Journal Intégration d'un poste GNU/Linux dans un domaine Windows

Posté par (page perso) . Licence CC by-sa
34
13
nov.
2017

Il y a quelques années, j'avais administré un petit parc de 100 postes dans une PME. Pour être tranquille avec les virus, ne plus avoir à ré-installer 1 à 2 postes Windows par mois et ne plus avoir la moitié des fichiers vérolés par des vers dans les dossiers partagés en réseau, j'avais remplacé 80% des postes Windows par des postes GNU/Linux.

C'était facile, tous ces postes utilisaient Firefox, Thunderbird, LibreOffice et se connectaient à un serveur TSE pour l'ERP. Rien d'autre de particulier. Par précaution, j'avais ré-installé tous les postes Windows restants (CAO, anciennes applications DOS/Windows sans contrat de support que j'avais virtualisées avec VirtualBox, logiciels d'acquisition/transmission de données et de pilotage d'appareils industriels). J'en avais profité pour faire le ménage dans les pourriciels et pour rappeler les consignes de sécurité (clé USB, pièces jointes, téléchargement).
Les droits d'accès étant gérés par un serveur Windows 2003, je ne m'étais pas cassé la tête à intégrer les postes GNU/Linux dans le domaine, j'avais juste mémorisé sur chaque poste les accès aux dossiers partagés et créé localement sur chaque poste un utilisateur/mot de passe identique à celui enregistré dans l'Active Directory.
C'était moche mais ça marchait et comme c'était galère à l'époque d'intégrer un poste GNU/Linux dans un domaine Windows, je ne m'étais pas cassé la tête.
J'ai de suite eu un gain de temps disponible considérable, plus d'utilisateurs plantés ou ralentis, plus de messagerie bloquée, plus de redémarrages des postes, plus d'ordinateur à ré-installer. J'ai gagné facilement plus de 2 jours de temps libre par semaine et j'ai pu tranquillement travailler sur l'intégration de l'ERP.
Au passage, la connexion au serveur TSE depuis GNU/Linux marchait très bien avec Remmina, on perdait juste la possibilité d'écrire des caractères spéciaux (par exemple diamètre) avec la combinaison de touches ALT+xxx. Mais c'est maintenant possible de faire cela avec un logiciel libre tel que WinCompose.
En lisant par hasard un article sur l'outil realm pour intégrer facilement un poste GNU/Linux dans un royaume Kerberos, j'ai eu l'envie de tester cela, ce que je n'avais pas fait à l'époque.
J'ai installé Linux Mint MATE et un serveur Windows 2008 dans 2 machines virtuelles avec VirtualBox et j'ai commencé à tester cela. Avec l'aide d'un membre du Graoulug (pub), on a réussi à intégrer la machine dans le domaine Windows et à monter automatiquement un dossier Windows partagé lorsque l'utilisateur Linux ouvre une session.
Une documentation détaillée est disponible, elle a déjà été testée par une autre personne avec un serveur Windows 2012.
Si vous souhaitez tester cela, n'hésitez pas à apporter vos commentaires, critiques, suggestions, corrections etc.

  • # automatisation de la session utilisateur

    Posté par (page perso) . Évalué à 8 (+6/-0).

    C’est pas mal, mais pour que ce soit vraiment utilisable il faudrait que le montage des disques réseaux se fasse tout seul à l’ouverture de session, sans aucune intervention, et qu’on puisse exécuter un script arbitraire (note qu’une solution à ce problème peut résoudre le problème précédent), et que la session s’ouvre sur un dossier ${HOME} qui n’existe pas encore avant que la session ne soit ouverte. Autrement tu ne peux pas concurrencer Windows en tant que client.

    Je serais vraiment intéressé par une telle solution. Faire tout le domaine Active Directory avec Samba sous Linux ça marche, y connecter des postes sous Windows ça marche, y connecter des postes sous Linux, bah…

    Déjà rien que pour commencer il faudrait que l’utilisateur n’ait pas à saisir le domaine quand il s’identifie… Ça commence là.

    Vraiment je serais intéressé par une solution qui me permettrait d’installer un poste Linux à un utilisateur et que dans GDM il pose son identifiant et son mot de passe (sans saisir le domaine) et que hop, la session s’ouvre avec tous les dossiers réseaux monté (incluant le ${HOME} complet), et que tous les déverrouillages annexes (seahorse etc.) basé sur le mot de passe de session fonctionnent, et ce exactement comme avec un client Windows.

    Note: il me semble qu’il n’est pas commun de fournir un environnement entièrement réseau sans roaming (incluant le bureau, %AppData%) sous Windows, mais ça se fait assez bien avec Samba. Une fois cela mis en place, la sauvegarde des documents personnels ne dépend plus d’une extinction correcte du poste utilisateur (c’est une aberration !). Vu que tous mes postes Windows sont configurés ainsi, je ne peux pas déployer un poste Linux sans le même niveau d’intégration.

    Et vraiment, j’aimerai bien déployer des postes Linux, parce qu’il y a plein de petits outils très cool (comme ça) qui sont très faciles à installer sous Linux et que franchement la qualité de la logithèque Linux est sans commune mesure à côté de celle pour Windows, et que le déploiement de paquets est tellement plus pratique !

    ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: automatisation de la session utilisateur

      Posté par . Évalué à -1 (+6/-8).

      et que franchement la qualité de la logithèque Linux est sans commune mesure à côté de celle pour Windows

      Il y a quoi par exemple ?

      • [^] # Re: automatisation de la session utilisateur

        Posté par . Évalué à -1 (+4/-7).

        Rien.

        Face à la logithèque Windows, tant qu'en qualité et en quantité, Linux c'est riquiqui.

        (déni de réalité dans 3, 2, 1, …)

        "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

        • [^] # Re: automatisation de la session utilisateur

          Posté par . Évalué à 2 (+2/-2).

          Et sinon t'as une vie à part tenter de lancer des trolls de façon pas du tout subtile ?

          • [^] # Re: automatisation de la session utilisateur

            Posté par . Évalué à -3 (+0/-5).

            Rétablir la vérité = lancer un troll…

            OK…

            "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

            • [^] # Re: automatisation de la session utilisateur

              Posté par . Évalué à 3 (+2/-1). Dernière modification le 15/11/17 à 14:19.

              Il n'y a pas de vérité à rétablir. Apparemment tu ne peux pas concevoir que certaines personnes préfèrent la logitèque windows, d'autres la linux et encore d'autres celle dispo sur Mac.

              Ben si ça existe.

              • [^] # Re: automatisation de la session utilisateur

                Posté par . Évalué à -2 (+0/-4).

                Je m'en fous des préférences de chacun.

                Mais dire ça :

                et que franchement la qualité de la logithèque Linux est sans commune mesure à côté de celle pour Windows

                C'est nier la réalité.

                "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                • [^] # Re: automatisation de la session utilisateur

                  Posté par . Évalué à 2 (+1/-1). Dernière modification le 15/11/17 à 15:29.

                  ou pas.

                  J'veux dire celui qui adore gnome3 ou (si si ça existe), il fait comment pour avoir un DE comfortable et utilisable avec des paradigmes équivalents sous windows ?

                  Après forcément en quantité l'univers windows profite de la force du libre qui est de faciliter le portage des applications et donc forcément la majorité des applications libres qui étaient très populaires sous linux voient des efforts de portages. Donc forcément la comparaison est biaisée.

                  Mais après la facilité d'accès à ces applications n'est pas la même. Si microsoft a développé récemment nuget et le windows store et des initiatives comme chocolatey se sont créées l'accès et l'installation des applications reste globalement encore très compliquée et non ergonomique sous windows comparé à linux et ses gestionnaires de paquets app stores.

                  • [^] # Re: automatisation de la session utilisateur

                    Posté par . Évalué à 3 (+4/-3). Dernière modification le 15/11/17 à 17:16.

                    Mais on s'en fiche de tout ça.

                    Quand on dit ça :

                    et que franchement la qualité de la logithèque Linux est sans commune mesure à côté de celle pour Windows

                    Tu compares un écosystème et un logithèque (y compris tout ce qui est tierce partie) présent massivement depuis plus de 30 ans, à quelque chose qui est très loin d'avoir la même présence sur le marché depuis sa naissance.

                    Or la conclusion de la citation est forcément fausse. Mathématiquement, l'offre logicielle sous Windows est incomparablement meilleure, tant en qualité qu'en qualité, face à celle de Linux.

                    Ça ne veut pas dire qu'il n'y a que de la merde sous Linux, c'est juste que les deux logithèques n'ont absolument rien à voir, et le rapport de force est très largement en faveur de Windows.

                    "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                    • [^] # Re: automatisation de la session utilisateur

                      Posté par (page perso) . Évalué à 2 (+1/-1). Dernière modification le 18/11/17 à 02:11.

