Projet

Général

Profil

Etab1

Ce que doit faire l'établissement 1 :

propositions :

  • journaux système

Schéma réseau

  • Amon 4 zones -> acté
  • la gateway et les routes du poste de travail sont "réalistes" (exemple : il ne vaut pas avoir de route défini sur son poste pour atteindre le Scribe, un prof chez lui n'a pas ce genre de route et amon ne laisse pas passer par défaut) -> acté
* la gateway est de type "livebox"/"freebox" avec configuration de l'Amon en DMZ
Attention :
  • freebox = mode pont , Amon-eth0 IP publique
  • Livebox = Amon-eth0 IP privée
    En établissement scolaire, Amon-eth0 possède une IP publique, ce ne sont pas des modems mais des routeurs qui sont installés (ex. Montchapet).
  • agrégation de lien est configuré en mode répartition de charge -> refusé
  • le Scribe est en DMZ -> acté
  • le Scribe n'a pas d'accès Internet (hors proxy)
  • internet restreint dans la zone pédagogique -> acté
  • l'Horus est dans la zone admin -> acté
  • Tous les flux de la zone admin passent par le tunnel

Proxy

  • le Scribe et l'Horus doivent passer par le proxy authentifié -> acté
  • CNTLM est activé -> acté
  • Avant 2.6.1 : tous les postes doivent être authentifiés (2 serveurs déclarés dans NTLM/SMB) -> acté
    • les postes pédago/DMZ doivent être authentifiés sur le Scribe
    • les postes admin doivent être authentifiés sur l'Horus
  • À partir de 2.6.1 : tous les postes doivent être authentifiés (Pedago en NTLM/SMB, Admin en LDAP) -> acté
    • les postes pédago/DMZ doivent être authentifiés sur le Scribe
    • les postes admin doivent être authentifiés sur l'Horus
  • l'anti-virus doit être activé sur le proxy -> acté
  • un enseignant doit être modérateur (login à ajouter dans l'EAD) -> refusé

EAD/EOP

  • l'EAD de l'Amon :
    • doit être accessible sur une sélection d'IP -> acté
    • authentification SSO avec l'annuaire du Scribe -> repoussé; annuaire sur réseau AGRIATES
      • remplacé par : authentification PAM locale sur Amon -> acté
  • l'EAD du Scribe :
    • doit être accessible depuis la pédago -> acté
    • doit être accessible depuis l'extérieur -> reporté; choisir un autre port que 4200 #12207
    • authentification SSO local -> acté
  • l'EAD de l'Horus :
    • doit être accessible sur une sélection d'IP -> acté
    • authentification SSO local -> repoussé; annuaire sur réseau AGRIATES
      • remplacé par : authentification PAM local -> acté
  • EOP/EOE :
    • installé/activé sur Scribe -> acté
    • accessible depuis la pédago et l'extérieur -> acté

Onduleur

(bonne idée comme cela ?)

  • Activé sur Scribe -> acté
  • Amon est configuré sur l'onduleur de Scribe -> acté
  • Horus est configuré sur l'onduleur de Scribe -> acté

DaD: je ne connais pas d’onduleur virtuel
Ega : http://www.networkupstools.org/docs/man/dummy-ups.html

Sauvegarde

  • l'Horus sauvegarde ses données sur un disque externe -> acté
  • le Scribe sauvegarde ses données sur un poste de travail en SMB -> acté
  • l'Amon sauvegarde ses données dans l'espace de stockage du Scribe -> acté

Configuration commune

  • le serveur de mise à jour doit être test-eole.ac-dijon.fr -> acté

NTP

Proposition de Joël :
  • le Scribe et l'Horus de l'etb1 utilisent l'Amon comme serveur NTP (cf. Problèmes rencontrés dans Etb1 Pilote)
  • Les stations Windows et Linux utilisent respectivement le Scribe et l'Horus comme serveur NTP (modif à faire dans les configuration des stations et/ou du DHCP des modules) ou alors l'Amon pour tout le monde ?

