraccéderàl'applicationserendreàl'urlhttp://<adresse_serveur>/dokuwiki/ L'authentificationsefaitobligatoirementparlebiaisduserveurSSO,ceservicedoitdoncêtreactif. Rôlesdesutilisateurs Les élèves, les enseignants et les administrateurs ayant un compte sur Scribe possèdent un accès à l'application. administrateur Seull'utilisateuradminestadministrateurdel'application. Ilaunaccèscompletàl'applicationetàsaconfiguration. Lesapplicationsweb Ilnepeutpasdéléguerserôleàunautreutilisateur. Parcontre,ilpeut,malgrétout,ajouterdesprivilègesàunouplusieursutilisateurs. user ToutepersonneayantuncompteauthentifiésurScribeest"user".Iladroitdelecturesurl'ensemble Lesélèvesontledroitdelecturesurl'ensembleduwiki. visiteuranonyme Nepeutpasaccéderàl'application. Remarque Lesrôlessontdirectementmodifiablesdansl'applicationparl'administrateur: Remarque Ilestpossiblededésactiverl'applicationdepuisl'interfacedeconfigurationdumodule,dansl'onglet Envole. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. EOLE( 252

253 7 Ajaxplorer Présentation Lesapplicationsweb Écran148ExplorationdefichiersavecAjaxplorer Ajaxplorerestungestionnairedefichiersenligne. Cegestionnairepermetdenaviguerdansl'arborescencedesfichiersutilisateurs.Ilpermetégalementl'édition defichiers,l'écoutedefichiersaudio,l'affichaged'images,... Denombreusesautresfonctionnalitéssontàvenir. Installationd'Ajaxplorer Ajaxplorers'installemanuellement,saisirlescommandessuivantes: #Query Auto #apt eoleinstallajaxplorer L'applicationn'estpasdisponibleimmédiatementaprèsl'installation. Ilfautactiverl'applicationdepuisl'interfacedeconfigurationdumodule,dansl'ongletEnvole. L'applicationn'estpasdisponibleimmédiatementaprèsl'activation. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. Attention! L'applicationnécessitel'activationdel'accèsFTP. Depuis l'interface de configuration du module, dans l'onglet Services mettre Activation de l'accèsftpàoui. EOLE( 253

254 Accéderàl'application Pouraccéderàl'applicationserendreàl'urlhttp://<adresse_serveur>/ajaxplorer/ L'authentificationsefaitobligatoirementparlebiaisduserveurSSO,ceservicedoitdoncêtreactif. Rôlesdesutilisateurs Pardéfautlesrôlesdesutilisateurssontassignéscommesuit: Administrateur Seull'utilisateuradminestadministrateurdel'application. Ilaunaccèscompletàl'applicationetàsaconfiguration. Ilpeutdéléguercerôleendonnantlesdroitsadministrateuràunutilisateur. Lesapplicationsweb Utilisateurauthentifié ToututilisateurayantunrépertoirepersonnelsurScribepossèdeunaccèsàl'application. Remarques LescomptessontcréésdansAjaxplorerlorsdelapremièreconnexionàl'application(initialisationdu compte). Ilestpossiblededésactiverl'applicationdepuisl'interfacedeconfigurationdumodule,dansl'onglet Envole. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. 8 Moodle Présentation Écran149Paged'accueildeMoodle EOLE( 254

255 Moodle est une plate forme d'apprentissage en ligne (e learning en anglais) servant à créer des communautésd'apprenantsautourdecontenusetd'activitéspédagogiques Àunsystèmedegestiondecontenu,Moodleajoutedesfonctionspédagogiquesoucommunicativespour créerunenvironnementd'apprentissageenligne. C'est une application permettant de créer, par l'intermédiaire du réseau, des interactions entre des pédagogues,desapprenantsetdesressourcespédagogiques. InstallationdeMoodle Moodles'installemanuellement,saisirlescommandessuivantes: #Query Auto #apt eoleinstalleole moodle Lesapplicationsweb L'applicationestdisponibleimmédiatementaprèsl'installation. Attention! Ilexisteunpaquetmoodlequ'ilnefautpasconfondreaveclepaqueteole moodle. Lepaquetunefoisinstalléprend76Mo. EOLE( 255

256 Accèsàl'application L'accèsàl'applicationsefaitparlebiaisdehttp://<adresse_serveur>/moodle/ L'authentificationsefaitobligatoirementparlebiaisduserveurSSO,ceservicedoitdoncêtreactif. Rôlesdesutilisateurs Toututilisateurprésentdansl'annuairepossèdeunaccèsàl'application. Administrateur Seull'utilisateuradminest"administrateur"del'application. Ilaunaccèscompletàl'applicationetàsaconfiguration. Ilpeutdéléguercerôleendonnantlesdroits"administrateur"àunutilisateurayantinitialisésoncompte: Lesapplicationsweb Utilisateurs/Attributiondesrôlessystème/choisirunrôle >ajouterunutilisateur pourlerôlechoisi. Pardéfautlesrôlessonttrèsrestreints,l'administrateurdoitdoncdéfinirfinementlesrôlesavantmêmele lancementdel'application: Utilisateurs/Permissions/Définitiondesrôles >choisirlerôleàmodifier Créateurdecours Lesenseignantssont"créateurdecours",ilspeuventcréerdescoursetyconvierdesélèves(ainsique d'autresutilisateurs),ilpeutêtreintéressantdeleurmettreunrôleenseignant(voirplusbas). Utilisateurauthentifié Lesélèvesetlesadministratifssontpardéfaut"utilisateurauthentifié",pardéfautilpeuventvoirlescours disponibles. Remarques Seull'enseignantalechoixdesonadressedemessagerielorsdesapremièreconnexion. Ilestpossiblededésactiverl'applicationdepuisl'interfacedeconfigurationdumodule,dansl'onglet Envole. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. Ilexiste desproblèmes d'encodage pourcertaines pagesde l'application essentiellement dans la partieadministration. Attention! LesdonnéesajoutéesàMoodlesontstockéesdans/var/www/moodledata/doncattentionà l'espacedontvousdisposezsurlapartition. Lesrèglesd'authentificationsontdirectementmodifiablesdansMoodleparl'administrateur. L'authentification:Utilisateurs/Authentification Unemodificationpourraitrendreinutilisablel'authentificationparlebiaisduserveurSSO. EOLE( 256

257 Premierspas Poursynchroniserlescomptesdel'annuaireldapdeScribedirectementdansmoodle. L'opérationnécessitelelancementdelacommandesuivante: [/usr/bin/php c/etc/php4/cli/php.ini/var/www/html/moodle/auth/cas/cas_ldap_sync_users.php] Exemple Nousallonsdécrirecommentcréerlaclassedeseconde1ainsiquelecoursdemathématiquesde cetteclasse. Dans l'interface d'administration de l'application, aller dans Cours / Gestion des cours; Créeruncours"seconde_1"auformatInformel(cecourscorrespondraàvotreclasse); Créer un cours "seconde_1_math" mettre S'agit il d'un méta cours? à Oui (ce cours correspondraaucoursdemathématiques); Choisirlesoptions,valider,unepageCoursdescendantsapparait; Mettrelecoursseconde_1commecoursdescendants,valider. Lesapplicationsweb Laclasseetlecourssontalorscréés. Inscriptiondesutilisateurs Exemple Inscrivonsàprésentlesélèvesdansleurclasse. Depuislalistedescoursdisponibles,allerdanslecoursseconde_1; DansAttributiondesrôles,cliquersurEtudiant; Ajouterlesélèvesdelaclasse; CliquersurAttribuerlesrôlesdansCours :seconde_1. Inscrivonsl'enseignantdemathématiqueàsoncours: Depuislalistedescoursdisponibles,allerdanslecoursseconde_1_math; DansAttributiondesrôles,cliquersurEnseignant; Ajouterl'enseignant; CliquersurAttribuerlesrôlesdansCours :seconde_1_math. Améliorerlesaccès Uncréateurdecoursvoitl'ensembledescourscequirendlavuecomplexe. Lesenseignantssontcrééspardéfautaveccerôle. Al'usage,ilpeutêtreplusjudicieuxd'attribuerlerôleEnseignant. Pourcefaire,dansl'interfaced'administration: AllerdansUtilisateurs/Permissions/Attributiondesrôlessystèmeetcliquer surenseignant; ChoisirlescomptesCréateurdecoursetcliquersurAttribuerlesrôlesSystème. L'affichagepardéfautd'uncourspeutparaitresurchargé,ilestpossibledesupprimerdesblocsd'affichage. Pourcefaire,dansl'interfaced'administration: AllerdansPlugins/Blocs/Gestiondesblocs; Désactiverlesblocsinutiles. EOLE( 257

258 9 Taskfreak Présentation Lesapplicationsweb Écran150Paged'accueildeTaskfreak EOLE( 258

259 Taskfreakestungestionnairedeprojet. Ilpermetdesuivrel'avancéed'unprojetréaliséenéquipe.Unprojetestdécoupéentâches. InstallationdeTaskfreak Celogicielestpré installésurlemodulescribemaisiln'estpasactivépardéfaut. Ilestactivabledepuisl'interfacedeconfigurationdumodule,dansl'ongletEnvole. L'applicationn'estpasdisponibleimmédiatementaprèsl'activation. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. Accéderàl'application Lesapplicationsweb Pouraccéderàl'applicationserendreàl'urlhttp://<adresse_serveur>/taskfreak/ L'authentificationsefaitobligatoirementparlebiaisduserveurSSO,ceservicedoitdoncêtreactif. Rôlesdesutilisateurs Pardéfautlesrôlesdesutilisateurssontassignéscommesuit: Administrateur Seull'utilisateuradminest"administrateur"del'application. Ilaunaccèscompletàl'applicationetàsaconfiguration. Ilpeutdéléguercerôleendonnantlesdroits"administrateur"àunutilisateur. Chefdeprojet Les enseignants sont "chef de projet", ils peuvent créer des nouveaux projets et des nouvelles tâches. Ilpeuventégalementajouterdesutilisateursexistantsàunprojetet/ouàunetâche. Participant Lesélèvessont"participant",ilspeuventcréerdesnouvellestâches,lesassigneretlesfaireavancer. Invité Aucunutilisateurn'estliéàcerôle. Visiteuranonyme Nepeutpasaccéderàl'application. Remarque Iln'estpaspossibledemodifierlesrôlesdansl'application. Remarques Ilestpossiblededésactiverl'applicationdepuisl'interfacedeconfigurationdumodule,dansl'onglet Envole. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. LescomptessontcréésdansTaskfreaklorsdelapremièreconnexionàl'application(initialisationdu compte). Les enseignants ne peuvent doncpasassigner à un projet desélèves n'ayant pas initialisé leur compte. EOLE( 259

260 10 Cdt Présentation Lesapplicationsweb Écran151UtilisationdeCdt Cdtestuncahierdetextenumérique. Ilpermetauxenseignantslasaisiedesdevoirsdanslecahierdetexteetlaconsultationpourlesélèves. caen.fr/bsauveur/cahier_de_texte Installation Celogicielestpré installésurlemodulescribemaisiln'estpasactivépardéfaut. Ilestactivabledepuisl'interfacedeconfigurationdumodule,dansl'ongletEnvole. L'applicationn'estpasdisponibleimmédiatementaprèsl'activation. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. Remarque CdtestsurnomméChocolatdansl'interfacedeconfigurationdumodule. CetteapplicationestsouslicenceGPLmaisenmargedecettelicencevousêtesconviéàoffrirune tablettedechocolataudéveloppeurdel'application. caen.fr/bsauveur/cahier_de_texte/?page_id=6 EOLE( 260

261 Accéderàl'application Pouraccéderàl'applicationserendreàl'urlhttp://<adresse_serveur>/cdt/ L'authentificationsefaitobligatoirementparlebiaisduserveurSSO,ceservicedoitdoncêtreactif. Rôlesdesutilisateurs Toututilisateurprésentdansl'annuaireexceptélesresponsableslégauxpossèdeunaccèsàl'application. Lesprofilsélève,professeuretadministrateursontautomatiquementassociésauxutilisateursdel'annuaire. Administrateur L'utilisateuradminestadministrateurdel'application,ilpeutnotammentprocéderàl'importdesemploisdu tempsdepuislesfichierssconetsts_emp_xxx.xml/emp_sts_xxx.xml Lesapplicationsweb Professeur Lesenseignantsontunaccèsprofesseuràl'application,ilpeuventrenseignerlecahierdetexte. Élève Les élèves peuvent seulement consulter le cahier de texte, ils ne peuvent pas l'éditer mais accèdent automatiquementaucontenudeleurclasse. Autresrôles Ilssevoientcréerdanslecahierdetexteuncomptebloquépardéfaut.Lesprofilsdirectionetviescolairesont disponiblesdansl'application,ilrevientàl'utilisateuradmindelesassocierauxutilisateursconcernés. Remarques Ilestpossiblededésactiverl'applicationdepuisl'interfacedeconfigurationdumodule,dansl'onglet Envole. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. LorsqueWebcalendarestactivéenmêmetempsqueCdt,lesinformationsrentréesdanslecahier de texte (emploi du temps importé depuis Sconet, devoirs) sont automatiquement visibles sur l'agendad'unenseignantoud'unélève.cettefonctionnalitéestactivéepardéfaut. Lors d'un changement de version, il se peut qu'une mise à jour de la base de données soit nécessaire. Dans ce cas, le message "Une mise à jour de la base de données est nécessaire" apparaitenrougedanslemenudel'administrateurquidoitlancercettemiseàjourparlelien"miseà jourdelabasededonnées". 11 Webshare Présentation EOLE( 261