                      Tu compares un écosystème et un logithèque (y compris tout ce qui est tierce partie) présent massivement depuis plus de 30 ans

                      Récemment quelqu’un m’a demandé WinZip. En fait il fallait comprendre que l’association des fichiers avec 7-zip n’était pas faite correctement. J’ai corrigé ça et l’utilisateur était content.

                      Je crois bien qu’on s’en moque un peu que Linux n’ait ni WinZip ni WinRAR ni WinACE.

                      Ça me fait penser aussi : je crois qu’on s’en moque un peu que Linux n’ait pas QuickTime, et je ne vois pas ce que je pourrais faire de PowerDVD ou de RealPlayer aujourd’hui.

                      Je travaille aussi pour une radio FM et quand j’ai commencé à travailler pour elle il y a 8 ans le logiciel de gravure de CD utilisé était simplement celui préinstallé par le constructeur du PC. À chaque fois que l’on voulait faire une copie de CD à CD ce logiciel affichait un pop-up avertissant que la copie qu’on allait faire était probablement illégale et demandait de valider pour dire « oui oui j’ai vérifié je peux le faire ». Vu que c’était une radio qui par nature, produit du son, bien évidemment que la production de CD était légale, et les gens se tapaient systématiquement cette invite à chaque fois qu’ils voulaient copier leur propre production pour l’envoyer à des auditeurs qui faisaient une demande d’émission sur CD par exemple. Dès que j’ai pu j’ai déployé des InfraRecorder. Sous Linux j’aurai mis Brasero ou K3B. Avoir WatMille logiciels de gravure pourris disponibles ne rend pas la logithèque meilleure, c’est un peu comme s’ils n’existaient pas, et il faut les fuire.

                      Avoir une logithèque de plus de 30 ans n’apporte pas grand chose si le ratio qualité/quantité ou utilité/quantité est très très faible.

                      InfraRecorder est un bon exemple : en fait c’est surtout la logithèque libre qui a un très haut ratio qualité/quantité, or il se trouve que la logithèque libre tourne massivement sous Linux. Pas toujours, InfraRecorder en étant un bon exemple, mais globalement, si tu mets des logiciels libres partout, les gens sont content.

                      Sur les postes Windows j’installe systématiquement :

                      • Firefox (navigation web, libre)
                      • 7-Zip (compression/décompression d’archive, libre, si c’était un poste Linux je laisserai File-Roller de GNOME)
                      • LibreOffice (suite bureautique, libre)
                      • VLC (lecteur multimédia, libre)
                      • InfraRecorder (gravure de CD, libre, si c’était un poste Linux je mettrais Brasero)
                      • QWinFF (conversion multimédia, libre)
                      • FreAC (rippage de CD, libre, si c’était un poste Linux je mettrais Asunder)
                      • GIMP (édition simple d’image, libre)
                      • WinDirStat (triage de dossier par taille de contenu, libre, si c’était un poste Linux je mettrais Baobab)

                      Ça fait quelques années que plus personne n’utilise FileZilla (les usages ont changés) mais je l’ai pas encore retiré de ma liste automatique.

                      Pour un service d’archive qui archive aussi bien du parchemin que du multimédia :

                      • Audacity (édition multimédia, libre)
                      • MediaInfo (visualisation de métadonnée audio, libre)
                      • HandBrake (rippage de DVD, libre)
                      • ExFalso (étiquetage de fichier audio, libre)
                      • QuodLibet (recherche de fichier audio par requête basée sur les métadonnées, libre)
                      • digiKam (base de donnée photo, étiquetage et reconnaissance de visage, libre)

                      Ce service me demande aussi un éditeur vidéo, je me tâte pour lui mettre ShotCut (libre)
                      Il me demande aussi un outil pour faire du chapitrage de vidéo, je vais essayer de voir si media-toc s’installe facilement sous Windows parce que c’est exactement ce dont ils ont besoin, ni plus ni moins !
                      Je cherche un outil simple d’édition de métadonnées de vidéo mkv (mkvtoolnix n’est pas simple). Le minimum serait d’ouvrir un fichier, rentrer les champs et voilà. La perfection serait de pouvoir faire du par lot partiel (comme fait ExFalso).

                      J’ai une radio FM qui a des logiciels hyper spécialisés sous Windows dans leur studio (souvent sur des machines dédiées qui ne sont pas les machines bureautiques), mais vu le prix des logiciels ils ne peuvent pas se permettre de dépenser des milliers d’euros pour les “opex” (les enregistrements ou diffusion d’émission en direct depuis des lieux extérieurs). J’ai mis Audacity (pour l’enregistrement, libre) et Audacious (lecteur multimédia, libre) avec l’option « ne pas lire la piste suivante » comme cartouchier très basique et l’animateur d’antenne est super grave content avec ça ! Il existe un logiciel de diffusion complet et libre pour Linux (Rivendell) mais pour des situations exceptionnelles, apprendre un bousin pareil serait de trop. Audacity + Audacious ça roule ! Le cartouchier en radio c’est un logiciel qui permet de lancer des sons (génériques, virgules, pastilles sonores, interview pré enregistrées etc.) pour les intégrer en direct dans la production. Il faut donc un logiciel qui permette de ne pas passer à la piste suivante. Bien sûr en studio il y a des logiciels très complexes qui permettent de mixer ces pastilles et de les commander directement depuis les faders de la table. Mais là on tombe dans la machine outil (avant qu’on passe au tout numérique on me demandait de faire ça avec des cartes automates à contact sec et au fer à souder)… L’OS vient avec que ce soit Digas (Windows), WinMedia (Windows), Rivendell (Linux) ou TuneTracker (Haiku, oui tout à fait). Dès qu’on sort du studio et de la grosse infrastucture pour aller dans la cambrousse avec une mixette et un ordi portable, Audacious et Audacity sont suffisants.

                      Je travaille aussi pour un service juridique qui a parfois des documents en latins. J’ai donc mis Collatinus (libre). Tiens ça me fait penser qu’il faudra que je le aussi propose au service archives !… Je crois que c’est le même service qui m’a demandé GoldenDict (dictionnaire, libre).

                      J’aimerai bien proposer Grammalecte à tous mes utilisateurs, mais certains utilisent massivement MS Office pour raisons historiques (et surtout parce que certains utilisateurs clés ont reçu des formations subventionnées, et tous les autres ont besoin de MS Office pour afficher correctement les documents alignés et mis en page avec des espaces et autres cochonneries produits par ces personnes clés)… :-/

                      Accessoirement, mais c’est plus pour moi, je mets systématiquement sur les postes Windows gsmartcontrol et le SSH de Cygwin (j’ai testé des dizaine de fournitures SSH sous Windows et en plus d’être souvent très cher, elles utilisaient toutes le SSH de Cygwin, et parfois mal gaulé comme je ne sais plus lequel qui ne transmet pas certaines variables d’environnement de Windows essentielles, comme celle pour détecter l’archi).

                      Je travaille aussi pour une bibliothèque, mais l’appli est une appli web (koha, libre), donc on se demande bien à quoi sert Windows.

                      Récemment un service communication qui a un photographe m’a demandé un outil de développement RAW, je pense pousser Darktable (je suis moi-même un utilisateur intensif de ce logiciel dans des contraintes pro et je peut garantir qu’il correspond vraiment au besoin d’un professionnel). Tiens cet exemple est un bon exemple : un photographe professionnel n’a pas besoin de Windows pour travailler. Généralement un photographe a besoin de Windows parce qu’il a été formé sur la suite Adobe, parce que cette formation a été sponsorisée par Adobe si c’était à l’école ou subventionnée par le gouvernement si c’était dans le cadre de son emploi, et que sa location de licence a été défiscalisée. Ou parce qu’il préfère Adobe (c’est son droit). Un photographe professionnel est tout à fait en mesure de développer des compétences qui ne sont pas dépendantes d’une location grâce à Dartkable, et Darktable sous Windows, c’est hyper hyper frais (et pas encore releasé officiellement), alors que ça fait des années qu’il est hyper stabilisé et éprouvé sous Linux.

                      Si ce service communication me demande du dessin vectoriel je ne vois aucune raison de ne pas pousser InkScape. Le dessinateur a été formé sur PhotoShop initialement, mais s’il désire un outil plus adapté à la peinture numérique, je ne vois aucune raison de ne pas pousser MyPaint ou Krita qui sont d’un niveau très professionnel.

                      À part quelques applis métiers très spécialisés pour certains postes bien précis qui tiennent plus de la machine outil que de l’ordi (et pour lequel l’utilisateur a parfois un autre poste dédié à la bureautique à côté), le plus gros frein à une migration sous Linux ce sont les formations subventionnées de logiciels propriétaires, et autres ristournes des éditeurs.

