Wiki du DRT

Outils d'utilisateurs

Outils du Site


scribe:formationadminscribe

Ce support de formation est valide pour Scribe 1.0.

Pour Scribe 2.0 : Voir formation gestionnaires SCRIBE NG

1. Introduction

1.1 Objectifs

Dans ce module de formation administrateur (niveau débutant), nous nous attarderons sur les fonctions de base de l'administration d'un serveur pédagogique Scribe. A savoir :

  • L'environnement Scribe
  • Le système de fichiers
  • L'administration de premier niveau, plus particulièrement la gestion des utilisateurs et des groupes
  • La gestion des postes clients
  • La gestion des imprimantes
  • La restauration des postes
  • La gestion des applications

1.2 EOLE

Ensemble Ouvert Libre et Evolutif développé par le Pôle de Compétence EOLE du Ministère de l’éducation nationale, rattaché au Centre d’Etudes et de Traitements Informatiques de l’Académie de Dijon (CETIAD).

1.3 SCRIBE

SCRIBE est le serveur pédagogique. Il offre aux élèves et aux professeurs, un service de partage de fichiers, un système de messagerie, d’annuaire et un espace web collaboratif. Un anti-virus et un anti-spam sont également présents.

Versions et mises à jour

http://eole.orion.education.fr/diff/rubrique.php3?id_rubrique=14

Trois versions sont disponibles :

  • Version en Diffusion : version stable, à utiliser en production.
  • Version Candidate : version intégrant les dernières corrections et nouvelles fonctionnalités validées. Elle est précurseur de la prochaine version stable.
  • Version de développement : version peu stable, elle permet de tester les derniers développements.

La version déployée dans les collèges est bien sur la version stable. Après avoir été validées en version Candidate des mises à jour sont régulièrement proposées. L'installation des mises à jour se fait de façon très simple à travers l'interface web d'administration, à la console du serveur ou à distance. Après validation sur une maquette, l'installation des mises à jour sera déclenchée par le département du Rhône.

2. Principe de constitution d'un serveur SCRIBE

Quels sont les composants essentiels de notre serveur Scribe sous Linux ?

  • La distribution de base est Mandrake 9.1 (sortie 2003), demain (EOLE NG) elle sera Ubuntu (support sur 5 ans LTS).
  • L'annuaire OpenLDAP (en savoir plus sur les annuaires http://articles.mongueurs.net/magazines/linuxmag65.html)
  • Les services réseaux : partage de fichier windows (SAMBA 3 - Futur : SAMBA 4 (Active Directory)) - serveur web (APACHE), serveur d'impression (CUPS), dhcp, administration à distance via SSH, etc.

2.1 Les interfaces d'administration

Nul besion d'être un spécialiste de LINUX pour faire l'administration de premier niveau d'un réseau utilisant un serveur SCRIBE. L'ensemble de l'administration se fera à travers des interfaces graphiques :

  • EAD : interface web d'administration

Accès depuis un navigateur WEB : https://srv-scribe:8501. Raccourci “Administration” dans le répertoire privé de “admin”

  • ESU : gestion des restrictions Windows, des bureaux et des menus “Démarrer programmes”

Raccourci “Esu” dans le répertoire privé de “admin”

  • ALIAS : gestion de la distribution des paquets d'installation d'application.
  • La console serveur : Accès depuis le serveur après authentification (“root” ou “scribe”) ou à distance.

2.2 Les utilisateurs systèmes

2.2.1 Sur le serveur Scribe

  • root : l’utilisateur “root” est l'administrateur du serveur. Il a tous les droits sur celui-ci et permet l'administration avancée. Son mot passe n'est pas connu de l'administrateur local. Son utilisation est réservée aux services de supervision et de maintenance.
  • scribe : l’utilisateur “scribe” permet à l’administrateur local d’avoir un compte sur le serveur ; Il n’est pas administrateur principal et possède des privilèges restreints. Toutefois un certain nombre d’opérations lui sont possibles par l’intermédiaire d’un menu dédié. Au login “scribe”, le menu est proposé automatiquement. Un accès limité au shell reste possible si besoin. Voir Gestion du serveur avec l'utilisateur "scribe".
  • administrateur : l’utilisateur “administrateur” permet de faire l'administration de premier niveau du serveur via l' interface WEB EAD. L’utilisateur administrateur est dédié à l’EAD et ne peut pas se connecter sur les postes clients. Pour les administrer, il faut utiliser le compte admin.

2.2.2 Sur une station

  • admin : l’utilisateur “admin” est un super-utilisateur permettant d’administrer les postes clients. “admin” est membre du groupe “domainadmins”, il est administrateur des postes Windows (pas de restrictions).
  • #ESU4# : utilisateur local Windows membre du groupe “Administrateur” créé automatiquement et utilisé par ESU.
  • college : sur chaque poste un utilisateur local Windows “college” membre du groupe local “Administrateur” a été créé. Cet utilisateur pourra être utilisé pour exécuter un service ou une application avec les droits administrateur du poste. Voir Elévation de droits

3. L'interface WEB d'administration EAD

Documentation officielle pour l'utilisation de l'EAD : Guide Eole Admin (décembre 2005)

L’E.A.D. est une interface WEB qui permet de faire l'administration de premier niveau de toutes les composantes du serveur Scribe : système, messagerie, utilisateurs, groupes,… Il offre également aux professeurs la possibilité de modifier leurs préférences, gérer les élèves de la classe dont ils sont responsables, distribuer des devoirs…

L’EAD est accessible sous trois profils distincts :