262 Écran152ExplorationdefichiersavecWebshare Lesapplicationsweb Webshareestungestionnairedefichiersenligne. Cegestionnairepermetdenaviguerdansl'arborescencedesfichiersutilisateurs. Ilpermetégalementl'éditiondefichier,l'écoutedefichiersaudio,l'affichaged'images... InstallationdeWebshare Celogicielestpré installésurlemodulescribemaisiln'estpasactivépardéfaut. Ilestactivabledepuisl'interfacedeconfigurationdumodule,dansl'ongletEnvole. L'applicationn'estpasdisponibleimmédiatementaprèsl'activation. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. Attention! L'applicationnécessitel'activationdel'accèsFTP. Depuis l'interface de configuration du module, dans l'onglet Services mettre Activation de l'accèsftpàoui. Accèsàl'application L'accèsàl'applicationsefaitparlebiaisdehttp://<adresseduscribe>/webshare/ L'authentificationsefaitobligatoirementparlebiaisduserveurSSO,ceservicedoitdoncêtreactif. Rôlesdesutilisateurs ToututilisateurayantunrépertoirepersonnelsurScribepossèdeunaccèsàl'application. Remarques Ilestpossiblededésactiverl'applicationdepuisl'interfacedeconfigurationdumodule,dansl'onglet Envole. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. Gestiondefichiers(WebShare): MettreActivationdel'accèsFTPàoui. EOLE( 262

263 12 SquirrelMail Présentation Lesapplicationsweb Écran153ConsultationdemessagesavecSquirrelMail SquirrelMailestuneinterfacewebpourconsultersoncourrierélectronique(webmail). IlsupportelesprotocolesIMAPetSMTP. Sonobjectifestdefournirunecompatibilitéoptimalepourserendreaussiaccessiblequepossible. InstallationdeSquirrelMail SquirrelMailestinstalléetconfiguré. Accèsàl'application L'accès à l'application se fait par le biais de ou par dans le cas ou Envole n'est pas installé et que la configuration de l'applicationpardéfautdansl'interfacedeconfigurationdumodulen'apasétémodifiée. Si Envole est installé, l'accès à l'application peut se faire par le portail ou par l'adresse L'authentificationsefaitsoitparleSSOparl'annuaireLDAP. Rôlesdesutilisateurs Touslesutilisateursprésentsdansl'annuaireetayantuneboitedecourrierélectroniquelocaleontunaccèsà SquirrelMail. Ilssonttousutilisateursdel'application. Remarques LechangementdemotdepassedansSquirrelMailpermetlechangementdemotdepassepour l'ensembledesapplications: Options/Modifierlemotdepasse Les personnes n'ayant pas de boite de courrier électronique locale ont un message d'avertissementlorsqu'ellesessayentdeseconnecteràl'application. Accèsaucarnetd'adresse: Composer/Adresses(sousleblocd'expéditionentreSignatureetEnregistrerlebrouillon) >dansla fenêtresurgissante(pop up) >CliquersurToutafficher. EOLE( 263

264 13 Envole LeserveurpédagogiqueScribeproposeunportailWebnomméEnvole.Ilestpossibledeconfigurerleportail pourunaccèsdepuisl'extérieur. CettesectiondécritcommentconfigurerunserveurScribeetunserveurAmonpourutiliserEnvoleentant queportailextranet. Celasefaitentroisétapes: l'interfacedeconfigurationdumoduleamon; l'interfacedeconfigurationdumodulescribe; dansl'eadduserveuramon,activerlarègleoptionnelleouvrantl'accèsàenvole. Lesapplicationsweb Unefoiscesconfigurationseffectuées,votreportailestaccessibleparl'adressehttp://monetab.monacad.fr/, depuisl'intérieuroul'extérieurdel'établissement. Restrictions Certainesrestrictionsexistentlorsdel'utilisationduportail. L'interfaceEAD,notamment,pourdesraisonsdesécuritéresteinaccessibledepuisl'extérieur. EOLE( 264

265 13.1. Présentation UnEspaceNumériquePersonnel EnvoleestunEspaceNumériquePersonnel*pourl'Education. Il propose une interface de type portail Web 2.0* qui permet l'interaction entre un utilisateur et son environnementnumériquerésultantdel'utilisationdeserviceshétérogènes.* Il centralise dans une seule interface l'ensemble des applicationsde l'utilisateur : mail, agenda, dossier personnel,b2i,blog,gestiondenotes,gestiondesabsences,etc... Envole est adapté pour mettre en œuvre un Portail Internet Académique (PIA), un Portail Internet Etablissement(PIE)ouunEspaceNumériquedeTravail(ENT). Lesapplicationsweb Envoleestpersonnalisableparl'utilisateur,cedernierpeutajouterdesongletsetdesboutons,gérerses marque pages,utiliserdeswidgets. Pourl'authentificationdesutilisateurs,EnvoleutiliseunserveurSSO*. L'utilisationd'unserveurSSO* permetdecentraliserl'authentification.ens'authentifiantauprèsduserveur SSO*,lesutilisateurspeuventseconnecterauxdifférentesapplicationswebsansavoiràseré identifiersur chacuned'entre elles. Les applications web pré configurées disponibles sur le module Scribe utilisent ce serveur SSO pour l'authentification. Historiqueduprojet Envole1aétécrééparl'académiedeCréteilpourconstruiresasolutionENT:Cartableenligne. A la demande du Ministère de l'éducation nationale, les différentes évolutions ont permis la sortie d'une version1.5permettantl'utilisationd'envoledansd'autresacadémies. Envole1.5eststableetparfaitementutilisable.Ilesttoutefoismonolytique(modularitéréduite)etilnedevrait plustropévoluer. Envole2.0estunprojetmutualiséentrelesacadémiesdeCréteiletdeDijon.Cetteversionestmodulaireet proposedenouvellesapplicationsweb. Le pôle EOLE est chargé de sa diffusion et participe à l'élaboration de la solution, en particuliersur les aspectsannuaireldapetauthentificationsso Installation L'installationd'Envolesedécomposecommesuit: activationduservicessodumodule; configurationdel'authentificationcas; choixdelaversionetactivationdeenvole; sélectiondesapplicationswebpré configurées; configurationpourunaccèsextérieur. Cesdifférentesétapessefontàpartirdel'interfacedeconfigurationdumodule. ActivationduserveurSSOdumodule EOLE( 265

266 Lesapplicationsweb Écran154Configuration"Services" Dansl'ongletServicesdanslapartieAuthentificationSSO: mettregestionduservicessoeoleàoui; mettreutilisation du service sso pour les applications de votre serveurscribeàoui. Configurationdel'authentificationCAS EOLE( 266

267 Lesapplicationsweb Écran155Configuration"Service sso" Indiquer le chemin permettant aux applications web de rediriger les utilisateurs vers la mire en cas de connexionoudedéconnexion. Dansl'ongletService ssodanslapartieconfigurationdel'authentificationcas: Nom de domaine ou ip de redirection (utilisé par les applications web) Lavaleuràsaisirestlenomdedomaine. Attention!!! EOLE( 267

268 EOLE( Lesapplicationsweb 268

269 EOLE( Lesapplicationsweb 269

270 Attention SaisiruneadresseIPestpossiblemaisestincompatibleavecunaccèsextérieur. ChoixdelaversionetactivationdeEnvole Envole 1.5 Dansl'ongletEnvole,danslapartieEnvole1.5 mettreactiverl'accèsàenvole1.5àoui; dansurlduportailenvole(sanslehttp://)renseignerlenomdedomaineavec lequelvousvoulezaccéderàvotreportail. Lesapplicationsweb Attention SaisiruneadresseIPestpossiblemaisestincompatibleavecunaccèsextérieur. EOLE( 270

271 Envole 2 Dansl'ongletEnvole,danslapartieEnvOLE2 mettreactiverl'accèsàenvole2àoui; dans URL d'accès au portail EnvOLE 2(sans le http) renseigner le nom de domaineaveclequelvousvoulezaccéderàvotreportail. Attention SaisiruneadresseIPestpossiblemaisestincompatibleavecunaccèsextérieur. Sélectiondesapplications web Toujoursdansl'onglet Services,danslapartie Configurationcommune,choisirlesapplicationsàactiveren lespassantàoui. Lesapplicationsweb Écran156Sélectiondesapplicationsweb Chaque application est documentée séparément, référez vous à chacune d'entre elles pour plus d'informations(installation,accessibilité,rôlesdesutilisateurs,etc). Attention Certaines applications, comme les gestionnaires de fichiers en ligne, nécessitent l'activation de l'accèsftp. Depuis l'interface de configuration du module, dans l'onglet Services mettre Activation de l'accèsftpàoui. EOLE( 271

272 13.3. Accéder à l'application Unefoisinstallé,Envoleestaccessibleàl'adressehttp://<adresse_serveur>/ Silesdeuxversionsd'Envolesontactivées: Envole1.5estaccessibleàl'adressehttp://<adresse_serveur>/envole/ Envole2estaccessibleàl'adressehttp://<adresse_serveur>/ Accèsinterne PourunaccèsinterneàEnvolevouspouvezaccéderauportail: parlenomdemachine; parl'adresseip; parlenomdedomainesil'accèsextérieurestconfiguré. Lesapplicationsweb Accèsexterne PourunaccèsexterneàEnvolevouspouvezaccéderauportail: parlenomdedomaine. Attention LeserveurAmondoitêtreconfigurépourpermettrel'accèsextérieur. Rôlesdesutilisateurs Lescomptesd'accèsàEnvolesontceuxdel'annuairedéfinidansl'interfacedeconfigurationdumodule. Seull'utilisateuradminestl'administrateurduportail Configurer Amon pour Envole PourrendreaccessibleEnvoledepuisl'extérieur,ilfautactiveretconfigurerlepare feuetlereverseproxy. Pour configurer le pare feu, dans Général, Modèle de filtrage, choisir un modèle compatible "posh"(parexemple:4zones scribe posh nginx.xml). EOLE( 272

273 Lesapplicationsweb Écran157Configuration"Général" Pouractiverlereverseproxy,dansServices,mettreActivationduReverseProxyàoui. Écran158Configuration"Services" EOLE( 273

274 DansReverseproxy: IPduserveurSSOredirigé:renseignerl'IPduSSOutilisé(IPduScribe); IPduserveurPoshAdminredirigé:renseignerl'IPduportailutilisé(IPduScribe); Nomdedomaineàrediriger:donnerlenomdedomaineutilisépouraccéderàl'Amon (typiquement:monetab.ac monacad.fr); Répertoireounomdelapageàrediriger:"/"; mettreproxyhttpà"redirigevershttps"; mettreproxyhttpsàoui; IP ou domaine de destination (avec le http ou https) ou Url de destination: Lesapplicationsweb Écran159Configuration"Reverseproxy" SivousvoulezactiverleSSOsurAmon(siGestionduserviceSSOEOLEestàoui),dansl'onglet Service sso,l'option AdresseIPduserveurd'authentificationdoitêtreconfiguréeavecle nomdedomainepublicutilisédansenvole(typiquement:monetab.ac monacad.fr).danscecasl'utilisateur adminduscribeseraadministrateurdel'amon. Écran160Configuration"Service sso" Voiraussi... >cf"activerleportailenvoledansl'ead",page275. EOLE( 274

275 Activer le portail Envole dans l'ead Pouractivationdelarègleoptionnellepermettantl'accèsauportaildepuisl'extérieur,dansl'EADdel'Amon, Configuration Générale / Règles du pare feu, activer "Ouvrir le portail Envole 2.0(Posh)surinternet". Lesapplicationsweb Écran161ConfigurationEADpourEnvole Configuration sans Amon L'ongletEADduportailEnvolepointeversl'EADduserveurScribesurleport4203. EnvoleestconfigurépardéfautpourfonctionnerderrièreunAmon. Sivoussouhaitezutiliserautrechosequ'unserveurAmon,lavaleurduportestmodifiabledepuisl'interface deconfigurationdumodule: EnMode/ExpertongletEnvole expertpasserutilisationd'unreverseproxypourl'accès àl'eadànon Principes de fonctionnement de Envole 2 L'authentification LeserviceEole SSOassurel'authentificationauportailEnvole2. Lorsdelaphased'authentificationcelui cirenvoiedesinformationssurl'utilisateur,cequipermet,parlebiais d'unsystèmedeprofils,deconfigurerlapersonnalisationduportail. Configurationd'unportailpardéfaut Unclient serveurdeprofilspermet,depuislesinformationsvéhiculéesparl'authentificationsso,d'imposer l'affichaged'unongletdansleportaild'unutilisateur. Sil'utilisateurlesupprime,cetongletreviendraauprochainrechargementdelapage. Siilestsupprimédesonprofil,l'ongletresteratoutdemêmedanssonportail,maisilpourradésormaisle supprimer. LeBureau Une application desktop intégrée à Portaneo, permet de configurer des boutons d'accès rapide à des applicationsweb. Unboutonsedéfinitpar: Uneicône(facultative); UneURL; Unlibellé. EOLE( 275

276 Lesapplicationsweb Écran163Bureaud'accèsrapideauxapplications Gestiondesprofils Une interface de gestion de profils est disponible, elle permet d'administrer les profils pour l'application EnvOLE Gestionnaire de profils du portail Envole 2.0 Le gestionnaire de profils permet sur la base d'attributs utilisateurs de distribuer des profils incluant des autorisations. Écran164L'interfacedegestiondesprofils EOLE( 276

277 Legestionnairepermetde: créerdeséléments(itemsdebureau,onglets); créerdesprofils(professeur,élèves,élèvesdebts,...); associerlesprofilsauxéléments; créerdesattributsutilisateurs; associerdesutilisateursàcesprofilsparlebiaisdesattributsutilisateurs Créer un profil utilisateur Pourcréerunprofilutilisateur: Lesapplicationsweb allerdansajoutdeparamètres/profilutilisateur; entrerlenomduprofiletsadescription; valider. Attention Lenomduprofilnedoitcomprendreniespace,nicaractèrespécial Créer un onglet vers des pages externes Lesongletsduportailpeuventêtreforcésvialegestionnairedeprofils. Pourcréerunnouvelonglet: allerdansajoutdeparamètres/onglet; entrerunnom(unique); entrerunlibellé(affichédansleportail); entrerlaplacedel'onglet(indice):"1"signifiequel'ongletdoitêtreenpremièreplace; entrerletypeposhdel'onglet:mettre"2"pouruneurl; entrerl'urldel'application; laisserlechampidadmindel'ongletà" 1"; valider. L'ongletpeutalorsêtreassociéàunprofil. Attention Lesparamètrespassésdansl'URLnefonctionnentpas. Nepasmettreni"?",ni"&". EOLE( 277