                      GIMP n’est pas aussi bien maintenu sous Windows que sous Linux (et GIMP c’est déjà trop pour la majorité des gens, hein), QuodLibet/ExFalso avait des bugs gênants sous Windows jusqu’à récemment (heureusement le besoin a été exprimé quand il est devenu utilisable), DarkTable sous windows est en release-candidate.

                      Au lieu de centaines de personnes sous Windows on pourrait avoir quasiment tout le monde sous Linux sauf quelques postes clés pour LE gars qui a photoshop et Quark XPress ou LE gars qui gère les cuves de l’exploitation viticole, ou LE gars qui fait la compta. Bref, une dizaine de personnes sous Windows et des centaines sous Linux serait largement possible si on le voulait vraiment !

                      ce commentaire est sous licence cc by 4 et précédentes

                      • [^] # Re: automatisation de la session utilisateur

                        Posté par . Évalué à -1 (+1/-3).

                        Au lieu de centaines de personnes sous Windows on pourrait avoir quasiment tout le monde sous Linux sauf quelques postes clés pour LE gars qui a photoshop et Quark XPress ou LE gars qui gère les cuves de l’exploitation viticole, ou LE gars qui fait la compta. Bref, une dizaine de personnes sous Windows et des centaines sous Linux serait largement possible si on le voulait vraiment !

                        C'est bien le truc : "Si on le voulait vraiment".

                        Si seulement les gens faisaient l'effort , acceptaient les petits problèmes agaçants, les manques, l'UI pas fignolée etc… ben on pourrait !

                        Le problème, qui explique pourquoi Linux est toujours collé a 1-2% du marché, et que les gens ne veulent pas subir ces petits déesagrèments de Linux.

                        Bref, tirer des plans sur la comète, mettre des "si" , se demander pourquoi le monde ne fait pas ce que l'on trouve tellement logique… cela a tendance à me faire sourire.

                        • [^] # Re: automatisation de la session utilisateur

                          Posté par (page perso) . Évalué à 2 (+1/-1).

                          Si seulement les gens faisaient l'effort , acceptaient les petits problèmes agaçants, les manques, l'UI pas fignolée etc…

                          Pourtant ils subissent les énormes désagréments de Windows et de sa logithèque. Le pépin vient d'ailleurs.
                          Une partie de mon chiffre d'affaire est « grâce à » Windows et sa logithèque (je ne compte pas les interventions dûes à l'interface chaise-clavier, qui est une grosse part, et qui seraient probablement idem avec Linux bien que moins facile pour se faire piéger par les malwares lourdeaux).

                          L'écosystème Linux est loin d'être parfait, mais franchement ça tient très très bien la route.

                          Le gros intérêt de Windows est que beaucoup de logiciels métiers (comptabilité, gestion, pilotage d'un autocommutateur téléphonique, etc) sont exclusivement sous Windows. Depuis quelques années c'est vraiment le seul avantage décisif, le reste n'est que l'habitude, les manœuvres commerciales (qui n'existent pas puisqu'on ne peut pas les prouver, on sait), et bêtement l'incompétence de la majorité des revendeurs/mainteneurs qui ont la trouille car ils n'y pannent rien (ni à Linux ni à Windows, mais pour Windows ils ont l'habitude donc ils sont tranquillisés, ils font n'importe quoi mais bon les clients paient alors basta).

                          • [^] # Re: automatisation de la session utilisateur

                            Posté par (page perso) . Évalué à 2 (+0/-0).

                            pilotage d'un autocommutateur téléphonique

                            Ah oui ça aussi c’est la blague, toutes ces boîtes noires livrées qui sont toutes en fait des serveurs Linux avec un joli capot, mais il faut nécessairement un Windows pour ouvrir l’interface d’admin. Ou la plaquette qui vante une interface web mais en fait c’est un greffon ActiveX.

                            J’ai eu une expérience en radio comme ça, tout était livré dans des boîtes noires que personne n’administre jamais. Sur la plaquette il était écrit à divers endroits que ça tournait sous Linux (c’est le genre de mention qui peut convertir un décideur un peu attentif aux demandes de ses techniciens, ça fait mot clé qui tinte comme un déjà vu), et en effet un gars m’a dit « oh, ça va te plaire » en lisant ça. Sauf qu’on n’y touche jamais au Linux dedans, on ne l’a jamais vu. Et le seul moyen de changer les options de la boîte noire, c’est avec un binaire Windows. 99% de l’infrastructure est sous Linux, mais l’interface utilisateur est uniquement sous Windows.

                            Dans une autre radio du réseau quelqu’un avait jeté un coup d’œil plus profond sous le capot, c’était évidemment du Linux avec du Jack.

                            Et après certains vous disent que Linux n’est pas standard, alors qu’en fait ils en ont partout partout mais ils ne le savent pas.

                            ce commentaire est sous licence cc by 4 et précédentes

                        • [^] # Re: automatisation de la session utilisateur

                          Posté par . Évalué à 2 (+1/-1).

                          l'UI pas fignolée

                          UI pas fignolée ça fait doucement rire quand on compare à windows.

                        • [^] # Re: automatisation de la session utilisateur

                          Posté par (page perso) . Évalué à 2 (+0/-0).

                          les petits problèmes agaçants, les manques, l'UI pas fignolée etc…

                          Impeccable cette description de Windows !

                          ce commentaire est sous licence cc by 4 et précédentes

                        • [^] # Re: automatisation de la session utilisateur

                          Posté par (page perso) . Évalué à 2 (+0/-0).

                          C'est bien le truc : "Si on le voulait vraiment".
                          Si seulement les gens faisaient l'effort ,

                          Remarque que tu passes de « si les décideurs faisaient confiance au département informatique » à « si les utilisateurs faisaient un effort », ce qui est deux fois malhonnête.

                          ce commentaire est sous licence cc by 4 et précédentes

                  • [^] # Re: automatisation de la session utilisateur

                    Posté par . Évalué à 0 (+0/-2).

                    Laisse tomber, tu perd ton temps.

                    • [^] # Re: automatisation de la session utilisateur

                      Posté par . Évalué à 2 (+3/-3).

                      C'est pourtant pas compliqué à comprendre.

                      La logithèque Windows est bien plus fourni et présente des logiciels de très bonne qualité dans tous les domaines.

                      Dire que la logithèque Linux est bien meilleure en qualité et en quantité, c'est réécrire l'histoire, et un mensonge.

                      (ce qui ne veux pas dire qu'elle est mauvaise, note. Juste l'échelle n'est pas du tout la même, forcément. Parts de marché historique, rétrocompatibilité, tout ce que Linux n'a pas…)

                      "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

        • [^] # Re: automatisation de la session utilisateur

          Posté par . Évalué à 2 (+1/-1).

          Tu peux donner quelques exemples de killer apps sous wouinouin ?

          Idéalement dans plusieurs domaines car tout le monde n'est pas intéressée par, au hazard, le gaming. Encore que n'étant pas du tout connaisseur moi même, je ne suis pas sûr que gnunux soit si en retrait dans ce domaine là.

          • [^] # Re: automatisation de la session utilisateur

            Posté par (page perso) . Évalué à 2 (+1/-1).

            Mon commentaire sera assez hors-sujet puisque le gaming ne me semble pas un besoin très souvent exprimé en entreprise, mais j’en profite pour répondre à ça :

            […] le gaming. Encore que n'étant pas du tout connaisseur moi même, je ne suis pas sûr que gnunux soit si en retrait dans ce domaine là.

            Le problème du jeu, ça ne sert à rien d’avoir accès à plein de jeux sauf celui dont tu n’as pas besoin.
            Ce n’est pas gênant si tu as besoin de naviguer sur internet et que Firefox et Chrome sont disponible sous Linux mais pas Edge. C’est gênant si tu désire jouer et que Counter-Strike, Dota sont disponibles sous Linux mais pas Doom.

            Mais j’abonde dans le même sens que ça :

            Idéalement dans plusieurs domaines car tout le monde n'est pas intéressée par, au hazard, le gaming.

            Exactement, et tout le monde n’est pas non-plus intéressé par les milliers de petits logiciels déjà morts, de mauvaise qualité et/ou plein de pub qui existent sous Windows. On part souvent du principe que s’il y a une part de logiciels de qualité parmi un ensemble et que si l’ensemble augmente cette part augmente (ce qui est vrai) en oubliant le ratio. Le ratio qualité/quantité sous Windows est très très très faible donc si la quantité de l’ensemble est énorme, ça ne signifie pas que la quantité de ce qui est de qualité est grande. Ça signifie aussi que la dilution est énorme, les composants de qualité sont difficilement visible. Et si les composants de qualité sont difficilement visibles, ça signifie que la qualité de l’ensemble est basse. Globalement le ratio qualité/quantité sous Linux est très élevé. D’une il y a beaucoup de logiciels, de deux il y a beaucoup de logiciels de qualité, de trois ils sont faciles à trouver. Et bonus : ils sont très souvent bien intégrés et facilement déployables dans un cadre professionnel (gestionnaire de paquet).