  • Le profil Professeur, permet de modifier son propre mot de passe, d’initialiser son adresse e-mail, de s’inscrire/désinscrire d’un groupe. Un professeur peut également distribuer/ramasser des devoirs, gérer les travaux d'impression des élèves.
  • Le profil Professeur principal/administrateur de classe, a accès aux mêmes fonctionnalités que le profil professeur. Il peut également modifier les données concernant les élèves de la classe dont il est responsable (nom, prénom, quota, mot de passe, appartenance à un/des groupe(s) …).
  • Le profil Administrateur donne accès à toutes les fonctions de gestion local du serveur. Il gère l’annuaire ldap (utilisateurs, partages, groupes, imprimantes…) mais également les modèles de restrictions/configuration des machines clientes. Il lui est aussi possible de redémarrer les services, programmer les mises à jour et les sauvegardes et effectuer l’extraction des utilisateurs à partir d'exports Sconet.


L'accès à l’EAD se fait depuis un navigateur web avec l'URL suivante : https://srv-scribe:8501 (on peut aussi renseigner l'adresse IP du serveur), puis à la connexion entrer le nom d’utilisateur et le mot de passe associé.

Attention pour le profil administrateur, l'utilisateur n'est pas “admin” mais “administrateur”. Un raccourci est présent dans les répertoires personnels des professeurs et et de l'administrateur.

L’écran d’accueil se compose de trois parties :

  • Sur la partie gauche, le tableau de bord composé de dix diodes rend compte de l’état du système, ces indicateurs sont réactualisés toutes les minutes.
  • Sur la partie droite de l’écran, le menu de navigation. Il regroupe les principales fonctionnalités disponibles.
  • Le centre de l’écran est découpé en deux parties : la première est réservée aux commentaires et la seconde vous indique les dernières actions effectuées sur le serveur et vous permet d’accéder au compte-rendu de chaque action. Ces informations sont réactualisées automatiquement à chaque fois que l’une des actions (mise à jour, sauvegardes distante et bande, extraction GEP) est réalisée.

Si les services fonctionnent, toutes les diodes sont vertes, le message suivant est affiché : Tous les services sont en état de marche.
Si l’une des diodes est rouge, il existe un dysfonctionnement signalé par le message suivant : “ATTENTION : certains services ne fonctionnent plus normalement”. Référez vous au menu Services pour tenter de remédier à ce dysfonctionnement en relançant le service en cause au moyen du bouton approprié.

3.1 Importation des utilisateurs et des groupes dans l'annuaire /Changement d'année scolaire

A chaque changement d'année scolaire, l'administrateur local devra mettre à jour la liste des utilisateurs et des groupes → Rubrique “services” puis “extraction gep”.

:!: Export des fichiers de base depuis Sconet et STSweb

Même si le nom “extraction gep” subsiste, l'importation des utilisateurs et des groupes doit maintenant se faire à partir d'un export Sconet pour les élèves et d'un export STSweb pour les professeurs.

Méthode : Depuis le réseau administratif, exporter les profs et les élèves depuis STSweb et Sconet.
Voir Export_Sconet et les copier sur un clé USB

Les services sont rarement renseignés en tout début d'année dans STSweb. En conséquence, l'association Profs-Groupes (classes, matières, etc) ne peut pas être réalisée automatiquement. Il vous faudra alors affecter les profs aux classes à la main → besoin de la liste profs classe et profs principaux. L'autre solution consiste à refaire une deuxième mise à jour quand les services seront saisis dans STSweb (mi-octobre) pour affecter les professeurs à leurs groupes.

:!: Alimentation de l'annuaire du Scribe

Pour ne pas créer un annuaire incohérent, le système d’importation commence par lire l’ensemble des fichiers contenant les bases, crée un script permettant de modifier l’annuaire LDAP et n’exécute ce script qu’une fois l’opération terminée. En cas de corruption des bases, il n’y a donc pas de risque que l’annuaire LDAP soit détruit.

Méthode : Depuis EAD importer les profs et les élèves

  • Mot de passe généré aléatoirement
  • Quota disque : pas de quota pour les profs, à voir avec responsable établissement pour les élèves (les quotas peuvent être modifiés ensuite dans 'Groupes', 'Appliquer quotas')
  • Les comptes et les répertoires personnels des utilisateurs existants sont conservés.
  • Le système propose de supprimer les comptes et les répertoires personnels des utilisateurs n'existant plus.
  • Même chose pour les groupes.



ATTENTION :

  • Cette opération (mise à jour de l'annuaire) rend inaccessibles les partages de fichiers (clignote rouge dans l'EAD) et il est impossible de se connecter. Elle doit donc être effectuée lorsque les utilisateurs ne travaillent pas sur le réseau.
  • Soyez patients l'alimentation de l'annuaire peut durer plusieurs dizaines de minutes. Bien attendre l'affichage de la ligne ##fin## à la fin du fichier de log accéssible depuis la page d'accueil de l'EAD (ou /var/www/ead/extraction/tmp/rapport.txt).
  • Il est possible d'imprimer la liste des mots de passe par classe : depuis la page d'accueil de l'EAD, ouvrir la “liste des comptes”. Enregistrer une copie du fichier et renommer l'extension (.html) en .csv. (ce raccourci sur la page d'accueil de l'EAD correspond au fichier p:\info.csv). Le fichier peut alors être lu depuis un tableur. Les utilisateurs existants conservent leur mot de passe. L'ancien fichier des mots de passe est renommé en info.csv.bak. Si vous souhaitez regénérer un fichier à jour avec l'ensemble des mots passe des élèves par classe, il faut fusionner les deux fichiers avec un tableur.
  • Si vous rencontrez une erreur du style /usr/share/ead/rep-eleve.sh: line 26: 13180 Segmentation fault chown -R $USER $REP. Il y a certainement une incohérence entre les fichier csv et XML, vérifiez leur contenu et notamment le nom des groupes et des classes.
  • A reformuler + simple → précaution comparer maj EAD et MAIJ site EOLE A ce jour, les formats d'export Sconet et STSweb évoluent encore régulièrement ⇒ Il est probable qu'il faille faire une mise à jour du composant sconet avant de faire le prochain import. Une visite sur ftp://test-eole.ac-dijon.fr/maj/scribe-1.0/Eole/RPMS/ permettra de connaître la dernière version du paquet “extraction-gep”. La mise à jour “manuelle” d'un rpm nécessite les privilèges root sur le serveur. L'administrateur local devra faire appel à l'assistance si le dernier paquet n'a pas été intégré dans la version de production.