Spécifique Scribe

  • partage :
    • antivirus -> acté
    • corbeille réseau -> acté
    • il est possible d'accéder aux partages par un service web (pydio) -> acté
  • mail :
    • antivirus -> acté
    • élève en restreint -> acté
    • professeur avec mail local (devrait être mail académique) -> acté
    • passerelle SMTP fonctionnelle -> acté
    • possibilité d'envoyer des mails depuis l'extérieur -> repoussé; seshat sur réseau academie
    • possibilité de lire les mails via un webmail -> acté
    • possibilité de lire un mail dans la zone pédago -> acté
    • possibilité de lire un mail depuis l'extérieur -> repoussé
  • droit sur les comptes :
    • un enseignant doit être print_operators -> acté
  • service web :
    • le service web sont accessible depuis la zone pedago -> acté
    • le service web sont accessible depuis la zone admin -> acté
    • le service web sont accessible depuis la zone extérieur -> acté
    • les IP sources sont correctes dans les journaux -> acté
  • activer jabber -> acté
    • le service fonctionne depuis la zone pedago -> acté
    • le service fonctionne depuis l'extérieur -> repoussé
    • le service fonctionne depuis une interface web -> acté
  • activer OCS/GPLI -> acté
    • le service fonctionne -> acté
    • la connexion se fait en SSO -> acté
    • le poste de travail est intégré dans OCS/GLPI -> acté
  • activer Infoquota et ecostation -> acté
    • le service est accessible -> acté
    • les quotas sont gérés -> acté
    • les extinctions de poste fonctionne. -> acté
  • activer phpMyAdmin -> TODO

Poste de travail pédago

  • un poste Windows :
    • en DHCP -> acté
    • dans le domaine Scribe (donc prepawin/integrdom) -> acté
  • un poste Windows :
    • en DHCP -> acté
    • hors domaine -> acté
    • configuration automatique du proxy -> acté
  • un poste GNU/Linux :
    • en DHCP -> acté
    • les utilisateurs du domaine sont utilisables -> acté
    • montage NFS des partages -> refusé
    • configuration automatique du proxy -> acté

Spécifique Amon

  • le DNS doit être fonctionnel et doit résoudre le serveur Scribe et Horus -> acté
  • Dans Services
    • Activer le réseau privé virtuel RVP positionné à oui -> acté
  • Dans Rvp
    • Serveur membre du réseau AGRIATES : oui -> repoussé

Spécifique Horus

  • Interbase est activé par défaut
  • ESU (Eole-Client) est désactivé par défaut (valeur par défaut du module)
  • Apache est activé
  • Bareos_webui est activé

Poste de travail admin

  • un poste windows :
    • en DHCP -> acté
    • intégré au domaine Horus -> acté
    • configuration manuelle du proxy -> acté
  • un poste GNU/Linux
    • en DHCP -> acté
    • configuration automatique du proxy -> acté

Construire un réseau AGRIATES

  • un réseau interco sur eth1 de Sphynx
  • un réseau raip
  • un réseau racine
  • un routeur à 4 interfaces : routeuretab GW et DNS = ip gateway
    • academie : sortie internet
    • interco : liaison vers eth1 de Sphynx
    • raip : réseau des RAIPS
    • racine : réseau inter académies
  • un serveur DNS sur routeuretab résolvant une zone in.ac-test.fr
    • DNS écoutant sur interco, raip et racine
  • un poste Linux sur raip : srvraip GW et DNS = ip routeuretab sur raip
  • un poste Linux sur racine : srvracine GW et DNS = ip routeuretab sur racine
  • proxy père (à faire sur srvracine ?)

Etb1 Pilote (ETAB 00000001)

L'adressage IP de l'établissement pilote correspond à celui d'etb1

Gateway

  • IP gateway pour l'accès à l'établissement pilote :
    • 192.168.230.126

Amon

  • serveur MAJ => eole.ac-dijon.fr
  • Interface-2, Filtre web à appliquer sur cette interface => 2
  • Interface-3, Autoriser les connexions SSH => non
  • Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root =>
  • Adresse électronique d'envoi pour le compte root =>

Scribe

  • serveur MAJ => eole.ac-dijon.fr
  • Wpkg, logLevel => 31
  • Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root =>
  • Adresse électronique d'envoi pour le compte root =>