            Si un photographe te livre tes photos de mariage sans avoir retiré les photos ratées, il t’aura rendu un travail de sagouin même s’il y a de très bonne photos au milieu. La qualité de certaines photos sera très bonne, mais la qualité de l’album sera pitoyable.

            Alors oui la logithèque Windows est plus large, prenons l’exemple de Darktable par exemple, qui est en passe d’être distribué officiellement sous Windows. On pourra dire que la logithèque Windows contiendra ce logiciel de développement photo de qualité professionnelle, ça fait 8 ans qu’il existe sous Linux et qu’il est éprouvé en profondeur sur ce système. Et sa présence prochaine sur Windows n’est pas une conséquence d’une qualité de Windows (et je ne serais pas du genre à militer pour empêcher le portage vers Windows, donc il y aura forcément toujours beaucoup de logiciels sous Windows).

            ce commentaire est sous licence cc by 4 et précédentes

      • [^] # Re: automatisation de la session utilisateur

        Posté par . Évalué à 2 (+2/-2).

        i3. Raison n°1 pour laquelle je suis sous Linux alors que la majorité des logiciels que j’utilise tournent sous wine.

    • [^] # Re: automatisation de la session utilisateur

      Posté par . Évalué à 4 (+2/-0).

      C’est pas mal, mais pour que ce soit vraiment utilisable il faudrait que le montage des disques réseaux se fasse tout seul à l’ouverture de session, sans aucune intervention

      Pour ça, tu peux t'en sortir avec smbnetfs, qui monte le "voisinage réseau" complet (par opposition à un montage ponctuel d'un partage).

      Déjà rien que pour commencer il faudrait que l’utilisateur n’ait pas à saisir le domaine quand il s’identifie… Ça commence là.

      Sur un précédent taf, je m'étais sorti de ce point précis avec un thème LightDM (ou était-ce SDDM? je ne sais plus… c'était du html+js en tous cas) maison : ça m'avait permis de "brander" un peu le login, et de modifier à la volée le login transmis s'il ne contenait pas d'arobase.

      • [^] # Re: automatisation de la session utilisateur

        Posté par (page perso) . Évalué à 2 (+1/-0).

        Ça commence à dater un peu, mais la documentation que j'avais rédigée et dont j'avais fait la pub dans un journal est encore en grande partie d'actualité : https://unptitcoin.fr/data/t2t/prepa-Xub14.04/Prepa-Xubuntu-14.04.html

        Je n'avais pas modifié le thème de Lightdm et il n'y avait pas besoin de taper le nom du domaine. La création du home sur la machine est automatique, le montage des répertoires réseau aussi (2 méthodes différentes). Bref, je pense que ça répond à tous tes critères.

        • [^] # Re: automatisation de la session utilisateur

          Posté par (page perso) . Évalué à 3 (+1/-0).

          Ça a l’air pas mal, cependant un petit point :

          Pour bien préciser aux utilisateurs qu'il ne faut rien enregistrer en local sur l'ordinateur, on peut créer un fichier dans « ~/ » nommé « NE-RIEN-ENGISTRER-ICI », […] Copier ces fichiers dans le profil par défaut :

          $ sudo cp ~/NE-RIEN-ENREGISTRER-ICI* /etc/skel/

          Ce qui signifie que le HOME des gens n’est pas sur le réseau (et on le voit ailleurs dans la doc, le bureau non-plus), je sais que c’est le comportement habituel et hyper généralisé de nombre de configurations réseau dans un domaine Windows, mais pas dans les structures qui sont à ma charge. La quasi intégralité des données (incluant le bureau, et AppData) sont sur le réseau, seul quelque rares choses sont conservées dans le profil en roaming (comme la ruche utilisateur). Je ne comprend pas que dans tant d’entreprise la politique ce soit “ne mettez rien sur le bureau c’est pas sauvegardé”, ou bien quand c’est sauvegardé (roaming), ça ne l’est qu’à condition que l’utilisateur ait 1. proprement fermé sa session, 2. l’ait fait avant la sauvegarde. Je sais que c’est le comportement par défaut dans plein de structures et que Microsoft pour à ça, mais c’est inadmissible.

          C’est probablement réalisable avec smbnetfs cela dit. Tout cela est très intéressant.

          ce commentaire est sous licence cc by 4 et précédentes

          • [^] # Re: automatisation de la session utilisateur

            Posté par (page perso) . Évalué à 1 (+0/-0).

            Je n'avais pas bien compris que tu voulais : je n'ai jamais testé cette configuration, mais je partirais sur pam_mount si je devais le faire (peut-être que je me trompe, mais je pense qu'avec smbnetfs tu auras un débit réduit, comme avec gvfs).

            Après ce que je ne sais pas si SMB et le serveur qui est derrière (Samba ou Windows) fournissent bien les fonctionnalités dont ton environnement de bureau et tes logiciels ont besoin (liens symboliques, permissions…). J'imagine qu'une bonne source d'information serait notamment cette page : https://wiki.samba.org/index.php/UNIX_Extensions

            Tiens nous au courant !

            • [^] # Re: automatisation de la session utilisateur

              Posté par (page perso) . Évalué à 2 (+1/-1). Dernière modification le 16/11/17 à 04:58.

              Tout ce que je cherche c’est à pouvoir reproduire avec un poste Linux ce que je fais déjà avec les postes Windows (et des serveurs Samba). Donc les extensions unix ne m’apporterait que des choses en plus, mais pas ce que j’ai déjà sans, parce qu’avec des postes Windows ça marche déjà sans.

              Il n’y a pas de serveur Windows¹ dans mon schéma. Pour chacune des entités que j’administre ce sont des serveurs Debian avec des postes Windows. Les Windows ne sont que des postes clients. Ce sont des Windows à cause de certains outils qui sont spécifiques, les uns étant déjà morts quand ils ont été livrés, les autres n’étant pas d’abord rendu nécessaire à cause de leur qualité ou de leur fonctionnalité mais d’abord à cause de la captivité des utilisateurs, remarquez que cette captivité est forcément présente avec les “déjà morts”. Mais plus le temps passe et plus les utilisateurs me demandent des outils qui sont plus faciles à installer sous Linux que sous Windows, qui sont de meilleur qualité sous Linux, ou qui sont mieux intégrés sous Linux.

              J’ai une entité qui a complètement abandonné MS Office, initialement je fournissais toujours MS Office mais un jour j’ai découvert que 90% de leurs documents étaient des odt qu’ils éditaient avec LibreOffice, il y a eu quelque changements structurels dans cette entité et ce n’est plus moi qui fournissait Office, et personne ne l’a fait. Personne ne s’en est rendu compte avant deux ans, quand un poste mal configuré n’avait pas associé les .doc à LibreOffice et où l’on m’a demandé MS Office “pour lire les .doc”. J’ai refait l’association et je n’en ai plus entendu parler.

              Mais dans une autre entité qui n’avais jamais eu MS Office et qui n’en avait eu besoin, il y a quelques mois un partenaire à changé sa méthode de travail basée sur une usine à gaz MS Office, alors cette entité a du passer à MS Office pour garder la compatibilité avec son partenaire, le coût des licence pour poignée de personnes avait une valeur de 8 000€, mais MS a tout offert je crois, ou presque. Et j’imagine que de partenaires en partenaires, tous n’ont pas la ristourne.

              ¹ Depuis quelques mois j’ai une exception : une entité qui a un AD-DC Windows (parce qu’il fait partie de la préco officielle pour le réseau auquel appartient cette entité) et dans ce cas c’est juste un remplaçant de Samba par rapport au schéma ordinaire, il a remplacé un Samba et pourrait être remplacé par un Samba. Je n’y vois d’ailleurs aucun intérêt par rapport à un Samba, et parce que c’est un Windows, est fortement lié au matériel ce qui peut s’avérer très contraignant en cas de problème (Windows ne sachant pas faire du RAID lui-même la solution est fournie par le hard, donc le système dépend du hard). Excepté cette verrue dans toutes mes autres entités tout est conçu pour que la première machine venue (même un poste de travail) puisse remplacer le serveur en cas de crise majeure : une clé contient un hyperviseur qui démarre des vm qui sont sur des paires de disque, il suffit de déplacer la clé et les paires de disques sur n’importe quoi pour que le service reparte. N’importe quoi peut remplacer n’importe quoi.