278 Créer un item de bureau pour le plugin desktop du portail Leplugindesktopproposeunaccèsrapideàdesapplicationsviaunbureau. CebureauestcomposépardesboutonschargeantdesURLdansunefenêtrepermettantunaccèsrapide auxapplicationslesplusutilisées. Pourcréerunnouvelitemdebureau: allerdansajoutdeparamètres/itemdebureau; entrerunnom(unique); entrerunlibellé; entrerl'urldel'applicationassociée; entrerl'urld'uneicône(facultatif); Lesapplicationsweb L'itemdebureauestalorsdisponiblepourêtreassociéàunprofil. Attention Unongletbureaudoitêtredisponiblepourl'utilisateurafinquel'onpuisseluiassocierdesitems. Voiraussi... >cf"téléchargerdesicônesdebureau",page Autoriser des éléments pour des profils Leséléments(onglets,itemsdebureau),unefoiscréés,nesontpasdisponibles. Ilfautlesautoriserenlesassociantàdesprofils. Autoriserunonglet AllerdansPermission/Autoriserdesonglets; choisirleprofildanslalistedéroulante; choisirlesongletsdanslalistededroite(garder[ctrl]appuyépourunesélectionmultiple); cliquersurlaflèchedetransfertverte; valider. Lesutilisateursayantleprofilchoisidisposerontdunouvelongletlorsduprochainaffichagedeleurportail (pasbesoindesereconnecter[ctrl]+[r]suffit). Pourenleverdesonglets,laprocédureest:choisirlesongletsàgauche,lestransféreraveclaflècherouge etvalider. Remarque Lesongletssupprimésd'unprofil EOLE( 278

279 Autoriserunitemdebureau AllerdansPermission/Autoriserdesitemsdebureau choisirleprofildanslalistedéroulante; choisirlesitemsdebureaudanslalistededroite(garder[ctrl]appuyépourunesélectionmultiple); cliquersurlaflèchedetransfertverte; valider. Lesutilisateursayantleprofilchoisidisposerontdunouvelitemlorsduprochainaffichagedeleurportail(pas besoindesereconnecter[ctrl]+[r]suffit). Pourenleverdesitemsdebureau,laprocédureest:choisirlesitemsàgauche,lestransféreraveclaflèche rougeetvalider. Lesapplicationsweb Attention Unongletbureaudoitêtredisponiblepourl'utilisateurafinquel'onpuisseluiassocierdesitems Associer des utilisateurs à un profil Unprofilestliéàdespermissions.Afindedonneraccèsàcespermissionspourunutilisateurdonné,ilfautlui associerleprofilenquestion.l'associationsefaitviadesattributsutilisateur. Lesattributsd'unutilisateursontvéhiculésparleportaildepuisleserveurd'authentificationSSOetpermettent àl'utilisateurd'êtrefinementidentifié: JesuisMonsieurDupond Montypeadminest2(jesuisprofesseur) LeRNEdemonétablissementestle Étape1 Créeruneentréepourl'attribututilisateuràconsidérer: allerdansajoutdeparamètres/attribututilisateur; entrerlenomdel'attribut(typiquementuneclédel'annuaireldap,éventuellementautrechosesivous avezconfigurévotressopourquecesinformationssoientvéhiculées)ex:typeadmin; entrerlavaleurdecetattribut,ex:"2"; valider; Cet"attribututilisateur"estalorsdisponiblepourêtreassociéàunprofil. Truc & astuce LavaleurNonesignifie"valeurquelconque".Seulelaprésencedelaclécomptedanscecaslà. EOLE( 279

280 Étape2 Associerl'attribututilisateuràunprofil: allerdanspermission/définirdesrôles; choisirl'attribututilisateur; choisirlesprofilsdanslalistededroitepourlesassocieràcetattribut(garder[ctrl]appuyépourune sélectionmultiple); cliquersurlaflèchedetransfertverte; valider. Lesutilisateursayantl'attributconsidéré(typeadmindevaleur2dansnotrecas)aurontleprofilchoisi(ex: professeur), Lesapplicationsweb ainsiquetouteslesautorisationsquivontavec(ongletsetitemsdebureau). Pourenleverunlienentreunprofiletunattribututilisateur,procédureinverse(choisirleprofildanslalistede gauche,transfereraveclaflècherougeetvalider) Visualiser / supprimer des éléments Ilestpossibledevisualiseretdesupprimerdesélémentsréférencés(profil,itemdebureau,onglet,attribut utilisateur). Écran165Editiondesitemsdebureau DepuislemenuModification/Suppression: choisirletyped'élément; untableaulistelesélémentsdecetype,ilestpossibledelessupprimergrâceàlacroix. EOLE( 280

281 Télécharger des icônes de bureau Ilestpossibled'ajouterdesicônespourillustrervositemsdebureau. Cesicônessontchargéessurleserveuretsontensuitedisponiblesenaccèsweb. allerdansajoutdeparamètres/téléchargeruneicône; sélectionnervotrefichieràtélécharger; rentrerunéventuelnouveaunom; télécharger; l'icônesetrouvedésormaisdanslalisteetaétéredimensionnéeauformat32x32. Attention Lesapplicationsweb Sivousrenommezvotrefichierimage,vousdevezimpérativementluimettreuneextensionfaisant partiedestypesconnus(.jpg,*.png,*.ico,*.gif,...). Copiezl'URLdel'imageetcollez làdanslaconfigurationdevotreitemdebureau. Poursupprimeruneicône: allerdansajoutdeparamètres/téléchargeruneicône; cliquersurleboutondesuppressioncorrespondant Personnalisations visuelles La mire Eole SSO Méthode1 Lafeuilledestylepardéfautmain.cssimportelafeuilletheme.css Éditerlefichiertheme.cssdans/usr/share/sso/interface/theme/style/ S'inspirerdelaversiondufichierd'origine/usr/share/sso/interface/leaves.css Utiliserlerépertoire/usr/share/sso/interface/theme/imagespourajoutervosimages. Rechargervotrepaged'authentification,lafeuilledestyleestimportée. Méthode2 LafeuilledestyleCSSpardéfaututiliséelorsdel'affichagedelapaged'authentificationauportailest: /usr/share/sso/interface/leaves.css Ilestpossibled'utiliserunefeuilledestyleCSSpersonnaliséepourlamireSSO. LesfichiersCSSàutilisersontàplacerdans: /usr/share/sso/interface/ Dupliquerlafeuilledestyleoriginalesousunautrenom. Modifieràvolontévotre_nouvelle_feuille.css Renseigner le nom de votre feuille sans l'extension (.css) dans l'onglet Service sso depuis l'interface de configurationdumodule. Réaliserautantdefeuillesdestylequesouhaités. EOLE( 281

282 Remarque /usr/share/sso/interface/images/ IlestpossibledepasserlenomdelaCSSenparamètredansURL: Sivousfaitesappelàdesimages,placez lesdans: SivousutilisezunclientphpCAS,ilfaudramodifierleclientpourutilisercetteméthode(les URLssontcalculéesparleclient). Choix de la CSS par le filtre SSO Lesapplicationsweb SiunfichierCSSportelemêmenomqu'unfiltred'application(parexemple,ead2.css),cetteCSS seraautomatiquementutiliséelorsdesdemandesàcetteapplication(danslecadred'unportailweb parexemple). 14 phpmyadmin Présentation Écran166EditiondetablesavecphpMyAdmin EOLE( 282

283 phpmyadminestuneapplicationdegestiondebasededonnéesmysql. Cetteinterfacepratiquepermetd'exécuter,trèsfacilementetsansgrandesconnaissancesdansledomaine desbasesdedonnées,denombreusesrequêtescommelescréationsdetablededonnées,lesinsertions,les misesàjour,lessuppressions,lesmodificationsdestructuredelabasededonnées. InstallationdephpMyAdmin Celogicielestpré installésurlemodulescribe. Ilestactivabledepuisl'interfacedeconfigurationdumoduleenmode >expert,dansl'ongletapache. L'applicationn'estpasdisponibleimmédiatementaprèsl'activation. L'opérationnécessiteunereconfigurationduserveuraveclacommande[reconfigure]. Lesapplicationsweb Accéderàl'application Pouraccéderàl'applicationserendreàl'urlhttps://<adresse_serveur>/phpmyadmin/ L'authentificationsefaitobligatoirementparlebiaisduserveurSSO,ceservicedoitdoncêtreactif. Rôlesdeutilisateurs LesutilisateursautorisésàseconnectersontlesutilisateursdeMySQL. Ilestpossiblededéléguertoutouunepartiedesdroitsd'administration. Remarques Le mot de passe root de MySQL est réinitialisé avec une chaine de caractères aléatoires à chaque reconfigurationduserveur. Lemotdepassedel'utilisateurrootdeMySQLpeutêtreréinitialiséaveclacommande: [/usr/share/eole/mysql_pwd.py] Sivousprévoyezd'utiliserrégulièrementphpMyAdmin,ilestpréférabledecréerunutilisateurMySQLdédié pourl'administrationdesbasesdedonnées. EOLE( 283

284 15 Ajout d'applications web LemoduleScribefournittouslesélémentsnécessairesàl'installationd'applicationswebindépendammentde cellesfournies. Lesexemplessontbaséssurl'installationdulogicielEGroupwaremaissontfacilementtransposablespour l'installationden'importequelleapplicationphp/mysql. EGroupwareestunlogicielCollaboratifprofessionel.Ilvouspermetdegérervoscontacts,vosrendez vous, vostâches,etbienpluspourtoutevotreactivité. Lesapplicationsweb Téléchargement et mise en place des fichiers PourtéléchargerunfichiersurleScribe,ilfaututiliserlacommande[wget]. wget /eGroupware tar.gz/download Ilfautensuitedécompresserl'archiveàl'aidedelacommande[tar](ou[unzip],pourleformatzip) Dansl'exemple,celacréeralerépertoire/var/www/html/egroupware: tarxzvfegroupware tar.gz C/var/www/html/ Puisdonnerdesdroitsàl'utilisateurutiliséparleserveurApache(utilisateurwww data): chown Rwww data:/var/www/html/egroupware/tmp Attention Donnertropdedroitsàl'utilisateurwww datadiminuelasécuritéduserveur. Consulterladocumentationdulogicielpourn'attribuerquelesdroitsnécessairesaufonctionnement del'application Configuration Apache MéthodeCreole Dansl'interfacedeconfiguration: allerdansl'ongletapache(modeexpert); etindiquerlechemincompletdel'applicationetl'aliasdel'application; EOLE( 284

285 Écran167Déclarationd'uneapplicationwebdansgen_config enregistrer; lancerlacommande[reconfigure]; lelogicieldoitrépondreàl'adresse: Lesapplicationsweb Méthodemanuelle créerlefichierdeconfigurationapache/etc/apache2/sites enabled/apache egroupware.conf(consulterla documentationdulogicielpourobteniruneconfigurationoptimale): #Exemplebasicdeconfigurationdesite# Alias/egw/var/www/html/egroupware <Directory"/var/www/html/egroupware"> AllowOverrideNone DirectoryIndexindex.php OrderAllow,Deny AllowfromAll </Directory> rechargerlaconfigurationd'apache; /etc/init.d/apache2reload lelogicieldoitrépondreàl'adresse: Remarque Encasdeproblème,consulterlefichierdejournal/var/log/apache2/error.log Danslecasd'eGroupWare,ilestnécessairedesupprimerlefichier.htaccessituédanslerépertoire racinedulogiciel. EOLE( 285

286 15.3. Configuration MySQL MéthodeEOLE Utiliserlescript/usr/share/eole/mysql_add.py: Nomdelabasededonnéesàcréer:egroupware Nomdel'utilisateurMySQLadministrantlabase:egroupware Motdepassedel'utilisateurMysqladministrantlabase:pwdsecret Méthodesemi manuelle Lesapplicationsweb utiliserlescript/usr/share/eole/mysql_pwd.py; réinitialiserlemotdepasserootdemysqlàlavaleurdevotrechoix; utiliserphpmyadminpourfairelesmanipulationsnécessaires. Conseil IlestrecommandédecréerunutilisateuretunebaseMysqlspécifiquesparapplication Configuration du logiciel Vous pouvez maintenant utiliser le système automatique d'installation du logiciel disponible à l'adresse: AuthentificationLDAP Informationsutilesàlaconfigurationd'uneauthentificationLDAP: adresseduserveurldap:adresseip(ounomdns)devotrescribe portd'écouteduserveurldap:389(portstandard) basedn:o=gouv,c=fr AuthentificationCAS Informationsutilesàlaconfigurationd'uneauthentificationLDAP: adresseduserveurcas:adresseip(ounomdns)devotrescribe portd'écouteduserveurcas:8443(caseole) URIsurleserveurCAS:rien Destinationaprèslasortie:rien EOLE( 286

287 XIII Résolution des problèmes R é 1 Problèmes à la mise en œuvre 1.1. Problèmes lors de l'installation Erreur lors du partitionnement Lepartitionneuraffichelaquestionsuivante:"partitionnerledisques>Nomdevolumedéjàutilisé": CelaindiquejustequedespartitionsLVM(issuesd'uneinstallationantérieure)ontétédétectéessurledisque dur. Vouspouvezcliquersur"oui"pourcontinuerl'installation. Erreur lors de l'installation des paquets L'installeurs'arrêteouafficheunmessaged'erreurlorsdel'étape:"choisiretinstallerdeslogiciels": C'estpeut êtreuniquementparcequelecd Romutiliséestmalgravéouabimé. Pourconnaitrelanatureexacteduproblème,vouspouvezréaliserlesmanipulationssuivantes: [ctrlf2](affichelaconsolededébogage) [nano/var/log/syslog](éditelefichierdelog) [ctrlw],[ctrlv](vaàlafindufichier) puisutilisezlaflècheduhautpourremonterdanslefichierjusqu'àtrouverleslignescontenantdeserreurs. Laprésencedel'expression"I/OError"indiquequ'ilyaeudeserreursdelecture,danscecas,ilfautgraver unnouveaucd Problèmes lors de la configuration Pourdétecterlesproblèmesdeconfiguration,ilfaututiliserlacommandediagnose. Maisavanttout,ilestrecommandédelancerunreconfigureavantdechercherd'éventuelproblème. Voiraussi... >cf"diagnosticd'unmoduleeole",page175. >cf"reconfigurationd'unmoduleeole",page177. EOLE( 287