Configuration sauvegarde

  • Nom machine distante: backup
  • IP machine distante: 10.1.3.10
  • Partage: sauvegardes
  • Login (facultatif): eole
  • Mot de passe (facultatif): eole
  • Mail admin sauvegarde pour les erreurs:
  • Adresse électronique d'envoi pour le compte root =>

Horus

  • serveur MAJ => eole.ac-dijon.fr
  • Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root =>
  • Adresse électronique d'envoi pour le compte root =>
  • Dhcp, IP haute de la plage DHCP => 10.1.1.100 (au lieu de 10.1.1.10)

Configuration sauvegarde

  • Nom machine distante: backup
  • IP machine distante: 10.1.3.10
  • Partage: sauvegardes
  • Login (facultatif): eole
  • Mot de passe (facultatif): eole
  • Mail admin sauvegarde pour les erreurs:
  • Adresse électronique d'envoi pour le compte root =>

Backup

LE DISQUE PAR DÉFAUT EST TROP PETIT !!!

root@backup:~# df /home/sauvegardes/
Sys. de fichiers              Taille Utilisé Dispo Uti% Monté sur
/dev/mapper/eolebase--vg-root   3,7G    1,9G  1,6G  54% /

  • IP = 10.1.3.10/24
  • Passerelle 10.1.3.1
  • DNS 10.1.3.1
  • Installation eole-fichier-common-pkg eole-fichier-common
    • E Contrôleur de domaine principal : No
    • E Activer le mode invité sur le partage : Non
    • E Activer des partages supplémentaires : Oui
      • Nom du partage : sauvegardes
      • Nom absolu du répertoire à partager : /home/sauvegardes/
      • Partage en lecture/écriture : Oui

Ajouter un utilisateur Samba :

 smbpasswd -a eole
 New SMB password: _eole_
 Retype new SMB password: _eole_

Zephir

  • Serveur MAJ => eole.ac-dijon.fr
  • Serveur de mise à jour utilisé par les clients => eole.ac-dijon.fr
  • Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root =>
  • Adresse électronique d'envoi pour le compte root =>

Sphynx (ETAB 0000000A)

  • serveur MAJ => eole.ac-dijon.fr
  • Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root =>
  • Adresse électronique d'envoi pour le compte root =>

Seshat (ETAB 0000000A)

  • serveur MAJ => eole.ac-dijon.fr
  • Messagerie, Adresse électronique recevant les courriers électroniques à destination du compte root =>
  • Adresse électronique d'envoi pour le compte root =>

Problèmes rencontrés

  • Impossibilité pour les serveurs en DMZ de se mettre à l'heure (NTP) avec pool.ntp.org (valeur par défaut gen_config)
  • Amon : les règles de parefeu ne permettent pas aux serveurs en DMZ d'utiliser le serveur NTP local (sur Amon)
  • En dehors du Scribe qui est NATé, les serveurs en DMZ ne peuvent pas accéder au Zéphir et au serveur de MAJ (exemple "backup")
  • Sphynx ne NAT pas le réseau AGRIATES, donc Seshat ne peut pas accéder à Zéphir et au serveur de MAJ

TODO

  • activer OCS/GLPI sur Scribe (ré-activer "ocsinventory-agent" désactivé dans /etc/cron.daily/ocsinventory-agent)
  • monter un tunnel Amon <=> Sphynx
  • faire en sorte que Seshat puisse :
    • communiquer avec Zéphir
    • se mettre à jour
    • contacter un serveur NTP
  • Ajouter de l'espace disque sur backup (/home trop petit)

Notes diverses

Notes reprises de la tâche #13543 :

Versions 2.5.1 et 2.4.2

Machines fonctionnant en continue :
- Etb1 amon
- Etb1 scribe
- etb1 horus
- etb1 eolebase en dmz + eole-fichier pour les sauvegardes
- pcprofs windows intégré
- pceleve windows intégré
- pcadmin windows intégré

Machines ponctuelles :
- pc windows
- pc linux

Sur les comptes :
- Pas de connexion root sur les machines
- Création de compte <dev>_root ( avec la clef SSH du dev dans autorizedkeys )
- Ajout pour chaque dev dans EAD/LDAP : <dev>_admin, <dev>_profs, <dev>_eleve, <dev>_zephir