3.2 Utilisateurs

Le lien utilisateurs permet de

  • Lister/Rechercher des utilisateurs
  • Editer et modifier les utilisateurs (par exemple modifier le mot de passe)
  • Ajouter des élèves
  • Ajouter des professeurs
  • Définir les comptes Mail
Exercice 1
 * Listez tous les élèves dont le nom commence par un T
 * Editez les propriétés d'un utilisateur précis (vous par exemple)
Exercice 2
 * Créez un nouvel utilisateur, ayant les propriétés suivantes :
 Attention les caractères spécifiques tels que les accents sont rigoureusement interdits dans le nom de login
 * Elève de 6C
 * prénom au choix , nom = ELESTAGEn , mot de passe = 1234
 * Quota disque = 10 Mo
 * Profil utilisateur = Obligatoire
 * Vérifier sa connexion et l'accès à ses partages

- Les partages élèves

Exercice 3
 * Créez un nouvel utilisateur, ayant les propriétés suivantes : 
 Attention les caractères spécifiques tels que les accents sont rigoureusement interdits dans le nom de login.
 * Professeur de mathématiques en 6A, 6C, 5B, 3C
 * prénom au choix , nom = PROFSTAGEn, mot de passe = 1234
 * Quota disque = aucun
 * Profil utilisateur = Obligatoire
 * Vérifier sa connexion et l'accès à ses partages

- Les partages professeurs

Remarques


Fonctions

- Les caractères spécifiques tel que les accents sont rigoureusement interdits dans le nom de login, le prénom et le nom de l'utilisateur.
- Effacer = efface l'utilisateur ET son répertoire personnel. A utiliser avec prudence.
- L’option Changement de classe permet d’inscrire un élève dans sa nouvelle classe mais également d’affecter un élève non retrouvé dans les bases GEP.
- Un professeur est inscrit dans les équipes pédagogiques des classes dans lesquelles il enseigne (type=“Equipe”), il peut aussi être inscrit dans les groupes associés aux matières qu’il enseigne et aux groupes de travail. Par défaut, l’extraction nomme comme responsable d’une classe son professeur principal. L’administrateur peut, par l’intermédiaire de l’EAD, donner ce droit à d’autres professeurs ou le reprendre. Une classe peut avoir plusieurs responsables, un professeur peut être responsable de plusieurs classes (depuis mise à jour janvier 2007).
- Inscrire un professeur dans le groupe domainAdmins revient à lui donner les droits d'administrateur sur les stations. N’inscrire des utilisateurs dans ce groupe qu’en connaissance de cause.

Adresses e-mail

- Un élève fait systématiquement partie de sa classe et de son niveau. Il ne peut être inscrit que dans des groupes de travail (type=“Groupe”). Son adresse e-mail est hébergée sur le serveur Scribe et débute par son login. Elle peut être, selon les besoins, sur le domaine interne ou sur le domaine externe. Il est possible (>v1.0C) de saisir les adresses e-mail des parents dans la fiche élève, ceci en vue de générer des listes de diffusion parents.

  • Domaine restreint : messagerie intranet (pas de liaison avec un service de messagerie académique). L'adresse est du type prenom.nom@i-nomdomaine.ac-lyon.fr
  • Domaine internet : messagerie internet (liaison avec un service de messagerie académique). L'adresse est du type prenom.nom@nomdomaine.ac-lyon.fr

L'académie de Lyon ne propose pas un service de messagerie académique pour les élèves. La messagerie Scribe sera donc restreinte au domaine local. Pour les collèges du Rhône, le département propose un service de messagerie sur laclasse.com

- Par défaut, un professeur n’a pas de boîte aux lettres sur le serveur Scribe. Il (ou l’administrateur) doit donc entrer son adresse académique (ou autre) pour qu’il puisse recevoir les mails envoyés aux listes de diffusion auxquelles il est abonné.

Quota disque

- Un quota disque initialisé à 0 signifie que les quotas sont désactivés pour l’utilisateur, c’est-à-dire que son quota est illimité.

- Vous pouvez positionner des quotas sur les comptes utilisateurs (professeurs comme élèves) lors de la création des utilisateurs. En allant sur l’onglet groupe, vous pouvez modifier les quotas pour tous les élèves de la classe.