              Pour les utilisateurs, n’importe quel poste de travail Windows remplace n’importe quel poste de travail Windows (les installations ne sont pas déplaçables, mais chaque machine est agnostique côté utilisateur). Pour les administrateurs, n’importe quelle machine peut remplacer un serveur, les installations sont entièrement déplaçables. La nouveauté c’est que maintenant j’ai une demande qui émerge pour des postes Linux dans un service. Le service qui en exprime la demande ne connaît pas Linux et n’a jamais mis la main dessus, mais soient les logiciels sont mieux distribués sous Linux (ce qui est mieux pour eux puisque ça me permettrait de leur fournir un meilleur service), soit ils sont mieux intégrés, reçoivent plus de soins sous Linux, ou sont tout simplement historiquement des logiciels Linux portés sous Windows sur le tard et encore un peu trop frais sous Windows.

              Cela dit, un revirement peut aller très vite, comme le témoigne le cas « MS Office pour la compatibilité avec le partenaire » cité précédemment.

              Dans les cas extrèmes une porte de sortie pourrait la sous-couche Linux de Windows 10, mais ça manque d’intégration. Ça répond aussi à la question de PasBillPasGates : Windows est obligé de fournir une compatibilité binaire sans recompilation avec Ubuntu pour survivre dans certains domaines. Windows peut bien fournir docker que personne n’en veut si on peut pas faire du apt-get dedans avec des ppa Ubuntu.

              PasBillPasGate doit certainement savoir qu’initialement les liens symboliques sous Windows (présents dans NTFS depuis des décennies) exigeaient des privilèges administrateurs pour être créés (parce que c’était considérés comme une faille de sécurité), mais après des décennies ils ont été contraints de faire machine arrière devant la demande de leurs propres développeurs et de leurs propres clients qui ne pouvaient pas supporter d’avoir un OS de seconde zone. Historiquement c’est Git qui a forcé la main à Microsoft sur ce coup-là. Windows était la raison non-technique pour laquelle il n’était pas possible de mettre des liens symbolique dans un dépôt Git dès que le projet était multi-plateforme. Microsoft a permis les liens symboliques en donnant comme raison officielle qu’il n’était plus défendable que leurs propres développeurs utilisant Git aient moins bien que le reste du monde.

              ce commentaire est sous licence cc by 4 et précédentes

              • [^] # Re: automatisation de la session utilisateur

                Posté par . Évalué à 2 (+0/-0).

                PasBillPasGate doit certainement savoir qu’initialement les liens symboliques sous Windows (présents dans NTFS depuis des décennies) exigeaient des privilèges administrateurs pour être créés

                C'est toujours le cas. Que ce soit sous Windows 10, Windows 7, ou Windows 8.

                Seuls les hardlinks ne l'exigent pas.

                https://technet.microsoft.com/fr-fr/library/cc753194(v=ws.10).aspx

                "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

              • [^] # Re: automatisation de la session utilisateur

                Posté par (page perso) . Évalué à 3 (+1/-0).

                Windows ne sachant pas faire du RAID lui-même

                ?!

                J'ai toujours vu le RAID des serveurs Windows fonctionner tout à fait correctement. C'est aussi lent que du NTFS, mais ça fonctionne.
                Enfin, ça fonctionne en faisant soi-même le nécessaire pour effectuer une vérification périodique des données, accompagné d'une vérification automatisée du journal système afin de repérer les alertes concernant le RAID. Mais à part ces « détails » ça tourne bien.
                En fait il faut surtout faire tourner les serveurs Windows dans des machines virtuelles. Donc pas de problème de RAID.

                • [^] # Re: automatisation de la session utilisateur

                  Posté par (page perso) . Évalué à 2 (+0/-0). Dernière modification le 18/11/17 à 00:46.

                  Après peut-être que ça m’a échappé, mais à chaque fois que je vois du RAID sous windows, il est implémenté par la carte-mère ou des cartes additionnelles, et ce n’est pas QUE pour des raisons de performance. Il existe des cartes RAID avec des gros PowerPC plein de cœurs et tout plein de ram et de batteries en backup etc. Là OK je comprends que c’est pour la performance, mais pour le reste non… Ça ne répond qu’au besoin de “fonctionnalité RAID”, surtout quand la carte RAID est plus lente que le SATA intégré à la carte-mère. Et ce serait bizarre que tous ces fournisseurs passent par des cartes additionnelles même quand c’est plus lent que le SATA intégré ou que ça retire des fonctionnalité (trim du de SSD) si Windows savait le faire tout seul à la façon de mdadm sous Linux.

                  Par exemple j’ai eu une livrée de 5 serveurs HP reconditionnés dont la carte RAID était plus lente que les SATA intégrés à la carte-mère. Aussi, n’importe quelle carte PCIe à quelques euros fournissant des ports SATA sans aucune intelligence était plus rapide que la carte RAID livrée, qui n’avait pour seul avantage que de savoir montrer à Windows un unique volume quelque soit la configuration RAID en dessous. J’ai un poste de travail qui a un RAID sur SSD fourni par la carte mère et livré ainsi par un grand constructeur™, Windows ne sait pas faire de trim sur ce volume (donc genre une fois par an je le démarre sous Linux pour faire un trim). Ce serait bizarre que ce grand constructeur™ ait fourni une configuration SSD incapable de faire du trim parce que le RAID est implémenté par la carte mère si Windows savait le faire.

                  Certaines cartes RAID très haut de gamme à destination de serveurs Windows sont d’ailleurs incapable de montrer les disques nus, il faut nécessairement faire une configuration RAID avec (et créer un volume RAID0 pour chaque disque si vous voulez faire du btrfs ou du ZFS par dessus). J’ai eu ça dans un autre serveur reconditionné, j’ai fait échanger la carte RAID par la gamme en dessous et ça a marché. Je n’ai d’ailleurs pas besoin de ces fonctionnalité RAID, c’est juste que y a pas d’autre moyen d’avoir du SATA… Et oui, certains serveurs à destination de Windows sont parfois livrés avec du matériel qui ne peut pas montrer à l’OS les disques individuellement, il faut nécessairement créer un volume (RAID ou non) qui sera présenté comme un disque normal à Windows.

                  Si cette fonctionnalité basique (montrer tous les disques à l’OS) n’est parfois même pas implémentée, c’est que ce besoin n’est pas exprimé. Ce genre de matériel n’existerait probablement pas si Windows savait faire du RAID tout seul parce que ça créerait le besoin.

                  J’ai vu plein de Windows tourner sur du RAID, mais je n’ai jamais vu un seul Windows faire le RAID lui-même. Ce serait bizarre que je n’en ai jamais vu s’il savait le faire. Sous Windows, chaque technologie RAID a sa méthode et sa manière d’être administrée, si Windows savait faire le RAID lui-même, on verrait plein de configurations livrées ainsi pour la seule raison que ça limite les coûts de formation du personnel si Windows fournissait cette fonctionnalité, qui deviendrait un standard de fait sur ce système…

                  ce commentaire est sous licence cc by 4 et précédentes

                  • [^] # Re: automatisation de la session utilisateur

                    Posté par (page perso) . Évalué à 2 (+0/-0).

                    https://www.it-connect.fr/raid-logiciel-sur-la-partition-systeme-de-windows/

                     

                    si Windows savait faire le RAID lui-même

                    C'est tellement facile à trouver que tu vas avoir honte :-)

                    C'est implémenté depuis Windows NT sur toutes les versions serveurs, et depuis Windows XP sur toutes les versions clientes.
                    Pour les versions clientes il n'y a que RAID 1 accessible officiellement (on peut bricoler pour activer le RAID 5 mais ça n'a plus aucun intérêt depuis des années).

                     

                    ce serait bizarre que tous ces fournisseurs passent par des cartes additionnelles

                    Incompétence, pognon, etc.
                    Ça prend 3 minutes de créer un RAID logiciel sous Windows.
                    Redimensionnement à chaud, interface graphique. C'est basique mais efficace.

                    • [^] # Re: automatisation de la session utilisateur

                      Posté par (page perso) . Évalué à 2 (+0/-0).

                      Incompétence, pognon, etc.

                      Wow, on dit souvent qu’il vaut mieux supposer l’ignorance que la bêtise et de la même manière, j’avais supposé l’absence de fonctionnalité plutôt que l’incompétence… Donc c’est bien de l’incompétence, et les gens paient pour ça ? Je veux dire, les 5 serveurs que j’ai récupérés reconditionnés et qui étaient initialement livrés dans leur configuration standard avec des cartes RAID plus lentes que le SATA de la carte mère, les gens paient vraiment pour ça alors que Windows n’en a pas besoin ?… Bon OK, on dirait que l’incompétence est démontrée.