288 2 Problèmes en exploitation 2.1. Les journaux système Les journaux système (ou journaux de bord, fichiers de log, fichiers de journalisation) contiennent la successiondesévénementsoudesactionsquisontsurvenussurunsystèmeinformatiquedonné. Cesfichierssontauformattexte,etsontgénéralementstockésenlocaldanslerépertoire/var/log. Ce fichier définit les messages à enregistrer et le fichier cible, cela permet éventuellement de filtrer (ou répartir)lesmessages,parleursourceetleurdegréd'importance. R é L'outildelogutiliséparEOLEestrsyslogdetlaconfigurationsetrouvedans/etc/rsyslog.conf. Laplupartdeslogicielsdisposentd'unparamètre"loglevel"permettantderéglerlaverbositédesinformations journalisées. Encasdeproblème,ilestconseilléd'augmenterleniveaudejournalisationdulogicielincriminé. Lesfichierslespluscourammentutiliséssont: /var/log/messages:contienttouslesmessagesd'ordregénéralconcernantlaplupartdesserviceset démons. /var/log/syslog: est plus complet que /var/log/messages, il contient tous les messages, hormis les connexionsdesutilisateurs. /var/log/auth:contientlesconnexionsdesutilisateurs. /var/log/mail.log:contientlesenvoisetréceptiond s. /var/log/cron:fichierlogduservicecron(planificateursystème). Truc & astuce Ilestpossibledelirelecontenud'unfichieraveclacommandeless: less/var/log/syslog Pourn'afficherquelesdernièresligned'unfichier,utiliserlacommandetail: tail n50/var/log/syslog Lacommandetailpermetégalementd'afficherentempsréellelesnouvellesentréesdansunfichier. Pourcela,ajouterl'option f: tail f/var/log/syslog EOLE( 288

289 2.2. Surveillance et alertes Zéphir Surveillance des serveurs enregistrés Zéphiroffrelapossibilitédesurveillerlesserveursàdistance. Lesinformationsmisesàdispositionsontlessuivantes: résumédel'étatdusystème(mémoire,systèmedefichiers,...); aperçudelaconfigurationduserveur; étatdesdifférentsservices(exemple:ssh,dnsetproxysuramon); diversesinformationsselonlemoduleinstallésurleserveur. i - Etat de la configuration R é Cesinformationssontdisponiblesdepuislapagedechaqueserveur:Etatactuel. Lapremièrepartie(Configuration)donnedesrenseignementssurlesfichiersprincipauxdeparamétragedu serveur(zephir.eol). Unediodeindiquel'étatdechacundesfichiers: diodeverte:fichiersauvegardé; dioderouge:fichierdifférententrezéphiretleserveur; diodegrise:fichierabsent. Vouspouvezaccéderauformulairedesaisiedesparamètresduserveurencliquantsurmodifier(reprisedes valeursactuelles)ou générer (reprisedesvaleurspardéfaut).ceformulaireestéquivalentàlaprocédure gen_configdisponiblesurtoutmoduleeole.lesnouveauxparamètresserontsauvegardéssurzéphir,et envoyésauserveurlaprochainefoisquevousutiliserezl'action'envoidelaconfigurationauserveur'pource serveur. LadiodeenregistrementZéphirindiquesilaprocédured'enregistrementadéjàétéeffectuée. Écran168Etatduserveur EOLE( 289

290 Achaquecontactavecunserveur,celui cienvoieàzéphirunfichiercontenantlessommesmd5desfichiers suivants: config.eol(valeursrenseignéespargen_configouvialeformulairedezéphir); touslesfichiersayantl'extension.patchdans/etc/eole/patchet/etc/eole/patch/variante; touslesfichiers.xmldans/etc/eole/dicoset/etc/eole/dicos/variante. Si un de ces fichiers n'est pas identique sur Zéphir ou sur le serveur (ou si des fichiers ont été ajoutés/supprimés),lalistedecesfichiersseraindiquéedansunelistedéroulante. Lelien voirlesfichierspersonnalisés renvoiesurunrésumédesdifférentsfichiersspécifiquesauserveur, commelefichierdedescriptionderèglesdeparefeusuramon(voirlapartie'personnalisationduserveur'). Ledétaildesdernièrescommandesenvoyéesestdisponibleencliquantsurlistedesdernièrescommandes enattente.ilestpossibled'annulerdesactionsenattentedepuiscetteliste. Lecadreétatactueldesactionsindiquesilesdernièresactionsdistantessesontbiendérouléesounon. R é LasectionFiled'attentedeséchangesindiquelestransfertsdefichiersetcommandesàdistancequisonten attentepourceserveur(ilsseronttraitésparcelui cilorsdesaconnexionàzéphir). Lesétatspossiblessontlessuivants: vert:indiquequel'actions'estterminéenormalement; jaune:indiquequel'actionadébuté,maisn'estpasencoreterminée; rouge:indiquequel'actions'estterminéedefaçonanormale(erreurdetransfertdefichiers,erreur système,...); gris : aucune indication n'est connue pour cette action (elle n'a jamais été lancée ou les logs la concernantontétéeffacés). Vouspouvezlaisserlasourisaudessusduboutonpouravoirplusdedétails. LecadreEtatdesservicesrésumelesinformationprésentesdanslapage'surveillancedesserveur'.Sile voyantestrouge,c'estqueleserveuraremontéunealerte. Ladernièrelignedonneladateetl'heuredeladernièreactionloguéepourceserveur. LelienLogscompletspermetd'accéderàlalistecomplètedeslogs. ii - Etat des services / état système Vouspouvezaccéderàcesinformationsàpartirdelapaged'étatduserveurencliquantsurSurveillancedu serveur (en bas de page). Un résumé de l'état du système et des services sera alors ouvert dans une nouvellefenêtre(lesdifférentessectionsdisponiblessontaccessiblesdepuislemenudegauche). iii - Etat d'un groupe de serveurs Lapaged'affichaged'ungroupedonneuneindicationglobalesurl'étatdesserveurssélectionnés. Écran169Etatglobaldesserveursd'ungroupe EOLE( 290

291 Ladiodedelacolonneétatpeutprendrelesétatssuivants: grise:pasd'informationsremontéesparleserveur; verte:aucunproblèmeremontéparleserveur; rouge:problèmedétectésurleserveur(serviceindisponible,problèmematériel,...). Danslecasd'unedioderouge,vouspouvezcliquersurladiodepourobtenirledétaildeserreursreportées. Leprincipeestlemêmepourlesvoyantsdescolonnesmd5etmiseàjour Gestion des alertes i - Alertes par courrier électronique Lesdifférentstypesd'erreurspossiblessontlessuivants: remontée parleserveur d'une erreur surundeses services(dns, Apache,...) ou un problème système; unserveurn'apascontactézéphirdepuisuncertaintemps(délailimiteconfigurablepourchaque serveur); uneopérations'estmaldérouléesurleserveur(miseàjour,sauvegarde,...). R é Zéphirintègrelapossibilitéd'envoyerunmailquandunproblèmeestdétectésurundesserveursqu'ilgère. Pourrecevoirdesmailsd'alerte,ilsuffitdesuivrelaprocéduresuivante: sélectionnerungroupedeserveur(menuserveur); enregistrercegroupe; allerdanslapagedegestiondesgroupes(mêmemenu)etéventuellementéditerlegroupepour enleverlesserveursnondésirés; danslapagedegestiondesgroupes,cocherlacasesurveillercegroupecorrespondantauxgroupes désirés,etcliquersurmodifier; en cas de problème sur un serveur, vous recevrez un mail, ainsi qu'un autre lorsque le serveur retrouveraunétatnormal. Remarque Pourrecevoirlesmails,vousdevezavoirrenseignévotreadresseetcoché Vospréférences. activationdumaildans Écran170Surveillancedesgroupesdisponibles EOLE( 291

292 Fig.33:Exempled'alert Lesgroupessurveillésapparaissentsurlapaged'accueildel'application. ii - R é Désactivation de certaines alertes Ilestpossibled'indiquerunelisted'agentsquinedéclencherontpasd'alertesiilssontenerreur.Pourcela,il fautcréerunfichier/var/lib/zephir/data/ignore_listsurzéphiravecunnomd'agentparligne. Parexemple,silefichiercontient: patches web Leserreurssurl'applicationdespatchesetsurlesservicesdistantsneserontpasprisesencomptedans l'étatglobaldesserveurs. Remarque Les agents existants par défaut sont : network, web, tcpservices, rvp, nut, sysinfo, diskspace, netstats,patches,squid stats,conn,vir,config,annuaire,printers,eximstats. Ilestpossibledemettrecefichierdanslerépertoire /usr/share/zephir/monitor/stats/ surlesserveurseole enregistrés.cefichierseraremontéetprisencompteparzéphirpourleserveurenquestion(ilpeutêtre distribuécommefichierdiversdansunevariantezéphir).celapeutêtreutiledanslecasd'unserveurqui présenterégulièrementdesproblèmes(mauvaiseconnexion,mémoirelimitée...),afind'éviterdesalertes inutiles. Onpeutempêcherunserveurdegénérerdesalertesdefaçonglobale(parexemplepourlesserveursde tests)enmodifiantleserveuretenrépondantouiàl'optiondésactiverlesalertespourceserveur Echec de la procédure d'upgrade Laprocédureautomatiquen'estpasinfaillibleetilpeutarriverquel'undespaquetsàmettreàjourn'arrive pasàfinalisersoninstallationcequistoppelaprocédureetlaisseleserveurdansunétatinstabledanslequel iln'estpaspossiblederelancerlacommande[upgrade Auto]. Encasd'erreur(avec,engénéral,lemessage:"Erreurlorsdel'installationdespaquets!"),ilfauttrouverle paquetàl'originedel'erreuraveclacommande[apt getinstall f],corrigerl'erreuretfinaliserl'installationdes paquetsaveccettemêmecommande. EOLE( 292

293 R é EOLE( 293

294 R é EOLE( 294

295 Attention Ilestimpératifquetouslespaquetssoientcorrectementinstallésavantdecontinuer. Unefoislesproblèmesd'installationdepaquetsréglés,vouspouvezterminermanuellementl'Upgradeavec lescommandessuivantes: [apt getinstall<nom_du_module> pkg] [/usr/share/eole/<nom_du_module> post_upgrade](siexistant) [/usr/share/zephir/scripts/upgrade_distrib.py] [reconfigure] [reboot] R é Danslecasoùvousavezrencontréuneerreur(résolueounon)mercideremonterleproblème(avecleplus deprécisionpossible)àl'équipeeole. 3 Problèmes Scribe 3.1. Problèmes à l'inscription au domaine Lorsqu'unproblèmesurvientpendantl'inscriptionaudomaineouàl'ouverturedesession,plusieurspistes sontàexplorer: l'étatduserveuraveclacommandediagnose(surleserveur); laconfigurationréseaudelastationcmd:ipconfig/all(surunestationwindows); la communication du client avec le serveur cmd : ping <adresse_module> et nbtstat a <adresse_module>(surunestationwindows); lecommunicationavecleserveurtcpcheck2<ip_station>:139 Remarque Surleserveurlescommandesdoiventêtreexécutéesavecl'utilisateur"root",soitsurlaconsolesoit enssh. EOLE( 295

296 3.2. Problèmes avec le Client Scribe LeclientScribeenregistresesactionsdanslesfichiers: %WINDIR%\cliscribe.log %WINDIR%\cliscribe_logon.log %WINDIR%\cliscribe_updater.log %TMP%\cliscribe_utilisateur <login>.log Cesfichierspeuventêtreutiliséspourvérifierl'exécutionduclientScribeetdétecterd'éventuelleserreurs.Le niveau de verbosité est paramétrable dans la base de registre: HKEY_LOCAL_MACHINE\Software\Eole\Scribe:"log_level". CesontlesvaleursdumoduleloggingdePythonquisontutilisées: CRITICAL ERROR WARNING INFO DEBUG R é Lorsqueleniveaudejournalisation(HKEY_LOCAL_MACHINE\Software\Eole\Scribe :"log_level")estplacé sur "debug" la fenêtre de mise à jour reste ouverte 40 secondes en cas d'avertissement ("warning") ou d'erreur("error"). Les "traceback" LeclientScribeainsiquel'applicationGestion postespeuventgénérerdeserreursencasdeproblème. Ces erreurs peuvent contenir le mot "traceback". Il s'agit de la pile d'appel (dernières instructions du programme)ayantconduitàcetteerreur.celapermetderetrouverplusrapidementlacauseduproblème. Sivousrencontrezunetelleerreuretquevousnesavezpasl'interpréter,pensezàjoindrelecontenudu tracebackàvotredemande(copied'écrand'unpopupoufichierdelog). Les erreurs sur le client Lorsqueleclientafficheuneerreurellenes'estpasforcémentproduitesurleclient.Eneffet,lorsque leclientseconnecteauserveur,lerésultatdel'ensembledesactionsexécutéessurleserveurest renvoyéauclient,ycomprisleserreurs. Un"traceback"peutdonccontenirunepiled'appeld'unprogrammesetrouvantsurleserveur.Les fichiersdejournalisation(log)duserveurcontiendrontalorsunecopiedel'erreur. Truc & astuce Pourtesterlacommunicationduserveuravecleclient,fairesurleserveur: tcpcheck2<ip_station>: Problèmes Controle-vnc C'estleservicesurleserveurScribequicommuniqueavecle serviceclientscribe installésurlesclients Windows.IlappliquelaconfigurationESUetgèreentreautreleblocageetladistributiondedevoirs. Son fichier de journalisation (log) est /var/log/controle vnc/main.log. Pensez à l'examiner lorsque vous rencontrezdesproblèmessurleclient(tracebackparexemple). EOLE( 296