- Lorsque l'on fixe un quota disque à l'aide de l'EAD, il s'agit d'une limite dite douce (soft). La limite dure (hard) vaut deux fois la limite douce. Un utilisateur dépassant sa limite douce recevra un message d’avertissement lui indiquant qu’il doit libérer de l’espace disque. Un utilisateur ne peut en aucun cas dépasser sa limite hard. La période de grâce (période durant laquelle l’utilisateur peut dépasser sa limite douce)est paramétrée à 7 jours. Si après ce délai l’utilisateur n’est pas repassé en dessous de sa limite douce, il ne pourra plus écrire dans son espace de stockage (même si la limite dure n’est pas atteinte). Il recevra alors le message « espace disque insuffisant ».La seule possibilité pour l’utilisateur est alors de supprimer des fichiers pour redescendre en dessous de la limite douce (ou de demander de l’espace disque supplémentaire à l’administrateur).

3.3 Groupes

Permet de

  • Lister les groupes
  • Ajouter/Supprimer des groupes
  • Gérer VNC (Mode de contrôle VNC) et les modèles
  • Gerer les lettres de lecteur
  • Changer domaine
  • Appliquer des quotas
  • Modifier les profils

Lors de l'extraction Sconet, les groupes “classes”, “niveaux”, “equipes pedagogiques”, “matiere” sont automatiquement créés. On peut ajouter des groupes de ce type. Par exemple, une équipe pédagogique pour un IDD. Il est aussi possible de créer d'autres types de groupe : groupe de type “groupe”. Par exemple, un club photos.

Application pratique : un stagiaire au tableau !!!
Création du groupe Matiere : "Documentation" et Création du partage "Documentation"
* Se connecter à l'EAD (outil d'administration pour les établissements scolaires)
* Aller dans Navigation > Groupes > gestion des groupes
* Ajouter un groupe de type Matières appelé "Documentation". 
* Accepter les paramètres par défaut.
* Créer les documentalistes. Les inclure dans le groupe "Documentation".
* Les associer à toutes les classes
 Exercice : Créer un groupe "stageN" ayant les propriétés suivantes
 * type "groupe"
 * partage en lecture/écriture
 * pas de liste de diffusion
 * membres : tous les "PROFSTAGE" et "ELESTAGE"
 * vérifiez la création du partage et les droits effectifs des utilisateurs

3.4 Autres fonctions de l'EAD

Guide Eole Admin (décembre 2005) Todo : lister fonctionnalités à montrer

4. Le système de fichiers et le domaine Windows

4.1 Le système de fichiers linux

Le système de fichiers linux n'est pas directement visible pour les utilisateurs. Seul les utilisateurs systèmes “root” et “scribe” y ont accès depuis la console du serveur (pas d'interface graphique).

4.2 Les partages SAMBA

Les utilisateurs accèdent à des partages sur le serveur via SAMBA. Scribe agit comme un controleur de domaine type ’NT’. Le nom du domaine est celui de l'établissement. Chaque poste a été intégré à ce domaine. A l'ouverture de session, les utilisateurs s'identifient sur le domaine. Ils peuvent ensuite accéder aux partages auxquels ils ont droit.

L'utilisateur “admin” peut parcourir le réseau en utilisant le raccourci “Favoris réseau” ou tapant le chemin UNC du serveur (\\srv-scribe) dans la barre d'adresse de l'explorateur Windows.

 Exercice :
  * Se connecter "admin" et explorez le réseau afin d'analyser l'arborescence.
  * Que voit "admin" ?
  * A-t-il accès à l'ensemble du système de fichiers du serveur Scribe ?
  * A-t-il accès aux répertoires privés des autres utilisateurs ?

Tout utilisateur membre du groupe domainAdmins peut accéder à l'ensemble des partages SAMBA. Par exemple, pour accéder au répertoire privé d'un utilisateur, il faut entrer l'adresse \\srv-scribe\prénom.nom dans la barre d'adresse de l'explorateur Windows.

4.3 Droits des utilisateurs sur les fichiers

A discuter : transfert dans formation niveau 2 ou à aborder dans le chapitre installation d'applications → trouver un exemple d'appli qui va bien.

Les droits sur les fichiers sont affectés automatiquement par le système lors de la création des utilisateurs et des groupes via l'EAD. L'utilisateur “admin” peut les visualiser ou les modifier depuis l'explorateur Windows par le menu contextuel clic droit “Propriétés - Sécurités”.

  • Toute modification doit être faite avec prudence et en connaissance de cause.
  • Ne pas modifier les droits sur les partages groupe, discipline, classe, etc… Risque de création d'incohérences.
  • Il pourra être nécessaire d'ajouter des droits dans des sous répertoires de T:logiciels pour certaines applications partagées sur le serveur. Voir Gestion des applications.
 Exercice : 
   **Attention à ne modifier aucun droit. Quittez toujours la fenêtre "Propriétés" par le bouton "Annuler"**
   * Explorez le réseau et éxaminez les droits des utilisateurs sur les différents dossiers. ( + bouton "Paramètres avancés")
   * Est-il possible de visualiser les droits effectifs d'un utilisateur ou d'un groupe ?
   * Les droits observés sont-il cohérents avec le fonctionnement suivant des partages ?

- Les partages professeurs

- Les partages élèves

5. Gestion du serveur avec l'utilisateur "scribe"

Même si toute l'administration de premier niveau du serveur se fait à travers l'interface web EAD, il peut parfois être nécessaire d'intervenir à la console du serveur. Par exemple, si on ne peut plus accéder à l'EAD c'est peut être par ce que le serveur APACHE est en défaut. Il est possible de le vérifier et de le relancer depuis la console du serveur avec l'utilisateur “scribe”.