                      C'est tellement facile à trouver que tu vas avoir honte :-)

                      Ben je n’ai jamais eu à le faire, donc je n’ai pas eu à chercher parce que c’est très rare que les machines Windows ne soient pas préinstallées. Par contre je m’étonne que tous ces grands constructeurs (ceux qui préinstallent) n’aient pas cherché plus que cela !

                      Donc aujourd’hui j’ai appris une chose, toutes ces configurations RAID bizarres que j’ai vu dans ma vie sous Windows, c’était la faute à Dell, HP et aux autres. o.O

                      Et en fait ça ne m’étonne pas du tout, j’ai déjà vu des serveurs livrés sans pâte thermique sur le processeur et avec écrit en petit dans la doc que la gestion de la température était une option des modèles supérieurs, avec le client qui faisait régulièrement changer sa carte-mère avec intervention sur place, et qui payait des extensions de garantie…

                      Avec tout ce que j’ai déjà vu j’aurai dû y penser… Mettre dans la config une carte plus lente que la carte mère pour gérer du SATA quand le client qui demande du RAID, ça leur permet de vendre du matos en plus et c’est peut-être uniquement là qu’il faut chercher l’explication !

                      Bon mais au moins, ce RAID soft sous Windows il est fiable ? Je m’explique : est-il réellement éprouvé si personne ne s’en sert ? Vraie question !

                      ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: automatisation de la session utilisateur

      Posté par . Évalué à 1 (+1/-0).

      Cela est faisable avec FreeIPA (mais il faut que ce soit un FreeIPA serveur qui gère le domaine sinon c'est compliqué).

    • [^] # Re: automatisation de la session utilisateur

      Posté par . Évalué à 3 (+1/-0).

      C’est pas mal, mais pour que ce soit vraiment utilisable il faudrait que le montage des disques réseaux se fasse tout seul à l’ouverture de session, sans aucune intervention, et qu’on puisse exécuter un script arbitraire (note qu’une solution à ce problème peut résoudre le problème précédent)

      Exécuter des choses à l'ouverture d'une session c'est le but du .xsession en fait. Il est lu par ton display manager préféré.

      Les display manager des gros environnements de bureau comme gnome ont également leur propre gestion de session

      En gros c'est le login script pour les utilisateurs de xorg.

    • [^] # Re: automatisation de la session utilisateur

      Posté par . Évalué à 2 (+0/-0).

      Déjà rien que pour commencer il faudrait que l’utilisateur n’ait pas à saisir le domaine quand il s’identifie… Ça commence là.

      Je ne sais pas comment tu as configuré l’intégration AD, mais je l’ai fais plusieurs fois avec sssd et il n’y a pas besoin de saisir le domaine (sauf au moment où l’admin joint la machine au domaine)

      la session s’ouvre avec tous les dossiers réseaux monté

      Ajoute l’entrée dans /etc/fstab avec les options user,sec=krb5. L’utilisateur pourra monter le dossier avec mount sans avoir à saisir son mot de passe. Tu peux ajouter la commande mount quelque part dans /etc/X11/Xsession.d/ si tu veux automatiser ça.

      Il y a certainement moyen avec pam_mount de faire le point de montage dans $HOME (ou quelque chose comme /run/user), mais comme chez nous on a besoin que ce soit sur un chemin fixe, j’ai pas expérimenté avec ça.

      • [^] # Re: automatisation de la session utilisateur

        Posté par (page perso) . Évalué à 2 (+0/-0).

        Je ne sais pas comment tu as configuré l’intégration AD

        Je fais référence aux exemples donnés (ce sont ces exemples qui ne me satisfont pas), je ne dis pas que ce n’est pas faisable, mais que je suis en attente d’un exemple qui me montre que c’est faisable et comment.

        Ajoute l’entrée dans /etc/fstab avec les options user,sec=krb5. L’utilisateur pourra monter le dossier avec mount

        Dans les systèmes que j’administre, n’importe quel utilisateur peut utiliser n’importe quel poste. La configuration doit donc être complètement indépendante de l’utilisateur. Si une machine tombe en panne je la remplace ni vue ni connue, si un utilisateur change de bureau, il retrouve tout en se connectant sur le poste de ce nouveau bureau, etc. Est-ce que cette configuration est indépendante de l’utilisateur ? Cela permet-il de connecter plusieurs utilisateurs sur la même machine ?

        ce commentaire est sous licence cc by 4 et précédentes

        • [^] # Re: automatisation de la session utilisateur

          Posté par . Évalué à 2 (+0/-0).

          Dans les systèmes que j’administre, n’importe quel utilisateur peut utiliser n’importe quel poste.

          C'est le cas dans ce qu'il te propose. L'option "user" n'est pas à remplacer par le login de l'utilisateur, mais indique juste qu'un utilisateur (par opposition à "root") peut se charger du montage.

        • [^] # Re: automatisation de la session utilisateur

          Posté par . Évalué à 2 (+0/-0). Dernière modification le 15/11/17 à 10:37.

          J’ai regardé vite fait l’exemple. Deux trucs louches pour ton usage (qui est: on veut un domaine par défaut) :

          • Pas de default_realm dans /etc/krb5.conf
          • use_fully_qualified_names à true dans sssd.conf. Comme indiqué dans la doc :

          set to true, all requests to this domain must use fully qualified domain names. It also means that the output from the request displays the fully-qualified name. Restricting requests to fully qualified user names allows SSSD to differentiate between domains with users with conflicting user names.

          Est-ce que cette configuration est indépendante de l’utilisateur ?

          Avec cette configuration (fstab + script dans /etc/X11/Xsession.d) ça peut être un poil compliqué : il va falloir une entrée /home/$login par utilisateur dans /etc/fstab. Une solution serait de faire un script suid root qui créé l’entrée dans /etc/fstab dynamiquement et qui serait appelé par ton script dans /etc/X11/Xsession.d.

          Une autre solution serait de passer par pam_mount, mais encore une fois j’ai jamais touché à ça.

          Une troisième solution serait d’avoir un montage samba statique sur /home au lieu d’un montage samba dynamique sur /home/$login.

          • [^] # Re: automatisation de la session utilisateur

            Posté par (page perso) . Évalué à 3 (+0/-0).

            Une autre solution serait de passer par pam_mount, mais encore une fois j’ai jamais touché à ça.

            Tu dois pouvoir utiliser autofs pour ça.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: automatisation de la session utilisateur

            Posté par (page perso) . Évalué à 2 (+0/-0).

            Une troisième solution serait d’avoir un montage samba statique sur /home au lieu d’un montage samba dynamique sur /home/$login.

            J’ai pensé à ça mais ça pose problème quand tu veux ouvrir plusieurs sessions simultanément.

            ce commentaire est sous licence cc by 4 et précédentes

            • [^] # Re: automatisation de la session utilisateur

              Posté par . Évalué à 2 (+0/-0). Dernière modification le 16/11/17 à 07:59.

              Dans quel cas ? Si tu fais le montage qu'une fois pour toutes les sessions tout va bien non ?

              C'est un peu la méthode de base utilisée dans la plupart des gros environnements unix avec un gros share nfs qui fournit le home sur toutes les machines.

              • [^] # Re: automatisation de la session utilisateur

                Posté par (page perso) . Évalué à 2 (+0/-0).

                Oh je viens de comprendre !… Je pensais initialement à un montage de ce type:

                //server/homes /home cifs options

                Parce que //server/homes, malgré le nom unique, renvoie le homes de toto si toto est identifié, ou celui de tata si tata est identifiée. Le problème dans ce cas c’est évidemment qu’une seul utilisateur peut monter home à la fois ou bien ça écrase les autres.

                Mais en fait tu disais de monter statiquement le parent de homes, sauf que le parent de homes n’est pas partagé sur le réseau homes est un partage dynamique qui te montre ce qui correspond à ton utilisateur, accessoirement il est aussi visible sous ton nom d’utilisateur. Donc dans mon cas perso, le serveur samba ne partage pas //server/home/illwieckz mais //server/illwieckz. Alors il serait possible de monter tous les utilisateurs, mais ça veut dire tous les lister etc. ce que ne fait pas Windows. Et il me semble que smbnetfs ne serait d’aucun secours lui non-plus puisque justement ce partage est unique à l’utilisateur, il n’y a pas un partage par utilisateur.

                Cela dit ça ne doit pas être coûteux de partager le parent du dossier utilisateur (traditionnellement /home) sous linux. Cela dit je me demande comment smbnetfs s’en sort avec l’option de samba qui cache à l’utilisateur identifié les fichers et dossiers qu’il ne peut pas lire, puisque si j’ai bien compris l’intérêt de smbnetfs est de tout montrer côté client, et une fois que tout est là, seuls ceux qui ont accès parcourent l’arborescence. Hors avec ladite option de Samba, c’est le serveur qui cache des choses de l’arborescence au client… À essayer mais pour le moment j’ai du mal à imaginer comment ça pourrait marcher…

                Vraiment, le meilleur serait que le client crée un dossier nu à l’utilisateur et que gvfs monte tout dedans avant de lancer la session gnome (et en s’assurant que le mot de passe est transmis aux composants qui en ont besoin comme seahorse).