297 3.4. Désynchronisation des quotas disque Ilpeutarriverqu'ilyaitunedésynchronisationentrel'utilisationréelledudisqueetlesystèmedevérification desquotas. Celasetraduitgénéralementparlefaitquedesutilisateurssontconsidérésàtortcommedépassantleur quotadisque. Lacommandequotacheckpermetdecorrigerleproblème.Sonutilisationdemandequelquesprécautions: 1. arrêterlesservicessusceptiblesd'écriresurlapartition(samba,proftpd,exim4,...); 2. démonterleséventuelsmontagesliésàcettepartition(imagesiso,...); 4. lancerlavérificationdesquotas:quotacheck vug/home; R é 3. désactiverlesquotassurlapartition:quotaoff/home; 5. réactiverlesquotassurlapartition:quotaon/home; 6. remonterlespartitions:mount a; 7. démarrerlesservicesprécédemmentarrêtés. Truc & astuce Lesexemplesprécédentspartentduprincipequec'estlapartition /home quiestutiliséepourles donnéesetlesquotasutilisateurs. C'estlecassurunmoduleScribeinstallédefaçonstandard.PourHorus,ilfautremplacer/homepar /data Problèmes avec les listes de diffusion Indicationsutilesaudébogagedel'applicationSympasurScribe: *lesmessagessontobligatoirementréférencésdanslefichierdeslogssmtp*:/var/log/exim4/mainlog; *Sympaécritégalementdeschosesdans/var/log/syslog; *vérifierlesdroitssur/var/lib/sympa(sympa:sympa); *vérifierlaprésencedustickybitsur/usr/lib/cgi bin/sympa/wwsympa.fcgi( rwsr sr x1sympasympa); *vérifierquelalisteestbienréférencéedans/etc/mail/sympa_aliases; *vérifierquetouteslescomposantesdel'applicationsontenservice: root@serv pedago:~#ps edf grepsympa root :56pts/000:00:00grep colorsympa sympa :00?00:00:04/usr/bin/perl/usr/lib/sympa/bin/sympa.pl sympa :00? 00:00:00 /usr/bin/perl /usr/lib/sympa/bin/archived.pl sympa :00? 00:02:31 /usr/bin/perl /usr/lib/sympa/bin/task_manager.pl sympa :00? 00:00:00 /usr/bin/perl /usr/lib/sympa/bin/bounced.pl EOLE( 297

298 3.6. Reconstruction de la base SQL de Bacula Dans certains cas(modification du paramétrage global des sauvegardes, bases SQL abîmées...), il est nécessairedereconstruirelabasededonnéesdebacula. Voicilescommandesàutiliser: R é /etc/init.d/bacula directorstop mv f/var/lib/bacula/bacula.db/var/lib/bacula/bacula.db.sav touch/var/lib/bacula/bacula.db /usr/share/bacula director/make_sqlite3_tables /etc/init.d/bacula directorstart 4 Trouver de l'information Diversessourcesd'informationssontàvotredisposition: ladocumentation; lesfaq; lesarchivesdeslistesdediffusion; lewikieole; recherchesurinternet; équipesd'assistanceacadémiques. LesmoduleEOLEutilisentdeslogicielslibres. Laplupartdeceslogicielssontlargementutilisésendehorsdel'éducationnationale. Desdocumentations plusspécifiques à l'utilisation delaplupartdeslogiciels utiliséssont disponiblessur Internet(ex. fr.org/cups). Danslecasdelamiseenplaced'uneconfigurationavancéedel'undeslogiciels,ilesttoutàfaitindiquéde consultersadocumentationofficielle(ex. Attention Lesdocumentationsexternespeuventfaireétatdecommandessystèmesàexécuter. Il n'est pas forcément judicieux de suivre ces instructions car les modules EOLE disposent d'un systèmed'auto configuration( Creole )quirisqued'écraservosmodificationsoumêmedeneplus fonctionnercorrectement. Encasdedoute,n'hésitezpasàdemander. Les fichiers de configuration Certainslogicielslibresmanquentencorededocumentationounesontpasdocumentésdutout. Danscecas,pensezàconsulterlecontenudeleurfichierdeconfiguration. Certainscommentairesdonnentdesindicationsvoireremplacentunedocumentationexterne. EOLE( 298

299 5 La commande gen_rpt Lacommande[gen_rpt]permetdegénérerunearchivededébogageincluant: lesfichiersdeconfigurationeoleduserveur; lediagnosticétendu; lalistedesprocessusencourssurleserveur; lesrèglesdepare feuappliquéessurlesystème; l'historiquedescommandessystème; lalistedespaquetsinstallés; plusieursfichiersdejournalisation; lerapportd'extraction(scribe); lerapportdesauvegarde(scribe/horus/eclair). R é L'archive,nommée <module> <numéro etab>.tar.gz estenregistréedanslerépertoirecourant(celuidepuis lequellacommandeaétélancée). Siunepasserelledecourrieraétédéfiniesurleserveur,l'archivepourraêtredirectementenvoyéeàl'équipe EOLE(mercidenepasenabuser)ouàl'adressedevotrechoix. 6 Quelques références sitewebofficiel: accueildeslistesdediffusion: guidedesurvie: gen_config: instance/reconfigure: EOLE( 299

300 Documentatio ns techniques 1 Télédistribution d'identifiants ENT Documentationstechniques XIV 1.1. Le Schéma Directeur des Espaces Numériques de Travail LeSchéma DirecteurdesEspacesNumériquesde Travail(SDET)regroupe les grandes orientations de l éducationnationalepoursesespacesnumériquesdetravail.ilpermetdedéfinirlesservicesattenduset leurspréconisationstechniques. L'annuaireScribeestconformeauxpréconisationsduSDET2.0. Pourplusd'informationsconsultezlapage: L'identifiant ENT LecahierdeschargesENTrequiert: "unidentifiantunique surlepérimètrenationalmaisquinepermetpasd'être associéàl'identitédel'accédant [...]Cetidentifiantestdelaforme«LxxCiiii»avec: LetC:lettreetchiffreducodeprojetENT xxetiiii:2lettreset4chiffresàgénérerpourchaqueentrée" DanslecadredeScribe,c'estl'attributldapENTPersonLoginquiestutilisépourlestocker Attribution des identifiants ENT Desplagesd'identifiantsENTpeuventêtredistribuéesauxétablissementsvialemoduleZéphir. LeserveurScribedoitdoncêtreenregistrésurunZéphir(depréférenceacadémique). LalettreetlechiffreducodeprojetENTseparamètrentlorsdelaphasedeconfigurationduserveur. IlseconfiguredanslafamilleENT,éditableenmodeexpert. EOLE( 300

301 Écran171ConfigurationducodeENTd'unScribe L'attributiondesidentifiantsENTuniquessefaitensuiteautomatiquementlorsdelacréationetl'importation d'utilisateurs. EOLE( Documentationstechniques 301

302 2 L'annuaire LDAP de Scribe 2.1. Introduction L'annuaireLDAP*deScribeestbasésurlelogicielOpenLDAP(version2.4). Ilestlapiècemaitressedumodulepuisqu'ilestutiliséparquasimenttousleslogicielsintégréssurScribe. Ilfournitlesservicessuivants: authentificationutilisateur; comptessambaetmail; définitiondesgroupesetdespartages. Scribe utilise un annuaire LDAP pour stocker la liste des utilisateurs et des groupes ainsi que leurs paramètres.cetannuaireestinitialiséavecunutilisateuretplusieursgroupesspéciaux: Documentationstechniques l'utilisateurdédiéàtouteslestâchesd'administrations: admin(membredugroupedomainadmins) lesgroupesdédiésàl'environnementwindows: DomainAdmins DomainUsers DomainComputers PrintOperators lesgroupespropresàscribe: eleves professeurs administratifs LegroupeDomainAdminscorrespondaugroupeAdministrateursdudomaine.Lesmembresde cegroupesontadministrateurdesposteswindowsetbénéficientd'unaccèsenlecture/écrituresur l'ensembledespartagesduserveurscribe. LegroupeDomainUserscorrespondaugroupeUtilisateursdudomaine.Ils'agitdesutilisateurs standardsn'ayantpasdeprivilègesparticuliers. LegroupeDomainComputersestlegroupeprincipalpourlesstationsintégréesaudomaine. LegroupePrintOperatorscorrespondaugroupeAdministrateursdesimprimantes. Lesgroupesprofesseurs,elevesetadministratifssontdesgroupespropresàScribepermettant d'appliquerdesméthodesdegestionspécifiquescommel'appartenanceàuneclasse(élève)ouàuneéquipe pédagogique(professeur). Ces groupes permettent aussi d'accorder des autorisations différentes comme le droit d'observer ou la possibilitéd'êtreobservé,debloquerl'accèsinternetàunautreutilisateuretdedistribuerdesdevoirs. EOLE( 302

303 2.2. Organisation de l'annuaire L'arborescence Laracinedel'annuaire(basedn)est:o=gouv,c=fr Chaqueétablissementpossèdeunearborescencedistinctegrâceàl'utilisationdesvariables"nom_academie" et"numero_etab"pourlesunitésorganisationnellessuivantes(ou). exemple:ou= c,ou=ac dijon,ou=education,o=gouv,c=fr Celaimpliquequ'iln'estpluspossibledemodifiercesdeuxvariables,unefoisleserveurinstancié. Documentationstechniques Fig.34:Arborescencedel'annuaire L'administrateurLDAPdel'applicationestl'utilisateurspécial: cn=admin,o=gouv,c=fr Pourdesraisonspratiquesetdesécurité,lemotdepassedecetutilisateurestchangérégulièrement(miseà jour,reconfigure). Si nécessaire, il est possible de le récupérer "en clair" dans certains fichiers (exemple: /etc/smbldap tools/smbldap_bind.conf) ou de le modifier "manuellement" à l'aide du script /usr/share/eole/backend/ldap_pwd.py. Attention Nepasconfondrecetutilisateuravecl'admindeScribequi,lui,estconsidérécommeunprofesseur. EOLE( 303

304 Entrée groupe Lesgroupesdel'établissementsontplacésdanslabranche: ou=local,ou=groupes,ou=numero_etab,ou=nom_academie,ou=education,o=gouv,c=fr Classesd'objet Lesgroupeshéritentdesclassesd'objetsuivantes: posixgroup(nis.schema) sambagroupmapping(samba.schema) eolegroupe(eole.schema) ENTGroupe(ent.schema) Lesclassespossèdentdesclassesd'objetsupplémentaires: classe(eole.schema) ENTClasse(ent.schema) Documentationstechniques Attributs Attributs Unix et Samba gidnumber memberuid:uiddesmembresdugroupe sambasid:siddugroupe sambagrouptype:"2" Autres attributs Lesattributsspécifiquesauxgroupessontlessuivants: cn:nomdugroupe type:"niveau","classe","equipe","matiere","service","groupe"... description:libellédugroupe mail:adressedelalistedediffusiondugroupe,sielleexiste Lesclassesontunattributsupplémentaire: niveau:niveauassociéàlaclasse EOLE( 304

305 Entrée élève Lesélèvesdel'établissementsontplacésdanslabranche: ou=local,ou=eleves,ou=utilisateurs,ou=numero_etab,ou=nom_academie,ou=education,o=gouv,c=fr Classesd'objet Lesélèveshéritentdesclassesd'objetsuivantes: posixaccount(nis.schema) sambasamaccount(samba.schema) inetorgperson(inetorgperson.schema) shadowaccount(nis.schema) Eleves(eole.schema) ENTPerson(ent.schema) ENTEleve(ent.schema) radiusprofile(radius.schema) Documentationstechniques Attributs Attributs communs à tous les utilisateurs uid:logindel'utilisateur cn:nomcomplet sn:nomdefamille givenname:prénom displayname:nomcomplet gecos:nomcompletsanscaractèresspéciaux userpassword:motdepassedel'utilisateur(typeunix)[accèsrestreint] mail:adresseélectronique(localeouexterne) mailhost:"localhost"silaboiteestlocale,absentsinon maildir:cheminunixdumaildirsilaboiteestlocale,absentsinon ENTPersonLogin:identifiantENT(pardéfaut:l'uiddel'utilisateur) ENTPersonJointure:clésdejointures(pardéfaut:"ENT") ENTPersonProfils:profilsassociés(eleve,enseignant,administratifouresponsable) ENTPersonNomPatro:nompatronymique personaltitle:titredecivilité(m.,mmeoumlle) codecivilite:codedecivilité(1 >M.,2 >Mme,3 >Mlle) ENTPersonSexe:sexe(MouF) datenaissance:datedenaissance,auformataaaammjj[accèsrestreint] ENTPersonDateNaissance:datedenaissance,auformataaaammjj[accèsrestreint] ENTPersonAutresPrenoms:autresprénomsqueleprénomusuel(facultatif) intid:identifiantinterne(engénérallecodeassociédanssconetouaaf) LastUpdate:datededernièremodificationducompte,auformataaaammjj Attributs Unix uidnumber gidnumber homedirectory:cheminunixdupartagepersonnel EOLE( 305

306 loginshell:shelldel'utilisateur(pardéfaut:"/bin/false") shadowlastchange:datededernièremodificationdumotdepasse(unix) shadowmax:nombredejoursd'utilisationmaximumdumotdepasse(unix) Attributs Samba sambaacctflags:bitsdecontrôlesamba(pardéfaut:"[u]") sambahomedrive:lettreassociéaupartagepersonnel(pardéfaut:"u:") sambahomepath:cheminuncdupartagepersonnel sambakickofftime:timestamputilisépourdéconnecterunutilisateurautomatiquement sambalmpassword:motdepasse(formatwindows9x)[accèsrestreint] sambalogofftime:datedeladernièrefermeturedesession sambalogontime:datedeladernièreouverturedesession sambantpassword:motdepasse(formatnt)[accèsrestreint] sambaprimarygroupsid:sambasiddugroupeprincipaldel'utilisateur sambaprofilepath:cheminuncduprofil(absentsiprofillocal) sambapwdcanchange:l'utilisateurpeutchangersonmotdepasse sambapwdlastset:datedeladernièremodificationdumotdepasse(windows) sambapwdmustchange:l'utilisateurdoitchangersonmotdepasse sambasid:sidducomptedel'utilisateur Documentationstechniques Attributs Freeradius radiustunneltype:"vlan" radiusfilterid:"enterasys:version=1:policy=enterpriseuser" radiustunnelmediumtype:"ieee 802" Attributs spécifiques aux élèves employeenumber:numérointerne(elenoet)[accèsrestreint] Ine:numéronational[accèsrestreint] Divcod:classe ENTEleveClasses:dndel'établissement$classe Meflcf:niveau ENTEleveMEF:niveau ENTEleveLibelleMEF:libelléduniveau ENTEleveEnseignements:enseignementssuivis(optionnel) ENTEleveFiliere:filière(optionnel) ENTEleveMajeur:élèvemajeur(optionnel) ENTEleveNivFormation:niveaudeformation(optionnel) ENTEleveStatutEleve:statutdel'élève(pardéfaut:"ELEVE") EOLE( 306