5.1 Accès à la console

Deux possibilités pour accéder à la console du serveur :

  • En étant physiquement sur le serveur
  • A distance via le protocole SSH
    • Depuis un poste linux : ssh utilisateur@srv-sribe (on peut également renseigner l'adresse IP du serveur à la place de son nom)
    • Depuis Windows on utilisera l'utilitaire PUTTY

(on peut également renseigner l'adresse IP du serveur à la place de son nom)

Dans tous les cas, il faudra s'identifier sur le serveur.

  • Diagnostique-scribe : permet de vérifier le bon fonctionnement de la carte réseau, des services, de l’annuaire LDAP. A faire avant d'appeler l'assistance si de gros disfonctionnement sont constatés.
  • Reconfiguration : relance la configuration du serveur à partir du fichier de configuration de l’établissement. A faire par exemple après une mise à jour. Cela entrainera un redémarrage des services, l'accès au serveur scribe sera bloqué pendant quelques minutes.
  • Mise à jour CD : mise à jour depuis un cdrom contenant les dernières mises à jour; à utiliser si le volume de cette mise à jour est importante et le débit faible (RNIS). Ne pas utiliser, les mises à jour majeurs seront réalisées par les services de maintenance.
  • Mise à jour Réseau : procédure standard de mise à jour (peut égalemnt se faire depuis l'EAD). Les informations sont récupérées sur le serveur académique de mise à jour. Les mises à jour sont annoncées sur la liste de diffusion et sur la page http://eole.orion.education.fr/diff/rubrique.php3?id_rubrique=14
  • Démarrer les services : permet de redémarrer tous les services en cas de doute sur le bon fonctionnement de l’un d’entre eux.
  • Status samba : liste les connexions en cours sur le domaine samba.
  • Sauvegardes (nécessite d'avoir configuré la sauvegarde Bacula dans l'EAD):
    • Sauvegarde totale disque
    • Sauvegarde totale bande
    • Compte-rendu
  • Arrêt serveur : stoppe proprement le serveur, à manipuler en connaissance de cause car des utilisateurs sont peut-être connectés !
  • Shell linux : permet le passage en ligne de commande
  • Quitter : déconnection du menu scribe

Remarque : en cas de gros plantage (plus d'accès possible à la console), il est généralement possible de redémarrer la serveur par CTRL+ALT+SUPPR

Un site pour linuxiens débutants : http://www.guidelinux.org

6. Environnement de la station Windows autour de Scribe

Documentation officielle : Guide gestion des postes clients - Esu compris - (juillet 2006)

Documentation CAPTICE Rennes : Prise en main d'ESU4

6.1 Intégration d'un poste au domaine

Scribe agit comme un controleur de domaine type ’NT’. Pour l’utiliser, il faut joindre les clients windows à ce domaine. Plusieurs démarches sont nécessaires en fonction de la version du client. Une fois dans le domaine les clients sont administrables par le logiciel ESU qui est pré-installé.

L'intégration d'un poste au domaine nécessite :

1) D'attribuer un nom unique au poste sur le réseau suivant la convention Snumero_Pnumero_numerocg. Cette convention commencant par le nom de la salle est importante pour la gestion des groupes de postes via ESU (évitera notamment de créer les postes un par un)
2) De déclarer le nom du domaine : nométablissement
3) De se connecter admin sur le poste
4) D'installer le client Scribe : sur un poste W9X → U:9xinstall-9x.bat, sur un poste XP PRO → U:XPinstallXP.bat
qui installe le service Scribe et VNC

6.2 Environnement utilisateur

L'environnement utilisateur dépend :

  • De son appartenance aux groupes de travail → droits accès aux partages réseau.
  • Du groupe de poste sur lequel l'utilisateur est connecté
  • Du modèle Windows auquel il est associé → droits sur le système local Windows

Il existe 3 modèles par défaut : élève, professeur, admin. L'affectation à un modèle se fait via l' EAD (propriété de l'utilisateur)

Par défaut, les élèves et les professeurs n'ont pas le droit de modifier c: et le registre. Ces restrictions peuvent poser des problèmes pour certaines applications. Voir Gestion des applications

La gestion des groupes de postes et des modèles utilisateurs se fait via ESU

6.3 Profil local ou obligatoire (Windows XP)

Scribe permet de spécifier, pour chaque utilisateur ou groupe d’utilisateurs, le type de profil à utiliser avec Windows XP. Les profils possibles sont :

  • profil local : il reste sur le poste client, un profil est créé pour chaque utilisateur.
  • profil obligatoire : il est stocké sur le serveur, c’est le même pour tous. Le profil obligatoire permet de stocker les paramètres utilisateurs des logiciels installés sur les * postes clients. Il est téléchargé depuis le serveur à chaque ouverture de session et supprimé de la station à la fermeture de session. Cela permet aux utilisateurs de repartir d’un environnement standard à chaque session, les modifications apportées (changement de papier peint, de configuration des logiciels…) n’étant pas enregistrées.

Par défaut les utilisateurs sont associés au profil obligatoire afin d'éviter la prolifération des profils locaux sur les stations. Le profil local est quant à lui bien adapté à un utilisateur se connectant tout le temps sur la même station (exemple : personnel administratif).

