Les clients GNU/Linux EOLE 2.2 Octobre 2012
V e r s i o n d u d o c u m e n t O c t o b r e 2 0 1 2 D a t e C r é a t i o n j u i n 2 0 1 0 E d i t e u r P ô l e d e c o m p é t e n c e E O L E R é d a c t e u r s L i c e n c e Équipe EOLE Cette documentation, rédigée par le pôle de compétence EOLE, est mise à disposition selon les termes de la licence : Creative Commons by-nc-sa (Paternité - Pas d'utilisation Commerciale - Partage des Conditions Initiales à l'identique) 2.0 France : http://creativecommons.org/licenses/by-nc-sa/2.0/fr/. Vous êtes libres : de reproduire, distribuer et communiquer cette création au public ; de modifier cette création Selon les conditions suivantes : paternité : vous devez citer le nom de l'auteur original de la manière indiquée par l'auteur de l'œuvre ou le titulaire des droits qui vous confère cette autorisation (mais pas d'une manière qui suggèrerait qu'ils vous soutiennent ou approuvent votre utilisation de l'œuvre) ; pas d'utilisation Commerciale : vous n'avez pas le droit d'utiliser cette création à des fins commerciales, y compris comme support de formation ; partage des Conditions Initiales à l'identique : si vous modifiez, transformez ou adaptez cette création, vous n'avez le droit de distribuer la création qui en résulte que sous un contrat identique à celui-ci. A chaque réutilisation ou distribution de cette création, vous devez faire apparaître clairement au public les conditions contractuelles de sa mise à disposition. La meilleure manière de les indiquer est de reproduire la présente licence sur vos documents. Chacune de ces conditions peut être levée si vous obtenez l'autorisation du titulaire des droits sur cette œuvre. Rien dans ce contrat ne diminue ou ne restreint le droit moral de l'auteur ou des auteurs. Cette documentation est basée sur une réalisation du pôle de Compétence EOLE. Les documents d'origines sont disponibles sur le site. EOLE est un projet libre (Licence GPL). Il est développé par le Pôle de Compétence EOLE du Ministère de l'éducation nationale, rattaché au Centre d'études et de Traitements Informatiques de l'académie de Dijon (CETIAD). Pour toute information concernant ce projet vous pouvez nous joindre : Par courrier électronique : eole@ac-dijon.fr Par FAX : 03-80-44-88-10 Par courrier : EOLE-CETIAD 33 rue Berbisey - B.P. 1557 21032 DIJON CEDEX le site du Pôle de Compétence : http://eole.orion.education.fr 2
Sommaire S o m m a i r e I Les clients GNU/Linux...4 1 Paramétrages sur le module Scribe...4 2 Installer la solution ClientScribe...5 II Chargement du profil utilisateur...6 III Paramétrage d'un client GNU/Linux existant...7 1 Clients Ubuntu... 8 2 Clients Mandriva... 8 3 Clients Mageia... 9 IV Trucs et astuces...10 3
I Les clients GNU/Linux Il existe plusieurs façons de mettre en place des clients GNU/Linux avec le module Scribe. Deux sont fournit par le projet EOLE : l'installation d'un module Eclair (serveur de clients légers) ; le déploiement de la solution ClientScribe (à partir du module Eolebase) pour des clients lourds. Avec ces deux modules, l'intégration au domaine est simplifiée. La dernière consiste à paramétrer un client GNU/Linux existant. Peu importe la solution choisie, pour que les clients fonctionnent correctement il est nécessaire de faire quelques adaptations sur le module Scribe. L e s c l i e n t s G N U / L i n u x 1 Paramétrages sur le module Scribe Configuration du partage de fichiers Pour fonctionner, le client GNU/Linux se connecte à deux partages différents : le répertoire personnel qui est monté en CIFS (partage Samba) ; les répertoires partagés qui sont montés en FTP. Samba est configuré, par défaut, sans les extensions Unix. Il est nécessaire, pour le bon fonctionnement du client, de les activer. Dans l'interface de configuration du Scribe, en mode expert, dans l'onglet Samba, vérifier que Activer les extensions Unix est bien à yes. Le serveur FTP doit être activé sur Scribe. Ce qui est le comportement par défaut. Attention Activer les extensions Unix sur le serveur Scribe, signifie qu'avec le jeu des liens symboliques, un utilisateur peut accéder, comme simple utilisateur, à l'ensemble des fichiers sur le système. Cela ne pose pas vraiment de problème de sécurité si les droits sont correctement configurés. Configuration des comptes utilisateurs Les utilisateurs du module Scribe doivent avoir le shell Unix activé. Cette manipulation se fait au moment de l'importation des utilisateurs sur le module Scribe ou si l'importation a été faite, dans l'ead Gestion Édition groupée Choisir les utilisateurs Modifier le shell associé à ces utilisateurs. 4
Les clients GNU/Linux L e s c l i e n t s G N U / L i n u x Écran 1 Édition groupée dans l'ead 2 Installer la solution ClientScribe Les étapes pour installer la solution ClientScribe sont les suivantes : 1. installer un module Eolebase 2. mettre à jour : Maj Auto i 3. installer le paquet : apt eole install client scribe 4. configurer : gen_config 5. instancier : instance zephir.eol Complément Vous pouvez également consulter l'article rédigé par Cédric Frayssinet de l'académie de Lyon : http://www2.ac-lyon.fr/serv_ress/mission_tice/wiki/doku.php?id=scribe:installation_clients_linux 5