                Mais là encore, je ne sais pas comment reproduire le drive de Windows, où chaque utilisateur a une racine avec le même nom, donc un raccourci ou un lien symbolique relatif à ce drive aurait exactement le même chemin quelque soit l’utilisateur. Bon ça c’est pas très important et de toute manière c’est une fonctionnalité qui ne fonctionne qu’en domaine donc aucun logiciel le requière.

                Bref, il serait cool d’avoir un composant qui s’insérerait entre le gestionnaire de connexion et le bureau, et qui transmette les mots de passe (à cause du trousseau de clé seahorse etc.) :

                gdm/lightdm → [quelque chose] → gnome (seahorse etc.)
                

                et ce quelque chose, en plus de recevoir l’identifiant et le mot de passe pour le transférer à gnome pour les composants qui en ont besoin (seahorse), utiliserait l’identifiant et le mot de passe pour, entre autre :

                mkdir /home/$user
                mount //nas/$user /home/$user
                sh //dc/netlogon/logon.sh
                

                Cependant je découvre un souci : le profile utilisateur dans l’active directory a une entrée pour le nom du script (sans le serveur qui est toujours le dc), ce qui signifie que ce script est le même pour windows et linux… Typiquement le champ contient par exemple logon.cmd et le client va chercher //dc/netlogon/logon.cmd. Hum, peut-être qu’on pourrait ajouter un champ optionnel pour le "script pas-windows".

                Le script est très utile pour monter d’autre partages (typiquement les dossiers partagés pour les groupes de travaux) ou pour configurer certaines options de session (avec des clés de registre sous windows ou avec des requêtes dconf sous linux par exemple).

                ce commentaire est sous licence cc by 4 et précédentes

                • [^] # Re: automatisation de la session utilisateur

                  Posté par . Évalué à 3 (+1/-0). Dernière modification le 16/11/17 à 08:48.

                  Cela dit ça ne doit pas être coûteux de partager le parent du dossier utilisateur (traditionnellement /home) sous linux. Cela dit je me demande comment smbnetfs s’en sort avec l’option de samba qui cache à l’utilisateur identifié les fichers et dossiers qu’il ne peut pas lire, puisque si j’ai bien compris l’intérêt de smbnetfs est de tout montrer côté client, et une fois que tout est là, seuls ceux qui ont accès parcourent l’arborescence. Hors avec ladite option de Samba, c’est le serveur qui cache des choses de l’arborescence au client… À essayer mais pour le moment j’ai du mal à imaginer comment ça pourrait marcher…

                  Puisque ton serveur est sous Samba et non Active Directory, la solution est simple : monte le parent, globalement (/home) avec un partage NFS.

                  et ce quelque chose, en plus de recevoir l’identifiant et le mot de passe pour le transférer à gnome pour les composants qui en ont besoin (seahorse),

                  Je n’utilise pas gnome, mais le wiki ArchLinux me dit que c’est possible d’ouvrir le keyring seahorse avec PAM: https://wiki.archlinux.org/index.php/GNOME/Keyring#PAM_method

                  utiliserait l’identifiant et le mot de passe pour, entre autre : […] mount

                  N’utilise pas le mot de passe de l’utilisateur pour monter un partage Samba. Kerberos c’est fait pour ça. sssd te fournis automatiquement un TGT à l’ouverture de la session.

                  (une recherche rapide me montre que quelqu’un a réussi avec pam_mount: https://lists.samba.org/archive/samba/2015-November/195569.html)

    • [^] # Re: automatisation de la session utilisateur

      Posté par (page perso) . Évalué à 2 (+0/-0).

      Avec LightDM, l'utilisateur n'a pas besoin de saisir le domaine quand il s’identifie. Il le fait la première fois (tout comme sous Windows, il faut écrire le domaine quand on change d'utilisateur) et ensuite, il suffit de choisir l'utilisateur et de taper son mot de passe.

      • [^] # Re: automatisation de la session utilisateur

        Posté par . Évalué à 0 (+0/-1).

        tout comme sous Windows, il faut écrire le domaine quand on change d'utilisateur

        Heu non, par défaut tu t'authentifies sur le domaine que la machine a join (ou le dernier domaine utilisé je sais plus mais en tout cas tu n'as pas à saisir le domaine à chaque changement)

        • [^] # Re: automatisation de la session utilisateur

          Posté par (page perso) . Évalué à 2 (+1/-1).

          Dans un domaine Windows l’utilisateur n’a jamais à saisir le domaine par défaut, seulement son identifiant.

          Il est nécessaire de saisir le domaine dans le seul cas où le domaine n’est pas celui par défaut (par exemple le domaine local à la machine elle-même, pour ouvrir un compte local), et même après s’être connecté à un domaine qui n’est pas par défaut, lorsque l’on change d’utilisateur, le domaine par défaut n’a pas à être saisi.

          Mes utilisateurs n’ont jamais eu à saisir le domaine. La seule exception est une personne qui a un portable capable de se connecter à la fois au domaine et d’être utilisable en ballade (tous les autres ordis portables sont uniquement prévu pour la ballade), dans ce cas l’utilisateur doit préfixer .\ quand il saisi l’identifiant local (. étant le raccourci universel pour le domaine local).

          ce commentaire est sous licence cc by 4 et précédentes

          • [^] # Re: automatisation de la session utilisateur

            Posté par . Évalué à 2 (+1/-0).

            Mmmm je comprends pas… pourquoi tes utilisateurs utilisent pas leur compte de domaine même quand ils sont en vadrouille ?

            • [^] # Re: automatisation de la session utilisateur

              Posté par . Évalué à 2 (+1/-1).

              Je crois que le noeud du problème c'est que l'auteur du journal refuse d'utiliser les roaming profiles et s'obstine à vouloir monter tout le homedir du user. Du coup j'imagine que même sous windows il devient impossible de se logger à son compte s'il ne peut monter le share.

              Et parallèlement à ça il se demande pourquoi dans l'industrie tout le monde utilise des roamings profile et ne monte qu'une partie des données depuis un share.

              • [^] # Re: automatisation de la session utilisateur

                Posté par . Évalué à 1 (+0/-0).

                Y a la synchro offline sous Windows (oui bon OK… faut pas être trop offline trop souvent :D).
                Perso les laptops sont en profil local (mais compte domaine) avec montage du répertoire perso en offline files, les autres en roaming profile et montage du répertoire perso sans offline files (j'avais tenté le AppData & cie en montage direct mais ça se vautrait grave, faut dire qu'il y avait une bonne quantité de XP).
                Quel que soit le cas je ne vois aucune justification à avoir des comptes utilisateur locaux sur le laptop

                • [^] # Re: automatisation de la session utilisateur

                  Posté par (page perso) . Évalué à 2 (+0/-0).

                  Quel que soit le cas je ne vois aucune justification à avoir des comptes utilisateur locaux sur le laptop

                  C’est comme utiliser le compte local de ton smartphone ou de ta tablette. On peut tourner la question d’en l’autre sens : y a-t-il une justification à ajouter sa tablette au domaine ? Peut être dans certaines structures mais pas ici, et ici c’est pareil pour les portables. Peut-être tout simplement que les utilisateurs que je rencontre n’ont pas les mêmes besoins ? Les quelques rares personnes qui ont un ordi portable n’ont en fait rien à faire sur le domaine avec leur portable, ils n’en ont pas le besoin, c’est comme ça. Quand ils ont besoin du domaine bah ils ont leur poste de travail sur leur bureau et l’ordi portable reste dans la sacoche. Certaines personnes n’ont d’ailleurs pas besoin du domaine tout court, leur compte a été créé mais ils ne s’en servent pas. Ils restent connecté sur un wifi séparé du domaine parce que tout ce qu’ils font c’est du webmail ou des choses comme ça, donc le domaine ne leur sert pas du tout, et ils ne le demandent pas.

                  Note: je travaille essentiellement pour des associations, donc une partie des personnes que je côtoie sont aussi des bénévoles, ça change beaucoup de choses par rapport au schéma corporate de certaines entreprises. La majorité des ordis portables que je vois sont en fait des portables de personnes extérieures qui ont seulement besoin du wifi (et l’ordi est leur matos), et une toute petite minorité d’ordis portables sont fournis à certains salariés pour des gens qui ont besoin de faire quelque présentations à l’extérieur par exemple et dans ce cas, le besoin c’est uniquement de copier coller un ppt depuis un disque réseau (qui ne nécessite pas l’intégration au domaine) avant de partir. Quand les gens sont au boulot, l’ordi portable dors dans le placard.