Grace à ESU, certains paramètres du profil sont redirigés dans le répertoire personnel afin que l'utilisateur les retrouve quel que soit le poste :

  • Mes documents
  • Favoris
  • Application Data : après l'installation d'un logiciel qui écrit dans le sous répertoire Application Data de l'utilisateur actif, comme par exemple OpenOffice, lors de la première exécution, l'utilisateur devra entrer les paramètres le concernant ainsi que l'acceptation de la licence et les éventuels paramètres d'enregistrement du logiciel. Pour OpenOffice, la mise en place d'un dictionnaire s'enregistre également dans le profil de l'utilisateur.
  • Cookies
  • Historique de navigation

Un profil obligatoire a été créé à l'installation du réseau. Il peut être nécessaire de recréer ce profil obligatoire pour y intégrer des modifications apportées par l'installation d'une nouvelle application. Voir la documentation Création de profil obligatoire (juillet 2006)

Cette partie est à approfondir : enregistrement de paramètres dans le profil utilisateur/écrasement par profil par défaut.

6.4 ESU

—> Présentation

ESU est développé et distribué sous licence libre par le CRDP de Rennes. La version complète (le message sur le bureau a été modifié dans la dernière mise à jour RC, voir ftp://eole.orion.education.fr/doc-pdf/scribe/changelog-scribe-RC.pdf ) d'ESU est fournie gratuitement dans Scribe. La dernière version est la 4.01h (implémentée dans la dernière mise jour RC de Scribe).

—> Fonction

Esu est un logiciel de gestion avancée des postes clients Windows.

  • ESU permet de gérer de façon centralisée la configuration de l'environnement de l'utilisateur, sur les stations Windows (construction du bureau de l'utilisateur, réglage des paramètres Internet Explorer, Firefox…).
  • ESU organise votre parc informatique en groupes de machines : le CDI, la salle de techno, la salle multimédia…
  • ESU configure les environnements à partir d'une base dynamique contenant actuellement environ 250 règles.
  • ESU construit l'environnement de travail de l'utilisateur, à l'ouverture de session, en fonction :
    • du groupe de machines auquel appartient la station sur laquelle il s'est authentifié (CDI, salle multimédia, laboratoire de langue, salles de cours banalisées.)
    • du groupe d'utilisateurs auquel il appartient (Utilisateurs du domaine, administratifs, professeurs, élèves, classes, disciplines …).
  • ESU propose à l'administrateur du réseau de déléguer la gestion de chaque groupe de machines : par exemple, un documentaliste gèrera les environnements sur les machines du CDI et un professeur de technologie gèrera les environnements de sa salle de techno. A tester

—> Scribe et ESU

Sur Scribe, ESU est pré-installé et pré-configuré dans le répertoire personnel de “admin” (répertoire ESU). Pour lancer l'interface ESU, utiliser le raccourci à la racine de U:. *La configuration par défaut est adaptée à Scribe, ne pas toucher.

L'interface ESU est très intuitive. Le plus simple est d'utiliser le menu contextuel clic droit. Pensez à appliquer les modifications : bouton en bas à droite de la fenêtre.

La partie gauche de la fenêtre représente l'organisation logique du système : Domaine → Groupe de machine → Groupe d'utilisateurs → utilisateurs.

La partie droite de la fenêtre affiche les règles applicables à chaque type d'objets et classées par applications :

Les modèles

Les modèles sont stockés dans U:\esu\Console\Modeles

Par défaut, il existe trois types de modèles :

  • Groupe de machines (répertoire GM)
  • Utilisateurs (répertoire GU) : DomainAdmins, eleves, professeurs
  • LDAP (répertoire LDAP) : rôle = ?

Pour créer des nouveaux modèles : clic droit sur un objet “enregistrer comme modèle”.

Création de groupe de machines

Pour créer un nouveau groupe de machines, clic droit sur l'objet racine (le domaine). Par défaut, un nouveau groupe de machines, est créé à partir du modèle u:\esu\modeles\gm\groupemachine_scribe.xml.

Dans chaque groupe de machines, on retrouve par défaut trois groupes d'utilsateurs :

  • DomainAdmins
  • eleve
  • professeur

Il est possible d'ajouter d'autres groupes ou utilisateurs de l'annuaire LDAP → clic droit ajouter. Cela permet par exemple de définir un environnement spécifique pour un utilisateur ou un groupe sur un groupe de machines. Exemple : pour créer un environnement spécifique pour les documentalistes, ajouter le groupe “documentation” dans le groupe de machines CDI. De cette façon, on pourra également donner des droits spécifiques sur les postes techno aux profs de techno. Ces fonctionnalités avancées d'ESU pouront être abordées dans le stage “Niveau avancé”

Pour ajouter des machines à un groupe, sélectionner le groupe puis Machines. Il est possible d'associer un ensemble de machines en utilisant le caractère générique *. Exemple, pour ajouter l'ensemble des machines de la salle 113, renseigner S113*. On comprend ici l'importance de la convention de nommage des postes.

Exercice :
 - Créer un groupe de machines "stagenom" (ou nom représente votre nom) et y affecter la machine "bidon".
 - Quelles sont les machines membres du groupe ?

Les règles

La version actuelle d'ESU compte environ 250 règles classées par Applications, catégories et OS (Windows).

La distribution des imprimantes, le papier peint, l'image en fond d'écran, la page d'accueil d'IE et Firefox sont par exemple gérés.

  • case cochée ⇒ la règle est à Oui
  • case décochée ⇒ la règle est à Non
  • case grisée ⇒ la règle est désactivée (pas de modification, garde la situation existante sur le poste)

Les règles s'appliquent à l'ouverture de session. Toute modification nécessitera une réouverture de session pour être prise en compte.

Les règles actuelles sont les règles par défaut. Elles conviendront dans la plupart des cas et sont à modifier avec modération et en connaissance de cause. En cas de cafouillage, il est toujours possible de revenir au règle d'un modèle → clic droit - Charger depuis un modèle.