II Chargement du profil utilisateur Le montage des volumes Scribe Le montage des volumes Scribe se fait automatiquement au démarrage de la session. Le montage se fait grâce à PAM et à son module pam_mount. Le répertoire personnel est monté avec le protocole SMB/CIFS directement dans le répertoire perso de l'utilisateur grâce au module noyau Cifs. Tous les autres partages sont montés en FTP avec une version modifiée de Curlftpfs. La gestion des profils Les profils sont appliqués en premier grâce au script de démarrage de la session graphique. ESU L'application des règles ESU se fait en dernier. Au démarrage de la session, le script /usr/share/profile-eole/logon_user.py est exécuté. C h a r g e m e n t d u p r o f i l u t i l i s a t e u r 6
Attention III Paramétrage d'un client GNU/Linux existant Dans le cas des clients GNU/Linux existant, il ne faut pas utiliser la fonctionnalité "forcer le changement de mot de passe à la première connexion" se trouvant dans les outils d'importation des comptes et de l'édition groupée de l'ead. La connexion du client serait impossible car il ne gère pas le changement de mot de passe. Dans le cas de client GNU/Linux existant il est nécessaire que Samba soit configuré sans les extensions Unix, c'est le cas par défaut. Il faut se rendre dans l'interface de configuration du Scribe, en mode expert, dans l'onglet Samba pour vérifier que Activer les extensions Unix est bien à no. Si on active les extensions Unix on conserve les droit GNU/Linux sur les montages du serveur. Il est possible de monter le /home de la machine dans le perso de l'utilisateur mais on obtient des liens brisés. Si on désactive les extensions Unix le /home est monté localement sur la machine. Dans ce cas les personnalisations, les préférences et les données de l'utilisateur restent sur chaque machine et il ne pourra pas les récupérer sur une autre machine. Si vous utilisez l'authentification par proxy dans votre établissement il faut obligatoirement spécifier l'utilisateur/mot de passe sous GNU/Linux (L'authentification transparent du proxy utilise un mécanisme interne de Microsoft). P a r a m é t r a g e d ' u n c l i e n t G N U / L i n u x e x i s t a n t 7
1 Clients Ubuntu Client Hardy Heron (8.10) Pour l'intégration d'une station Ubuntu 8.10 à un serveur Scribe, vous pouvez vous reporter à la procédure décrite par notre collègue Mehdi Kalai, de l'académie de Poitiers : http://www.m-k.cc/spip.php?article1 Scripts d'intégration Des scripts d'intégration ont été développés par Christophe Dezé de l'académie de Nantes. Ils sont mis à disposition dans : ftp://eoleng.ac-dijon.fr/pub/contribs/clients_linux Ces scripts sont disponibles pour plusieurs versions de GNU/Linux Ubuntu : Ubuntu 8.04 LTS (Hardy Heron) Ubuntu 8.10 (Intrepid Ibex) Ubuntu 9.04 (Jaunty Jackalope) Ubuntu 9.10 (Karmic Koala) Ubuntu 10.04 LTS (Lucid Lynx) Ubuntu 10.10 (Maverick Meerkat) Ubuntu 11.04 (Natty Narwhal) Ubuntu 12.04 (The Precise Pangolin) Pour utiliser un des scripts proposés en téléchargement, vous devez le rendre exécutable. Si vous n'êtes pas à l'aise avec la ligne de commande clic droit Propriétés permettre l'exécution du programme. Sinon lancez un terminal et tapez la commande suivante : $ chown o+x nom_du_script.sh 2 Clients Mandriva Les clients GNU/Linux P a r a m é t r a g e d ' u n c l i e n t G N U / L i n u x e x i s t a n t Client Mandriva 2010 Pour l intégration d une station Mandriva 2010 à un serveur Scribe, vous pouvez vous reporter à la procédure décrite par notre collègue Mehdi Kalaï, de l'académie de Poitiers : http://www.m-k.cc/spip.php?article2 8
3 Clients Mageia Les clients GNU/Linux Scripts d'intégration Un script d'intégration a été développés par Mehdi Kalaï de l'académie de Poitiers. Il est mis à disposition dans : ftp://eoleng.ac-dijon.fr/pub/contribs/clients_linux Ce script n'est disponible que pour la version 2 de Mageia. Pour utiliser un des scripts proposés en téléchargement, vous devez le rendre exécutable. Si vous n'êtes pas à l'aise avec la ligne de commande clic droit Propriétés permettre l'exécution du programme. Sinon lancez un terminal et tapez la commande suivante : $ chown o+x nom_du_script.sh P a r a m é t r a g e d ' u n c l i e n t G N U / L i n u x e x i s t a n t 9
IV Trucs et astuces T r u c s e t a s t u c e s Gestion des profils Il existe l'outil kiosktool pour gérer les profils, les bureaux et imposer des restrictions mais il ne fonctionne qu'avec l'interface graphique KDE. Il n'existe pas d'équivalent pour Gnome. Attention L'application kiosktool n'est plus développée depuis de nombreuses années. Masquage des fichiers cachés sous Gnome 2 1. rendre les menus éditable : menu Système Apparence onglet Interface [Raccourcis clavier de menus modifiables] 2. ouvrir Nautilus : mettre le curseur de la souris sur affichage afficher les fichiers cachés appuyer sur la touche [suppr ] 3. rendre les raccourcis non éditables : menu Système Apparence onglet Interface [Raccourcis clavier de menus modifiables] Attention Cette astuce ne fonctionne plus à partir de la version 2.29 de Gnome. Activation massive du shell en ligne de commande La commande suivante permet d'activer le shell de tous les utilisateurs en une seule fois : ldapsearch x cn=domainusers grep memberuid: awk '{print $2}' while read i do echo "mise en place du shell pour $i" smbldap usermod s /bin/bash $i done 10