307 Entrée enseignant Lesenseignantsdel'établissementsontplacésdanslabranche: ou=local,ou=personnels,ou=utilisateurs,ou=numero_etab,ou=nom_academie,ou=education,o=gouv,c=fr Classesd'objet Lesenseignantshéritentdesclassesd'objetsuivantes: posixaccount(nis.schema) sambasamaccount(samba.schema) inetorgperson(inetorgperson.schema) shadowaccount(nis.schema) administrateur(eole.schema) ENTPerson(ent.schema) ENTAuxEnseignant(ent.schema) radiusprofile(radius.schema) Documentationstechniques Attributs Attributs communs à tous les utilisateurs uid:logindel'utilisateur cn:nomcomplet sn:nomdefamille givenname:prénom displayname:nomcomplet gecos:nomcompletsanscaractèresspéciaux userpassword:motdepassedel'utilisateur(typeunix)[accèsrestreint] mail:adresseélectronique(localeouexterne) mailhost:"localhost"silaboiteestlocale,absentsinon maildir:cheminunixdumaildirsilaboiteestlocale,absentsinon ENTPersonLogin:identifiantENT(pardéfaut:l'uiddel'utilisateur) ENTPersonJointure:clésdejointures(pardéfaut:"ENT") ENTPersonProfils:profilsassociés(eleve,enseignant,administratifouresponsable) ENTPersonNomPatro:nompatronymique personaltitle:titredecivilité(m.,mmeoumlle) codecivilite:codedecivilité(1 >M.,2 >Mme,3 >Mlle) ENTPersonSexe:sexe(MouF) datenaissance:datedenaissance,auformataaaammjj[accèsrestreint] ENTPersonDateNaissance:datedenaissance,auformataaaammjj[accèsrestreint] ENTPersonAutresPrenoms:autresprénomsqueleprénomusuel(facultatif) intid:identifiantinterne(engénérallecodeassociédanssconetouaaf) LastUpdate:datededernièremodificationducompte,auformataaaammjj Attributs Unix uidnumber gidnumber homedirectory:cheminunixdupartagepersonnel EOLE( 307

308 loginshell:shelldel'utilisateur(pardéfaut:"/bin/false") shadowlastchange:datededernièremodificationdumotdepasse(unix) shadowmax:nombredejoursd'utilisationmaximumdumotdepasse(unix) Attributs Samba sambaacctflags:bitsdecontrôlesamba(pardéfaut:"[u]") sambahomedrive:lettreassociéaupartagepersonnel(pardéfaut:"u:") sambahomepath:cheminuncdupartagepersonnel sambakickofftime:timestamputilisépourdéconnecterunutilisateurautomatiquement sambalmpassword:motdepasse(formatwindows9x)[accèsrestreint] sambalogofftime:datedeladernièrefermeturedesession sambalogontime:datedeladernièreouverturedesession sambantpassword:motdepasse(formatnt)[accèsrestreint] sambaprimarygroupsid:sambasiddugroupeprincipaldel'utilisateur sambaprofilepath:cheminuncduprofil(absentsiprofillocal) sambapwdcanchange:l'utilisateurpeutchangersonmotdepasse sambapwdlastset:datedeladernièremodificationdumotdepasse(windows) sambapwdmustchange:l'utilisateurdoitchangersonmotdepasse sambasid:sidducomptedel'utilisateur Documentationstechniques Attributs Freeradius radiustunneltype:"vlan" radiusfilterid:"enterasys:version=1:policy=enterpriseuser" radiustunnelmediumtype:"ieee 802" Attributs spécifiques aux enseignants typeadmin:0 >enseignant,1 >administrateur,2 >responsabledeclasse Divcod:listedesclassesadministréesparl'enseignant FederationKey:clédefédération(engénérall'adress académique) EOLE( 308

309 Entrée personnel administratif Lespersonnelsadministratifsdel'établissementsontplacésdanslabranche: ou=local,ou=personnels,ou=utilisateurs,ou=numero_etab,ou=nom_academie,ou=education,o=gouv,c=fr Classesd'objet Lespersonnelsadministratifhéritentdesclassesd'objetsuivantes: posixaccount(nis.schema) sambasamaccount(samba.schema) inetorgperson(inetorgperson.schema) shadowaccount(nis.schema) administratif(schema/eole.schema) ENTPerson(ent.schema) ENTAuxNonEnsEtab(ent.schema) radiusprofile(radius.schema) Documentationstechniques Attributs Attributs communs à tous les utilisateurs uid:logindel'utilisateur cn:nomcomplet sn:nomdefamille givenname:prénom displayname:nomcomplet gecos:nomcompletsanscaractèresspéciaux userpassword:motdepassedel'utilisateur(typeunix)[accèsrestreint] mail:adresseélectronique(localeouexterne) mailhost:"localhost"silaboiteestlocale,absentsinon maildir:cheminunixdumaildirsilaboiteestlocale,absentsinon ENTPersonLogin:identifiantENT(pardéfaut:l'uiddel'utilisateur) ENTPersonJointure:clésdejointures(pardéfaut:"ENT") ENTPersonProfils:profilsassociés(eleve,enseignant,administratifouresponsable) ENTPersonNomPatro:nompatronymique personaltitle:titredecivilité(m.,mmeoumlle) codecivilite:codedecivilité(1 >M.,2 >Mme,3 >Mlle) ENTPersonSexe:sexe(MouF) datenaissance:datedenaissance,auformataaaammjj[accèsrestreint] ENTPersonDateNaissance:datedenaissance,auformataaaammjj[accèsrestreint] ENTPersonAutresPrenoms:autresprénomsqueleprénomusuel(facultatif) intid:identifiantinterne(engénérallecodeassociédanssconetouaaf) LastUpdate:datededernièremodificationducompte,auformataaaammjj Attributs Unix uidnumber gidnumber homedirectory:cheminunixdupartagepersonnel EOLE( 309

310 loginshell:shelldel'utilisateur(pardéfaut:"/bin/false") shadowlastchange:datededernièremodificationdumotdepasse(unix) shadowmax:nombredejoursd'utilisationmaximumdumotdepasse(unix) Attributs Samba sambaacctflags:bitsdecontrôlesamba(pardéfaut:"[u]") sambahomedrive:lettreassociéaupartagepersonnel(pardéfaut:"u:") sambahomepath:cheminuncdupartagepersonnel sambakickofftime:timestamputilisépourdéconnecterunutilisateurautomatiquement sambalmpassword:motdepasse(formatwindows9x)[accèsrestreint] sambalogofftime:datedeladernièrefermeturedesession sambalogontime:datedeladernièreouverturedesession sambantpassword:motdepasse(formatnt)[accèsrestreint] sambaprimarygroupsid:sambasiddugroupeprincipaldel'utilisateur sambaprofilepath:cheminuncduprofil(absentsiprofillocal) sambapwdcanchange:l'utilisateurpeutchangersonmotdepasse sambapwdlastset:datedeladernièremodificationdumotdepasse(windows) sambapwdmustchange:l'utilisateurdoitchangersonmotdepasse sambasid:sidducomptedel'utilisateur Documentationstechniques Attributs Freeradius radiustunneltype:"vlan" radiusfilterid:"enterasys:version=1:policy=enterpriseuser" radiustunnelmediumtype:"ieee 802" Attributs spécifiques aux personnels administratifs typeadmin:"3"pourlespersonnelsadministratifs FederationKey:clédefédération(engénérall'adress académique) EOLE( 310

311 Entrée responsable légal Lesresponsableslégauxdel'établissementsontplacésdanslabranche: ou=responsables,ou=utilisateurs,ou=numero_etab,ou=nom_academie,ou=education,o=gouv,c=fr Classesd'objet Lesresponsableslégauxhéritentdesclassesd'objetsuivantes: inetorgperson(inetorgperson.schema) responsable(eole.schema) ENTPerson(ent.schema) ENTAuxPersRelEleve(ent.schema) Attributs Attributs communs à tous les utilisateurs uid:logindel'utilisateur cn:nomcomplet sn:nomdefamille givenname:prénom displayname:nomcomplet gecos:nomcompletsanscaractèresspéciaux userpassword:motdepassedel'utilisateur(typeunix)[accèsrestreint] mail:adresseélectronique(localeouexterne) mailhost:"localhost"silaboiteestlocale,absentsinon maildir:cheminunixdumaildirsilaboiteestlocale,absentsinon ENTPersonLogin:identifiantENT(pardéfaut:l'uiddel'utilisateur) ENTPersonJointure:clésdejointures(pardéfaut:"ENT") ENTPersonProfils:profilsassociés(eleve,enseignant,administratifouresponsable) ENTPersonNomPatro:nompatronymique personaltitle:titredecivilité(m.,mmeoumlle) codecivilite:codedecivilité(1 >M.,2 >Mme,3 >Mlle) ENTPersonSexe:sexe(MouF) datenaissance:datedenaissance,auformataaaammjj[accèsrestreint] ENTPersonDateNaissance:datedenaissance,auformataaaammjj[accèsrestreint] ENTPersonAutresPrenoms:autresprénomsqueleprénomusuel(facultatif) intid:identifiantinterne(engénérallecodeassociédanssconetouaaf) LastUpdate:datededernièremodificationducompte,auformataaaammjj Documentationstechniques Attributs spécifiques aux responsables légaux eleve:uiddesélèvesduresponsable ENTAuxPersRelEleveEleve:dndesélèvesduresponsable ENTPersonAdresse:adresse ENTPersonCodePostal:codepostal ENTPersonVille:ville ENTPersonPays:pays homephone:numérodetéléphone EOLE( 311

312 telephonenumber:numérodetéléphoneprofessionnel mobile:numérodetéléphoneportable Entrée compte invité Lescomptesinvitésdel'établissementsontplacésdanslabranche: ou=autres,ou=utilisateurs,ou=numero_etab,ou=nom_academie,ou=education,o=gouv,c=fr Classesd'objet Lescomptesinvitéshéritentdesclassesd'objetsuivantes: inetorgperson(inetorgperson.schema) autre(eole.schema) ENTPerson(ent.schema) Attributs Documentationstechniques Attributs communs à tous les utilisateurs uid:logindel'utilisateur cn:nomcomplet sn:nomdefamille givenname:prénom displayname:nomcomplet gecos:nomcompletsanscaractèresspéciaux userpassword:motdepassedel'utilisateur(typeunix)[accèsrestreint] mail:adresseélectronique(localeouexterne) mailhost:"localhost"silaboiteestlocale,absentsinon maildir:cheminunixdumaildirsilaboiteestlocale,absentsinon ENTPersonLogin:identifiantENT(pardéfaut:l'uiddel'utilisateur) ENTPersonJointure:clésdejointures(pardéfaut:"ENT") ENTPersonProfils:profilsassociés(eleve,enseignant,administratifouresponsable) ENTPersonNomPatro:nompatronymique personaltitle:titredecivilité(m.,mmeoumlle) codecivilite:codedecivilité(1 >M.,2 >Mme,3 >Mlle) ENTPersonSexe:sexe(MouF) datenaissance:datedenaissance,auformataaaammjj[accèsrestreint] ENTPersonDateNaissance:datedenaissance,auformataaaammjj[accèsrestreint] ENTPersonAutresPrenoms:autresprénomsqueleprénomusuel(facultatif) intid:identifiantinterne(engénérallecodeassociédanssconetouaaf) LastUpdate:datededernièremodificationducompte,auformataaaammjj lescomptesinvitésn'ontpasd'attributsparticuliers. EOLE( 312

313 Entrée ordinateur du domaine Lorsdelajonctionaudomained'ordinateur(pourlesversionssupérieuresouégalesàWindows2000),un comptedemachineestcréédansl'annuaire.cescomptessontstockésdanslabranche: ou=ordinateurs,ou=ressources,ou=numero_etab,ou=nom_academie,ou=education,o=gouv,c=fr Classesd'objet Lesordinateurshéritentdesclassesd'objetsuivantes: posixaccount(nis.schema) sambasamaccount(samba.schema) account(cosine.schema) Attributs Remarque Danscertainscas(formatageourenouvèlementdelastation),ilpeutêtrenécessairedesupprimer soncomptedel'annuaire. Documentationstechniques Lesattributsspécifiquesauxmachinessontlessuivants: uid:identifiant,c'estlenomdelamachinesuividucaractère$ cn:nomdelamachine(généralementidentiqueàl'uid) Entrée partage Lespartagesdel'établissementsontplacésdanslabranche: ou=local,ou=partages,ou=numero_etab,ou=nom_academie,ou=education,o=gouv,c=fr Classesd'objet Lespartageshéritentdesclassesd'objetsuivantes: sambafileshare(alpes.schema) Attributs Lesattributsspécifiquesauxpartagessontlessuivants: cn:cheminsambadupartage(smb://serveur_samba/partage) sambasharename:nomdupartage sambasharegroup:groupeassociéaupartage,parconventionsurscribeunpartageesttoujours associéaugroupedumêmenom sambasharedrive:lettredelecteurassociéeaupartage(facultatif) EOLE( 313