 Exercice : modifier les règles suivantes (améliorations possibles) dans tous les groupes de machines.
  * Windows - Bureau : Afficher les imprimantes de l'utilisateur sur le poste de travail.
  * Vérifier les pages d'accueil d'Internet Exploreur et Firefox. Les modifier si nécessaire.
  * Firefox - Gestion des profils : Activer les règles par défaut
  * Firefox - Options : Activer le dossier de téléchargement dans le répertoire personnel
  * Autre, à compléter...

Remarque : il semble y avoir un bug dans la gestion de la règle du répertoire de téléchargement par défaut de Firefox. Il faut que les utilisateurs aient modifié une fois ce paramètre eux mêmes dans Firefox pour que la règle s'applique correctement.

Gestion du bureau et des menus démarrer

Le répertoire “icones$” accessible par I:\ permet de gérer les bureaux et les menus Démarrer Programmes. A chaque fois qu'un groupe de machines est créé dans ESU, on retrouve un dossier lui correspondant dans I:\. Dans chaque dossier, il y a des dossiers correspondants aux groupes d'utilisateurs ou utilisateurs déclarés dans le groupe de machines: “_Machines”, “DomainAdmins”, “eleves” et “professeurs” (par défaut), “classe”, “pierre.dupond”… Chacun de ces dossiers contient à son tour un dossier “Bureau” et un dossier “Menu Démarrer” dans lequel se trouve un dossier “Programmes”. Cette arborescence permet de construire le bureau et les menus “Démarrer Programmes” des groupes de postes. Si un raccourci est placé :

  • dans “_Machines” : il sera visible par tous les utilisateurs,
  • dans “DomainAdmins” : il sera visible uniquement par les membres du groupe “DomainAdmins”,
  • dans “eleves” : il sera visible uniquement par les élèves,
  • dans “professeurs” : … vous avez compris ;-).

L'utilisateur voit la somme des raccourcis auxquels il est associé.

Avec ESU, les dossiers racines “bureau” et “menu_dem” sont à ignorer.

Exercice :
- Créer un dossier "stagenom" dans le menu démarrer de la salle.
- Ajouter un raccourci vers notepad++ dans le répertoire "stagenom" du menu démarrer de la salle, pour tout le monde.
- Ajouter un raccourci vers le webmail académique dans le répertoire "stagenom" du menu "démarrer" de la salle et le bureau pour les profs uniquement.

6.5 Cas particulier des portables

Cette configuration est à mettre en place afin d'avoir le même environnement que sur un poste fixe lors d'une utilisation en réseau (menu “Démarrer\programmes” et bureau par type d'utilisateurs, affichage du nom d'utilisateur, poste de travail, etc …) tout en permettant l'utilisation en dehors du réseau avec un utilisateur spécifique “portable”.

  • Intégration à un groupe ESU. (Régle particulière : le pavé numérique est désactivé à l'ouverture de session et après ouverture de session).
  • Création du menu “démarrer\programmes” par discipline.
  • Création d'un utilisateur local “portable” sans mot de passe et administrateur du poste pour l'utilisation hors connexion.
  • Les raccourcis d'accès aux applications sont ajoutés dans c:\documents and settings\portable\bureau.

Remarque : le problème des menus “Démarrer\programmes” vide lors d'une connexion en poste uniquement est corrigé dans la version NG.

7. Gestion des applications

L'hétérogénéité et le nombre d'applications rencontrées dans l'Education Nationale font de l'installation des applications un vrai casse tête pour l'administrateur de réseau.

Dans tous les cas, on veillera à être en règle avec le type de licence.

7.1 Plusieurs cas de figure

  • Applications clients/serveur (BCDI, application WEB type @ssr, etc) → un service tourne sur le serveur de fichiers

Ce sont en général de vraies applications réseau (partage d'une base de données, etc…). Si l'application est compatible linux, une procédure d'installation du serveur devrait être fournie. Généralement, l'installation nécéssitera les droits “root”. La configuration du serveur devra être modifiée pour démarrer le service automatiquement. Ce type d'application ne pourra donc pas être installée de façon autonome par l'établissement. Il faudra faire appel à l'assistance. Il pourra être nécessaire d'installer un client sur chaque poste.

Si l'application n'est pas compatible linux, une station XP aura le rôle de “serveur” pour cette application (exemple de Tell me more).

  • Applications s'installant dans un simple partage (exemples à trouver)

Elles seront installées dans le partage Commun (T:\) : logiciels accessibles en lecture pour tous. Il pourra être nécessaire d'ajouter des droits sur le répertoire de l'application.

  • Applications réseau avec installation serveur dans un partage et une installation cliente dans Windows

La partie serveur sera installée dans Commun (T:\) : logiciels accessibles en lecture pour tous. Il pourra être nécessaire d'ajouter des droits sur le répertoire de l'application. La partie cliente devra être installée sur chaque poste. La encore, l'application étant partagée sur le serveur, l'accès risque d'être lent. Il sera donc souvent préférable d'installer l'application entièrement en local. Cette installation peut être automatisée avec ALIAS.

  • Applications non réseau

Pas d'états d'âme. L'application devra être installée sur chaque poste. Là encore ALIAS sera notre allié.

  • Applications s'installant dans la tour de cédérom (voir la formation avancée)

7.2 BCDI

Le serveur est installé dans /usr/Bcdi3 (BCDI 2003) ou /usr/bcdiserv (BCDI2006 ou BCDI2007). Ces fichiers ne sont pas visibles par l'utilisateur final. Le serveur BCDI est démarré automatiquement au démarrage du serveur Scribe.