                  En fait ma seule exception de l’ordi portable qui parfois se connecte au domaine, c’est parce qu’exceptionnellement pour cet utilisateur l’ordi portable qui lui est affecté est plus puissant que son poste de travail, donc je lui ai proposé de moi-même de lui permettre d’utiliser son portable sur le domaine pour faire certaines tâches très spécifiques qu’il fait normalement sur son poste de travail. Mais tu vois, ce n’était pas du tout un besoin. L’ordi sur son bureau fait très bien l’affaire, j’ai ajouté le portable au domaine pour la seule raison que cette personne en particulier a un minimum de débrouille et que je lui ai proposé une exception parce qu’il saurait la gérer. Mais son poste de travail fait déjà tout ce qu’il faut, ajouter son ordi portable au domaine ne répond pas à un besoin. C’est un extra, pas un besoin. En fait je ne sais même pas pourquoi j’ai cité cette exception, c’est juste parce que j’ai fait une fleur à un gars un peu geek qui ne m’en avait même pas fait la demande…

                  ce commentaire est sous licence cc by 4 et précédentes

              • [^] # Re: automatisation de la session utilisateur

                Posté par (page perso) . Évalué à 3 (+1/-0). Dernière modification le 17/11/17 à 04:32.

                Note que je suis pas l’auteur du journal mais comme j’ai exprimé à plusieurs reprise le fait que le roaming profile est réduit à son minimum sur mes configuration, je suppose que tu parles quand même de moi et qu’il y a confusion.

                il se demande pourquoi dans l'industrie tout le monde utilise des roamings profile et ne monte qu'une partie des données depuis un share.

                Clairement, dans le cas d’un portable qui doit garder sa session même en étant connecté du réseau, le roaming profile sert à ça et il n’y a pas d’autres solutions. Sauf que ça tombe bien, ce n’est pas un besoin ici.

                Mais le roaming a aussi de gros inconvénients : certains fichiers ne sont enregistrés sur le serveur qu’à la fermeture de session, ça suppose que l’on vive dans un monde parfait sans coupure de courant (je n’ondule que les salles serveurs et certains rares postes de production), sans panne matérielle, et que les utilisateurs ferment leur session proprement et que s’ils ne le font pas ils n’aient pas besoin de sauvegarde quotidienne de leur profil.

                Si le courant coupe ou que l’ordi tombe en panne alors que la session est ouverte, certaines données seront perdues. Aussi, comme les utilisateurs sont susceptibles d’utiliser divers ordis, ça amène un phénomène de « données qui reviennent », un jour ils utilisent un poste et ils changent des choses puis pendant deux mois ils utilisent un autre poste avant de revenir au premier et là, pouf, le profil vieux de deux mois est utilisé en lieu et place et les gens s’interroge “mais j’avais supprimé ce favoris, ah et celui-là manque ! Et ça c’était pas là ! Mais pourquoi j’ai mon ancien fond d’écran ? Mais où sont passés mes modèles, je ne peux plus travailler ! C’est la faute au service info !”.

                Je peux aussi apporter des modifications en direct : ajouter une icône sur le bureau de telle équipe ? c’est juste un fichier à copier sur le serveur et l’icône apparaît immédiatement sur le bureau des gens. Faire du ménage dans certains trucs inutiles de AppData ? Ça se fait en direct. Ajuster certaines options dans le profil firefox ? Il suffit juste d’écrire un fichier "user.js" et la personne a juste à fermer/rouvrir son firefox. Avec le Roaming, il faudrait que la personne ferme sa session Windows d’abord pour récupérer le changement à l’ouverture suivante. Et si le changement était fait avant que la session ne soit fermée, le changement serait écrasé à la fermeture, et si la personne a utilisé plusieurs ordis, alors il y a le risque qu’en utilisant plus tard un des anciens ordis utilisés une ancienne version du profil écrase les modifications effectuées, c’est bien la peine tiens !

                Ah et puis parfois certaines personnes (ou leurs logiciels) font l’erreur de laisser des téléchargement de plusieurs Go dans leur profil, ce qui, avec le roaming, amène de très long temps d’ouverture et de fermeture de session, et là encore si plusieurs ordis sont utilisés le gros fichier est répliqué partout avec le risque qu’il revienne un jour. Avec un Roaming réduit au minimum, quand une personne déplace un gros ficher depuis sont profil vers un partage de travail, c’est fait instantanément, et c’est fiable. Avec le roaming l’espace de travail reçoit le gros fichier mais le fichier sera réellement supprimé du profil quand la session sera fermée si elle est fermée correctement. Un move qui peut durer plusieurs jours et qui a besoin de fermer sa session pour être complètement effectué c’est… spécial non ?

                Bref s’il y avait un besoin de domaine sur les portables, le roaming serait la solution pour eux, mais en fait le monde devient très très nomade et ce besoin est complètement en train de disparaître de mon horizon. D’ailleurs il est probable que même le schéma en “domaine” disparaisse pour certaines petites structures à l’avenir, au bénéfice de truc nuagiques ou de choses comme ça. Aussi certains services sont livrés uniquement sous la forme de connexions RDP. C’est la vie.

                Dans de plus en plus de situation le domaine semble un peu too much, mais comme ça apporte des facilités et que c’est bien rôdé, on le fait et c’est pas prêt de disparaître. Mais pour les ordis portables, ça fait longtemps que c’est de trop.

                Du coup j'imagine que même sous windows il devient impossible de se logger à son compte s'il ne peut monter le share.

                Windows fournit un profil temporaire dans ce cas. Mais si le serveur est inaccessible de toute manière ça va être difficile de travailler sans ses documents. Si le serveur a des alims redondées et que le courant est ondulé, c’est pas pour rien. Et même avec le roaming, les documents de travail ne sont pas dans le profil normalement (l’exception étant généralement les modèles, les préférences des logiciels que les utilisateurs ont soigneusement ajustées en vue de leur productivité, ou des choses comme ça) donc sans share l’utilisateur ne va pas bien loin…

                ce commentaire est sous licence cc by 4 et précédentes

            • [^] # Re: automatisation de la session utilisateur

              Posté par (page perso) . Évalué à 2 (+0/-0).

              Parce qu’il n’y en a pas besoin ! Les rares personnes qui ont un ordi portable n’ont pas besoin du domaine pour faire leur affaire. Tout comme leur téléphone portable ou leur tablette n’a pas besoin du domaine. Même dans l’enceinte des bureaux ils n’ont pas besoin d’une session domaine sur leur portable, alors pourquoi faire quelque chose qui ne correspond pas au besoin? J’ai une personne qui parfois peut se connecter au domaine, alors après faut peser le pour et le contre : ajouter exceptionnellement le portable au domaine en plus de son compte local ordinaire ou mettre en place une politique de roaming pour une seule machine ?

              ce commentaire est sous licence cc by 4 et précédentes

          • [^] # Re: automatisation de la session utilisateur

            Posté par (page perso) . Évalué à 3 (+1/-0).

            Dans un domaine Windows l’utilisateur n’a jamais à saisir le domaine par défaut, seulement son identifiant.

            Si le nom d'utilisateur existe en local, alors le nom de domaine par défaut devient celui de l'ordinateur. Il est alors nécessaire d'indiquer explicitement le domaine.
            Le cas typique est le lorsque le compte « Administrateur » local est activé. Lorsqu'on veut se connecter avec le compte « Administrateur » du domaine, une fois que qu'on a tapé le nom de l'utilisateur (donc « Administrateur ») l'interface graphique se rend compte que le compte existe en local et change le domaine (il est affiché juste en dessous de la zone de saisie). Forcément ça se passe pile au moment où on valide et l'administrateur peu habitué insiste en ne pigeant pas pourquoi la connexion est refusée.
            Donc pour se connecter en domaine il faut faire précéder le nom d'utilisateur par le nom du domaine : mondomaine\Administrateur

            • [^] # Re: automatisation de la session utilisateur

              Posté par (page perso) . Évalué à 3 (+1/-0).

              Hmm, je n’ai jamais vu ça et ça m’intéresse. Si j’ai un compte local toto et que je tape toto dans l’invite de saisie d’identifiant le Windows conserve le domaine (et tentera la connexion au domaine) et même si cet utilisateur n’existe qu’en local et pas en domaine !

              Ça pourrait-être une exception pour l’Administrateur local ? Cela dit je laisse toujours ce compte désactivé dans mes config donc je ne peux pas tester.

              ce commentaire est sous licence cc by 4 et précédentes

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.