314 3 Sauvegarde 3.1. Théorie de la Sauvegarde Définition La sauvegarde (Backup, en anglais) consiste à dupliquer des données stockées dans le Système Informatique(SI)del'entreprise,danslebutdelesmettreensécurité. Cettemiseensécuritéapourbutderépondreàdeuxéventualitésderestauration(l'opérationinversedela sauvegarde): larestaurationdetoutoupartiedusi,suiteàunedégradationimportantedusi,voireunedestruction (disasterrecovery) larestaurationdequelquesfichiers,suiteàunecorruptionouunedestructionlimitéededonnées Documentationstechniques Lasauvegardepeutêtrefaitelocalement,surunmédia(serveur,disque,bande,CD ROM)hébergédansle SI,àdesfinsderestaurationrapide,ouellepeutêtrearchivée,voireexternalisée. Durée de rétention Laduréederétentiondésigneletempsdeconservationdessauvegardesavantleureffacement. Méthodes de sauvegardes Lesplusimplémentéessontaunombredetrois,lapremièreservantdebaseauxdeuxsuivantes Méthode totale Définition Ils'agitderéaliserunecopie complète d'uncontenuàuninstantt,sansprendreencomptel'historique précédent. La pratique Couteuseentempsetenespace,cettesauvegarderestemalgrétoutlaplusfiable,puisqu'elleassureàelle seulel'intégritédel'ensembledesdonnéessauvegardées. Iln'estpasjudicieuxdenepratiquerquecetypedesauvegarde,carl'ensembledesdonnéesn'estjamais totalementmodifiéentredeuxsauvegardes. Ilexistedesméthodesquiprocèdentàlasauvegardedesseulesdonnéesmodifiéeset/ouajoutéesentre deuxsauvegardestotales.onenrecensedeux: Lasauvegardeincrémentielle Lasauvegardedifférentielle EOLE( 314

315 Méthode incrémentielle Définition Une sauvegarde incrémentielle réalise une copie des fichiers créés ou modifiés depuis la dernière sauvegardequelquesoitsontype(complète,différentielleouincrémentielle). Exemple:unesauvegardetotaleestréaliséelejourT.LejourT+1,lasauvegardeincrémentielleestréalisée par référence à la sauvegarde précédente, à savoir la sauvegarde totale T. Le jour T+2, la sauvegarde incrémentielleestréaliséeparréférenceàlasauvegardeprécédente,àsavoirt+1.etainsidesuite. Restauration Larestaurationd'unsystèmecompletàunedatedonnée(parex:àladateT+3)sefaitenappliquantla dernièresauvegardecomplète(datet),ainsiquetouteslessauvegardesincrémentiellesjusqu'aujourcible,à savoirt+1,t+2ett+3. Lorsqu'ils'agitdelarestaurationd'unfichieroud'unrépertoirequiaétésauvegardéàladateT+3(Tétantla datedelasauvegardetotalederéférence),seulelasauvegardeincrémentielledeladateenquestionest nécessaire. Documentationstechniques Méthode différentielle Définition Unesauvegardedifférentielleréaliseunecopiedesfichierscréesoumodifiés,ensebasantsurladifférence constatéeavecladernièresauvegardetotale(quellesquesoientlessauvegardesintermédiaires). Restauration Larestaurationd'unsystèmecompletàunedatedonnée(parex:àladateT+2)sefaitenappliquantla dernièresauvegardecomplète(datet),ainsiquelasauvegardedifférentielledujourcible(t+2). Lorsqu'ils'agitdelarestaurationd'unfichieroud'unrépertoirequiaétésauvegardéàladateT+3(Tétantla datede la sauvegarde totalederéférence), seulelasauvegardedifférentiellede ladate enquestion est nécessaire. EOLE( 315

316 3.2. Les Outils de Sauvegarde Les systèmes GNU/Linux embarquent depuis toujours des outils unitaires d'archivage qui permettent de réaliserdesembryonsdestratégiedesauvegarde. Ainsidesoutilstelsquelacommandetarpermettentdecréercesarchivessurdesmédiaslocaux(disques, oulecteursdebandes). Via des scripts se basant sur les dates de modifications, il est possible d'implémenter les méthodes de sauvegardedétailléesdanslesparagraphesprécédents. Desoutilspluscomplexes,etsouventpropriétaires,ontétédéveloppésdepuis,pourfaciliterlacréationde cessauvegardes(gestionducontenuàsauvegarder),maisaussipourfaciliterlagestionducalendrierde sauvegarde(programmationdestâchesetdessuccessionsdesauvegardes). Enfin,laplupartdecesoutilsintègrentlagestiondelarestauration,aveclapossibilitédechoisirladatecible àrestaurer. Lessolutionslogicielleslesplusconnussont: TivoliStorageManager(TSM) IBM Documentationstechniques ibm.com/software/tivoli/products/storage mgr/ TimeNavigator Atempo Networker EMC/Legato ARCserveBackup ComputerAssociate loss prevention.aspx ArkeiaNetworkBackup Arkeia Bacula Bacula Bacula Baculaestunutilitairedesauvegardelibre. Baculapermetdesauvegarder: desfichiers/dossiers lesdroitsposix lesacls Baculapermetdesauvegarderdesdonnées(indifféremmentsurdesdisqueslocauxoudistants,desbandes magnétiques), de gérer un nombre important et non limité de clients, et évidemment de restaurer facilementlessauvegardes. Baculasupporte,entreautre,lapossibilitédefairedessauvegardessurplusieursvolumes,silacapacitéest insuffisante Architecture Baculaestconstruitsuivantunearchitecturedistribuée: EOLE( 316

317 Documentationstechniques EOLE( 317

318 ledirectorestl'élémentcentral,quicommandelesautresélémentsdesauvegarde; lestorageserverestleserveurquicontientlessauvegardesphysiques(disque,bandemagnétique, disquette,...); lefileserverestl'élémentàsauvegarder; lecatalogserverestunebasededonnéesquicontientdesinformationsdessauvegardes. Lacommunicationentrechaquemoduleestassociéeàunmotdepasse,etpeutêtrecryptéesibesoin.Ces élémentspeuventêtre: installéssurlamêmemachinesansproblèmes; présentsenplusieursexemplaires(onpeutdupliquerlesdestinationsdesauvegardes,avoirplusieurs Director,etc.). LabasededonnéespeutêtreunebaseMySQL,PostgreSQL,ouunebaseSQLite(donc,sansserveurde DB). EOLE( Documentationstechniques 318

319 Définitions Baculautiliseunnombreimportantd'objetsdifférentspourdéfinirunesauvegarde. manual/qu_est_ce_que_bacula.html Job L'objetleplusélevéestladéfinitiond'unJob,représentantune"sauvegarde"ausensBaculaduterme. Un Job Bacula est une ressource de configuration qui définit le travail que Bacula doit effectuer pour sauvegarder ou restaurer un client particulier. Un Job consiste en l'association d'un type d'opération à effectuer(type:backup,restore,verify,etc.),d'unniveaudesauvegarde(level:full,incremental,...),dela définitiond'unensembledefichiersetrépertoiresàsauvegarder(fileset),etd'unlieudestockageoùécrire lesfichiers(storage,pool). manual/configurer_director.html#jobresource Schedule Un Job peut être immédiat, mais dans une stratégie de sauvegarde, il est généralement planifié via la ressourceschedule. Le schedule détermine la date et l'instant où le job doit être lancé automatiquement, et le niveau (Full, Différentiel,Incrémental...)dujobenquestion. Cette directive est optionnelle. Si elle est omise, le job ne pourra être exécuté que manuellement via la Console. Documentationstechniques manual/configurer_director.html#scheduleresource Pool Laressource Pool définitl'ensembledes Volumes destockage(cartouchesoufichiers)àladispositionde Baculapourécrirelesdonnées.EnconfigurantdifférentsPools,vouspouvezdéterminerquelensemblede volumes(oumédia)reçoitlesdonnéessauvegardées. Ceci permet, par exemple, de stocker toutes les sauvegardes Full sur un ensemble de volumes, et les sauvegardesdifférentiellesetincrémentalessurunautre.demême,vouspouvezassignerunensemblede volumesàchaquemachinesauvegardée. manual/configurer_director.html#poolresource Volume UnVolumeestuneunitéd'archivage,usuellementunecartoucheouunfichiernommésurdisqueoùBacula stockelesdonnéespourunouplusieursjobsdesauvegarde.touslesvolumesbaculaontunlabelunique (logiciel)écritsurlevolumeparbaculaafinqu'ilpuisseêtreassurédelirelebonvolume.enprincipe,ilne devraitpasyavoirdeconfusionavecdesfichiersdisques,maisavecdescartouches,lerisqued'erreurest plusimportant. FileSet UnFileSetestuneressourced'unfichierdeconfigurationquidéfinitlesfichiersàsauvegarder.Ilconsiste enunelistedefichiersourépertoiresinclus,unelistedefichiersourépertoiresexclusetlafaçondontles fichiersserontstockés(compression,chiffrement,signatures). manual/configurer_director.html#filesetresource Storage (daemon) Cetteressourcedéfinitlestockagelogiquedu Job auquelilestassocié.onyretrouvelesrépertoiresde travail du processus, le nombre de Jobs concurrents qu'il est capable de traiter, et éventuellement, la définitiondesadressesipdesclientsdontilacceptelesconnexions. manual/configurer_director.html#storageresource2 Device EOLE( 319

320 Véritable destination physique de la sauvegarde, la ressource Device fait le lien entre le matériel de sauvegarde(lecteurdebandes,robotsdesauvegarde,maisaussidisqueslocaux internescommeexternes) etlaressourcestorage. manual/configuratio_storage_daemon.html#deviceresource Catalog LaressourceCatalogprécisequelcatalogueutiliserpourlejobcourant.Actuellement,Baculanepeututiliser qu'untypedeserveurdebasesdedonnéesdéfinilorsdesaconfiguration:sqlite,mysql,postgresql.en revanche,vouspouvezutiliserautantdecataloguesquevouslesouhaitez.parexemple,vouspouvezavoir uncatalogueparclient,ouencoreuncataloguepourlessauvegardes,unautrepourlesjobsdetypeverifyet untroisièmepourlesrestaurations. Lecatalogue(ressourceCatalog)estunebasededonnéesutiliséepourstocker: des informations sur les fichiers: la liste, les permissions, l'emplacement sur les volumes de sauvegarde,etc. ladéfinitiondelaconfigurationdebacula. Actuellement,troisformatsdebasesdedonnéessontsupportés:SQLite,MySQLetPostgreSQL.SQLiteest conseillépourlespetitesinstallations,alorsquemysqlrestepréférablepourlesinstallationsd'entreprise(à partird'unedizainedeclients). Documentationstechniques Attention,l'interfacewebnefonctionnequ'aveclesversionsMySQLetPostgreSQL. LecatalogueestunepiècemajeuredeBacula,etdoitégalementfairepartieduplandesauvegarde. Cecataloguepeutrapidementdevenirvolumineux,ilfautveilleràl'occupationdisqueetàlaperformancede labasededonnées. Pointimportant:laconfigurationdeBaculasefaitàdeuxniveaux:lesfichiersdeconfiguration,etlabasede données.baculalitlesfichiersdeconfigurationaudémarrage,etinscritlesvaleursdanslabasededonnées ducatalogue.c'estlecataloguequidéfinitlaconfigurationutiliséeparbacula,doncilfautpréférerlerésultat descommandesconsoleauxvaleursdesfichiers. manual/configurer_director.html#catalogresource Administration L'administrationdeBaculasefaitautraversd'uneconsole(texteougraphique),quipourraêtreinstalléesur lemêmeserveurquele Director,maisaussisurd'autrespostespourpermettredecommanderBaculaà distance. Différentesversionsexistent: bacula console(bconsole)estlaconsoleenmodetexte; Bacula Administration Tool (BAT) est l'interface graphique standard qui permet d'exploiter bconsole,installablesurlesmoduleseoleaveclacommande[apt getinstallbacula console qt].puis lancezlaconsoleaveclacommande[bat c/etc/bacula/bat.conf]; bacula gnome consoleestuneconsolegraphique(notammentpourlesopérationsderestauration), maisnécessitel'installationdeslibrairiesgnome; bacula wx consoleestuneversiongraphiqueutilisantwxwidgets; WinBacula( leclientwindows(filedaemon); bwx console,laconsolegraphiquepourwindows. Laconfigurationdelaconsolesefaitencréantunfichierdeconfigurationcontenantlesinformationssurle Director,etlemotdepassepours'yconnecter. IlexisteaussiuneversionWeb(bacula weboubweb). manual/gui_programs.html EOLE( 320

321 Quelques références LesiteofficieldeBacula: L'accèsàladocumentation: Tutoriel: manual/breve_documentation.html Manuelutilisateur: manual/index.html Ilexisteuneversionfrançaiseetanglaisedecesdocumentations,maisaussisouventdesversionsPDF. Lewiki: Desprésentations: 4 Architecture mail Académique Documentationstechniques Pour fonctionner pleinement, la messagerie de Scribe à besoin d'adaptations au niveau des serveurs Académiques.Ilfaut: undnsconfiguréaveclesnomsdedomainesdesétablissements; unrelaismtp. Le relai Académique doit être capable de distribuer les adresses Internet (etab.ac acad.fr) et les adressesrestreintes(i etab.ac acad.fr). Remarque Sivousn'avezpasderelaiacadémique,votredomainerestreintseralimitéàl'établissementetnonà l'académie. LeDNS AuniveauduDNSAcadémique,ilfautécrirelesMXdechaquedomainesInternetdechaqueétablissement, enlesfaisantpointerverslerelaiacadémique. LesadressesdudomainesInternetsontdutype:etab.ac acad.fr. LerelaiSMTP SileDNSestconfigurécorrectement,seuleslesadressesInternetpourrontarrivéesdepuisl'extérieur.Au niveau des Scribe, le relai de messagerie étant le relai Académique, tous les mails Internet ou restreint d'autresétablissementsarriverontsurlerelai. LadistributiondesmailssefaitensuitegrâceauroutageSMTP(tabledePostfixouExim). Enfonctiondevosarchitectures,vouspouvezremontersurleScribe,soitviavotreréseaudeconcentration, soit via un réseau VPN (Amon Sphynx), soit via Internet en mettant en place du SNAT sur le pare feu établissement. NousrecommandonsdemettreleScribesuruneDMZdel'établissement. Ilestrecommandéd'utiliserunepasserelledédiéepourfaireduroutageSMTPavecanti virusetanti spam. Commetoujoursenarchitectureréseauiln'ypasdesolutionunique! Remarque LemoduleEOLESeshatpermetdemettreenplacesimplementunrelaiacadémique. EOLE( 321