Une sauvegarde automatique de la base (répertoire data) est effectuée automatiquement toutes les nuits. Les fichiers de sauvegardes sont stockés dans le partage créé pour les documentalistes (“documentation”). Six fichiers de sauvegarde sont conservés. Par sécurité, le documentaliste doit régulièrement copier ces sauvegardes sur un support externe (clé USB, cédérom, etc).

Le documentaliste dispose de webmin (interface web de gestion) pour gérer le serveur BCDI : status du serveur, arrêt, démarrage, sauvegarde manuelle. Accès à webmin : https://srv-scribe:10000.

7.3 Exemples

Sinequanon → le cas simple juste un partage + mise à disposition doc

Vlc, Audacity → installation sur lecteur T

Capb2i → installation dans un partage + ajouter des droits pour les élèves et les profs sur répertoire installe. Attention : les mots de passe sont en clair, logiciel non valide au niveau sécurité.

XnView → Alias

7.4 Distribution d'applications avec ALIAS

La distribution d'applications est une fonction en développement dans Scribe. Pour déployer une nouvelle application sur les postes, on peut d'ores et déjà utiliser l'utilitaire ALIAS.

Exemple : Xn View

7.5 Elevation de droits

Certaines applications nécessitent des droits supérieurs aux droits utilisateurs sur les stations pour fonctionner correctement.

Pour faire fonctionner ces applications il faudra :

  • Soit ajouter des droits sur le système de fichiers Windows et/ou le registre.

De la même façon que pour le système de fichiers serveur, il est possible de visualiser ou modifier (nécessaire pour le fonctionnement de certaines applications) les droits d'un groupe ou un utilisateur sur une entrée du système de fichiers via l'explorateur Windows ou sur une entrée du registre via regedit.

* Pour modifier ou visualiser les droits sur un répertoire local : dans l'explorateur Windows –> clic droit sur Propriétés - Sécurité

* Pour modifier ou visualiser les droits sur une entrée du registre : dans l'éditeur de registre –> clic droit sur Autorisation

Les prochaines versions d'ESU devraient permettre d'automatiser l'ajout de droits sans avoir à intervenir sur chaque poste.

  • Soit exécuter l'application en tant qu'administrateur avec CPAU

8. Gestion des imprimantes

Principes

Les imprimantes sont gérées avec CUPS :

  • CUPS sert à signaler à Linux la présence d’imprimantes
  • CUPS est livré avec un ensemble de pilotes. Si le pilote d'une imprimante n'est pas disponible dans CUPS, on peut utiliser directement le pilote Windows.
  • CUPS est compatible avec le logiciel Pykota qui permet de gérer les quotas d'impression des utilisateurs.

Seule la gestion des imprimantes déjà installées sera traitée ici. Voir la formation avancée pour la procédure de déclaration d'une nouvelle imprimante.

CUPS utilise une interface WEB, qui écoute le port 631 :

Tous les utilisateurs peuvent accéder à cette interface pour visualiser les imprimantes et gérer les travaux d'impression.

L'accès aux pages d'administration nécessite de s'autentifier avec l'utilisateur “scribe” (utilisateur CUPS).

L'utilisation de l'interface WEB de CUPS est à réserver à l'administrateur. La mise à jour RC1 du 10 janvier 2007 apporte une interface web simplifiée pour la gestion des Imprimantes. En attendant, les utilisateurs peuvent gérer les travaux d'impression via le gestionnaire d'impression Windows (raccourci sur le bureau).

Gestion des impressions

  • Chaque utilisateur peut annuler ses propres tâches : Les utilisateurs peuvent visualiser tous les travaux d’impression dans la file d’attente de Windows, et peuvent annuler ceux dont ils sont propriétaires.
  • Le groupe PrinterAdmins peut effacer tous les travaux : Les membres de PrinterAdmins peuvent, eux, effacer tous les travaux en attente, depuis l’interface Windows. Ils peuvent également modifier la priorité des tâches en cours. Par défaut, seul admin est membre du groupe PrinterAdmins.
  • Les utilisateurs CUPS disposent de tous les droits : Ces opérations sont également possibles depuis l’interface Web de CUPS.

L’administrateur de CUPS peut annuler les tâches ou changer leur priorité comme il le souhaite. Il peut également accéder au cache de CUPS. Ce dernier conserve en effet sur le disque la file d’attente des impressions, mais n’efface pas immédiatement les travaux, de sorte qu’il est possible de les replacer dans la file active et de disposer d’un duplicata.

L'utilisateur CUPS est “scribe”, renseigner son nom et son mot de passe quand l'interface CUPS demande une authentification.

Intégration d'une nouvelle imprimante

9. Sauvegarde/Restauration d'un poste avec OSCAR

Problèmes qui peuvent être rencontrés lors d'une restauration

Lors d'une restauration d'image, il se peut, selon le délai entre la sauvegarde et la restauration de l'image, que l'on ne puisse plus se connecter au domaine. Cela est du au SID de la machine qui a été modifié.

La solution la plus simple est la suivante :

  1. Se connecter au poste en utilisant le login générique college
  2. Sortir du domaine et se remettre dans un groupe de travail quelconque (exemple : Workgroup)
  3. Cliquer OK sans renseigner l'utilisateur
  4. Reboot
  5. Se reconnecter au poste en utilisant le login générique college
  6. Réintégrer le poste au domaine nom du collège
  7. Se connecter en admin au domaine
  8. Reboot
scribe/formationadminscribe.txt · Dernière modification: 2009/01/06 15:41 (modification externe)