322 5 Exportation des fichiers depuis Sconet et STS Ouvrirl'applicationSconetetcliquersurAccèsBaseElèves Écran43AccèsàSconetBaseElèves Danslemenudegauche,choisir:"Exploitation"=>"Exportsstandard"=>"ExportsXMLgénériques" Documentationstechniques Écran44MenudegauchedansSconet Puissélectionnezsuccessivement: ExportNomenclature; ExportStructures; ExportElèvessansadresse; Responsablesavecadresse. etenregistrerchacundesfichierszipgénérés. EOLE( 322

323 Documentationstechniques Écran45LesExportsXMLGénériques Ouvrirl'applicationSTSetcliquersurSTS Miseàjour Écran46AccèsàSTS Miseàjour EOLE( 323

324 Dans"Exports"choisir"Emploidutemps": Documentationstechniques Écran47LesExportsdansSTS Enregistrerlefichier(.xml)quiserviraàl'importationdesprofesseursetdespersonnelsadministratifs. EOLE( 324

325 6 La liste de distribution Sympa Lesfichiersdeconfigurationdéfinissantchaquelistedediffusionsontstockésdansunrépertoiredunomde lalistedans: /var/lib/sympa/expl/pourleslistesdudomaineinternet; /var/lib/sympa/expl/i monetab.ac acad.frpourleslistesdudomaineintranet. C'est l'une des raisons pour lesquelles il n'est pas possible de modifier la variable "domaine_messagerie_etab"unefoisl'instanciationduserveureffectuée. L'interfacewebSympaestgéréeparlefichier/usr/lib/cgi bin/sympa/wwsympa.fcgi.ils'agitd'unscriptcgien perl qui utilise le mode "fcgid" d'apache2 pour fonctionner. La présence d'un sticky bit sur ce fichier est nécessairepourassurerlebonfonctionnementdel'application. Lesarchivesdeslistessontstockéesdanslerépertoire/var/lib/sympa/wwsarchive. Les alias des listes de diffusions (utilisés par le MTA * Exim4) sont stockés dans le fichier /etc/mail/sympa_aliases. Documentationstechniques Pour modifier les "Catégories de liste" proposées, il est obligatoire de patcher* le fichier /etc/eole/distrib/topics.conf. LescriptdedémarragedeSympaest/etc/init.d/sympa.IlfautimpérativementqueMySQLsoitdémarréavant, sinondeserreursseproduiront Pourplusd'information,veuillezvousréféreràladocumentationofficielledulogiciel. 7 La gestion du SID 7.1. Introduction LeSIDestunIdentifiantdesécuritéutilisépouridentifierlesressourcesetlespersonnessurunréseau Microsoft. LeSIDd'undomaineseprésentesouslaformeS nnnnnnnnnn nnnnnnnnnn nnnnnnnnnn Chaque serveurdefichierpossèdeson propresidet celui ciestutilisé lorsde la création descomptes (utilisateurs,groupes,machinesrattachéesaudomaine). Lorsdel'installationdeScribe,Samba*génèrealéatoirementsonpropreSID. Danscertainscas(migration,restauration),ilestnécessairedelemodifierafind'obtenirunfonctionnement correctavecd'anciennesdonnées. EOLE( 325

326 7.2. Calcul et stockage du SID Touslesutilisateurspossèdent,enplusdeleuridentifiantUnix(uidNumber)etdeleuridentifiantdegroupe principal(gidnumber),leséquivalentsmicrosoft,appeléssambasidetsambaprimarygroupsid. Lorsdel'intégrationd'unestationaudomaine(àpartirdeWindows2000),uncomptedestationestcrééavec desidentifiantsuniques. Toutescesinformationssontstockéesdansl'annuaireLDAP*deScribe Mode de calcul Pour les groupes gidnumber gidnumériqueunixtraditionnel exemple:10001pourlegroupeprofesseurs sambasid Documentationstechniques SIDsuivid'unevaleurobtenueparlecalculsuivant:2*gidNumber+1001 exemple:s nnn nnn nnn 21003pourlegroupeprofesseur Pour les utilisateurs et les comptes de stations uidnumber uidnumériqueunixtraditionnel exemple:11327pourl'utilisateurtest sambasid SIDsuivid'unevaleurobtenueparlecalculsuivant:2*uidNumber+1000 exemple:s nnn nnn nnn 23654pourl'utilisateurtest sambaprimarygroupsid sambasiddugroupeprincipaldel'utilisateur exemple:s nnn nnn nnn 21005pourunélève exemple:s nnn nnn nnn 515pourunestation(groupespécialdomainComputers) 7.3. Commandes liées au SID du domaine ObtenirleSIDduserveur netgetlocalsid VérifierlavaleurduSIDstockédansl'annuaireLDAP ldapsearch xsambadomainname=* grepsambasid ValiderleSID(enregistrementsamba) netrpcgetsid ForcerlavaleurduSID(restaurationduSIDdel'ancienserveur) netsetlocalsids nnn nnn nnn EOLE( 326

327 8 Services actifs sur Scribe Niveaux de fonctionnement LadistributionUbuntu,nefaitpasdedistinctionentrelesrunlevelsdeniveau2à5. 0:Arrêt 1:Modemaintenance 2à5:Modemulti utilisateurcompletavecserveurgraphiquesiinstallé. 6:Redémarrage Services communs à tous les modules atd bastion cron ead server ead web(optionnel) eole sso(optionnel) gpm mdadm ntp nut rc.local rmnologin rng tools rsync rsyslog ssh stunnel4 ulogd usplash z_stats(saufzéphir) Documentationstechniques Services spécifiques admin posh profile(optionnel) apache2 bacula director(optionnel) bacula fd(optionnel) bacula sd(optionnel) clamav daemon(optionnel) clamav freshclam(optionnel) controle vnc courier authdaemon(optionnel) courier imap(optionnel) courier imap ssl(optionnel) courier pop(optionnel) EOLE( 327

328 courier pop ssl(optionnel) cupsys(optionnel) dhcp3 server(optionnel) exim4 libnss ldap mysql nscd openbsd inetd openvpn posh profile(optionnel) proftpd(optionnel) quotarpc samba scannedonly(optionnel) slapd spamassassin(optionnel) sympa tftpd hpa(optionnel) Documentationstechniques 9 Ports utilisés 9.1. Introduction Scribeproposedenombreuxservices. CedocumentdonnelalisteexhaustivedesportsutiliséssurunScribestandard. Ilindiqueégalementlesportsdistantsutiliséspourcommuniqueraveclespostespédagogiquesetlemodule Zéphir. CesportsdistantsfontbiensûrpartiedesportsàouvrirdanslecasoùScribeestinstallédansuneDMZ*. EOLE( 328

329 9.2. Liste des ports utilisés Lesportsutilisés sont,dansla mesure du possible, les portsstandardspréconiséspourles applications utilisées Ilestpossibledelisterlesportsouvertssurleserveurparunecommandedutype: [netstat ntlp] Ports standards TCP 21:ftp(ProFTPD) 22:ssh(sshd) 25:smtp(Exim4) 80:http(Apache2) 110:pop3(Courier) 139:samba(netbios) Documentationstechniques 143:imap(Courier) 389:ldap(OpenLDAP) 443:https(Apache2) 445:samba(sansnetbios) 514:Rsyslog 631:CUPS 783:Spamassassin 993:imap SSL(Courier) 995:pop3 SSL(Courier) 3306:MySQL 9101:bacula director 9102:bacula filedemon 9103:bacula storagedemon Ports spécifiques 4200:ead web 4201:ead server 4202:ead server(fichiers) 7070:admin posh profil 7080:posh profil(xml RPC) 8090:z_stats:consultationdesstatistiquesZéphirlocales 8443:serviceSSO 8787:applicationwebSympa(domaineexterne) 8789:controle vnc(serveurdecommandes) 8790:controle vnc(serveurdefichiers) 8888:applicationwebSympa(domaineinterne) EOLE( 329

330 9.3. Ports à ouvrir sur le Pare-feu Truc & astuce Le modèle 4zones scribe fourni sur le Pare feu* Amon contient les règles nécessaires au bon fonctionnementd'unscribeplacéendmz* Ports à ouvrir du Scribe vers le réseau pédagogique ListedesportsàouvrirdelaDMZversleréseaupédagogiquedanslecasoùScribeestdanslaDMZ: :protocoleSamba(TCPetUDP) 445:protocoleSMB 8788:serviceScribe(clientScribe) Documentationstechniques Ports à ouvrir du Scribe vers l'internet PortsZéphir: 22:uucp SSH 7080:remontéedeslogs 8090:miseàjourautomatiqueduclientZéphir Autresports 80:versleserveurdemiseàjourEOLE 5050:versleserveurd'enregistrementmatériel EOLE( 330

331 Glossaire Glossaire ACL Systèmepermettantdefaireunegestionplusfinedesdroitsd'accèsauxfichiers parutilisateuretgroupequenelepermetlaméthodeemployéeparlessystèmes UNIX. Distribution Une distribution Linux est un ensemble cohérent de logiciels rassemblant un système d'exploitation composé d'un noyau Linux et d'applications, la plupart étantdeslogicielslibres. DMZ La DMZ est une sorte de "no man's land", de zone filtrée à laquelle une organisation connecte, sous haute surveillance, tout serveur devant être accessibledepuisleréseaudangereux. EspaceNumérique Personnel Système d'intégration de service réseaux/web permettant la constitution de bouquetsdeservicesintégréspersonnalisablesparl'utilisateur. IlpermetdemettreenœuvreunPortailInternetAcadémique(PIA),unPortail InternetEtablissement(PIE)ouunEspaceNumériquedeTravail(ENT). GNU GNUestl'acronymerécursifdeGNUisNotUnix.Projetfondéen1984,ilviseà produireunoscompletdetypeunix. Lenoyaupropreauprojetn'étantpasfini,GNUestleplussouventutiliséavec Linux.OnparlealorsdesystèmeGNU/Linux. LDAP Protocoledegestiond'annuairesderéseau,conçuàl'UniversitéduMichigan,et reconnuparlaplupartdesgrossessociétésdusecteur. C'estuneadaptationallégéedustandardX500. C'estaussilenomdesannuairesgérésparl'intermédiairedeceprotocole. LicenceGNUGPL L'objectif de la licence GNU GPL, selon ses créateurs, est de garantir à l'utilisateurlesdroitssuivants(appeléslibertés)surunprogrammeinformatique: 1. lalibertéd'exécuterlelogiciel,pourn'importequelusage; 2. lalibertéd'étudierlefonctionnementd'unprogrammeetdel'adapterà sesbesoins,cequipasseparl'accèsauxcodessources; 3. lalibertéderedistribuerdescopies; 4. la liberté d'améliorer le programme et de rendre publiques les modificationsafinquel'ensembledelacommunautéenbénéficie. Linux LenoyauLinuxestunnoyaudesystèmed'exploitationdetypeUnix.Lenoyau Linux est un logiciel libre développé initialement par Linus Torvalds. Il a officiellementvulejouren1991. Formellement,«Linux»estlenomduseulnoyau,maisdanslesfaits,onappelle souvent «Linux» l'ensemble du système d'exploitation, aussi appelé «GNU/Linux»,voirel'ensembled'unedistributionLinux. Miseàjourcomplète Lamiseàjourcomplèteprendencomptelamiseàjourminimumainsiquetoutes lesnouvellesfonctionnalitésdespaquetseole. MTA EOLE( 331

332 Message(ouMail)Transfert Agent. Agent de transfert de message (ou de courrier), qui s'occupe de l'acheminement des messages. Glossaire Pare feu Patch Samba Traductionmot à motdel'anglaisfirewall,parexemplelepare feueoleamon. TODO ImplémentationduprotocoleSMBsousUnix. C'est un logiciel libre qui permet à n'importe quelle petite machine sous Unix d'êtrecontrôleurdedomainent. ServeurDHCP UnserveurDHCPpermetl'attributiondynamiqued'adresseIP. Lorsqu'unordinateursouhaiterejoindreunréseau,ilfautassocieruneadresse IP (ex: ) à au moins une de ses cartesréseaux. Il yexiste deux façonsd'assigneruneadresseàunecarteréseau: manuellement,l'administrateurassigneuneadresseipfixeàlamachine; dynamiquement,leserveurdhcp"offre"uneadresseipàchacundes ordinateursquienfaitledemandesurlesegmentréseauoùilsetrouve. ServeurTFTP Un serveur TFTP permet d'échanger des fichiers entre des ordinateurs, c'est dansunecertainemesure,l'équivalentd'unserveurftp.ilsertaujourd'hui,grâce àsatailleréduiteetàsasimplicitéàfairedémarrertoutesortedematérieldepuis leréseau(routeurs,clientslégers). SMTP Protocoleutilisépourletransfertdecourrierélectronique. SSO Méthode permettant de centraliser l'authentification afin de permettre à l'utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieursapplicationsinformatiques. Sympa Sympaestungestionnairedelistesdediffusionhautementconfigurable. Ilpeutgérerdegrosselistesetcomprenduneinterfacewebcomplète. SympaestmultilingueetpeutinterropéreravecunannuaireLDAPouunSGBD pourdéfinirdeslistesdediffusiondynamiques. Web2.0 L'expression«Web2.0»désignel'ensembledestechnologiesetdesusagesdu WorldWideWebquiontsuivilaformeinitialeduweb,enparticulierlesinterfaces permettant aux internautes ayant peu de connaissances techniques de s'approprier les nouvelles fonctionnalités du web et ainsi d'interagir de façon simpleàlafoisaveclecontenuetlastructuredespagesetaussientreeux, créantainsinotammentlewebsocial. EOLE( 332