SambaÉdu 4, une solution de serveurs pédagogiques libres basés sur GNU/Linux

45
5
jan.
2020
Samba

SambaÉdu 4

SambaÉdu est une solution libre de serveurs pédagogiques sous GNU/Linux (Debian), développée et utilisée dans les établissements scolaires depuis 1998. Elle utilise les technologies du logiciel libre : Samba, PHP et MySQL.

Elle comporte une interface Web permettant l’administration du dispositif par une personne non initiée à GNU/Linux. Conçu, développé, maintenu et supporté essentiellement par des enseignants, pour des enseignants, SambaÉdu offre tous les services attendus, permettant aux équipes pédagogiques de disposer d’un outil adapté alliant souplesse et robustesse.

Son développement est très actif et réalisé sur un modèle coopératif et mutualisé. Les contributeurs sont répartis dans différentes académies (Paris, Créteil, Versailles, Clermont‐Ferrand, Rouen, Caen…) et participent activement à son développement. La version stable actuelle est SE4 qui est en cours de déploiement, soit par installation à partir de zéro, soit par migration depuis un SE3. Parmi les nouveautés essentielles de cette version, on trouve le passage à un annuaire AD (Active Directory) tel que préconisé par Samba 4, ainsi que le couplage de deux machines se4ad et se4fs (le se4ad pouvant être dans un conteneur du se4fs) et la synchronisation entre l’AD et l’ENT ou entre l’AD et une forêt d’annuaires AD : seule la solution SE4 offre ces possibilités.

En dehors de la présentation des fonctionnalités, cet article sera l’occasion de faire le point sur les choix faits pour l’équipement des établissements scolaires, de leur impact sur le logiciel libre. L’aspect technique sera aussi abordé.

Sommaire

Historique

L’historique de la solution SambaÉdu est disponible sur le site de l’association. SE1 est né dans un collège de Normandie : merci Monsieur le professeur (Olivier Lecluse) !

Les enjeux

En France, depuis la décentralisation, le fonctionnement des établissements secondaires publics, collèges et lycées, dépend respectivement des départements et des régions. Concrètement, les enseignants et élèves utilisent du matériel appartenant aux collectivités. En théorie, celles‑ci devraient donc assurer la configuration et maintenance des équipements informatiques. Or, souvent, faute d’une réelle discussion avec les enseignants sur les usages pédagogiques, les solutions déployées sont définies sur des critères qui ne correspondent pas aux usages et qui, de plus, négligent totalement la question du logiciel libre.

Or, avant la décentralisation, l’Éducation nationale avait soutenu ou initié des projets libres, dont SambaÉdu 3, développé au niveau des académies de Normandie et d’Île‑de‑France. De nombreux établissements utilisent donc toujours ces solutions, bien que leur obsolescence commence à poser de sérieux problèmes avec les postes Windows 10 ainsi qu’en termes de sécurité des données. À l’origine, la maintenance était assurée par des personnels des rectorats et par des enseignants référents. L’évolution des statuts de ceux‑ci limitant très fortement les possibilités de les payer pour ces tâches, la tentation est grande pour l’Éducation nationale de passer la main aux collectivités territoriales, déjà en charge du matériel.

Dans la plupart des cas, ceci conduit à la mise en place de solutions propriétaires préconisées par des prestataires aux compétences purement Microsoft : Windows Server, avec éventuellement une surcouche KoXo, Magret, ou autre… Le tout vendu avec des promesses d’annuaire fédérateur, de centralisation de la maintenance et des déploiements, de virtualisation des postes de travail qui, si elles devaient s’avérer, signifieraient la bascule totale de l’EN dans l’univers privateur de Microsoft Azure Cloud ou des Google Apps. L’Éducation nationale serait alors totalement dépendante des décisions de sociétés privées, perdant ainsi tout contrôle sur les logiciels qu’elle utilise au quotidien. Il est d’ailleurs étonnant de constater que d’un côté l’État cherche à mettre en place des solutions de cloud souveraines, et de l’autre laisse le champ libre à l’Éducation nationale et aux collectivités pour déployer massivement des solutions Windows ou Android qui, par défaut, font tout pour pousser l’usage des services en ligne Microsoft Azure ou Google.

Heureusement pour le moment, pour des questions d’infrastructure réseau mal dimensionnées et de non‐prise en compte des usages et contraintes sur le terrain, les expériences à grande échelle se sont révélées catastrophiques. Dans ce contexte, persuadés qu’il est possible de proposer une alternative libre, nous avons décidé, en dehors de tout cadre institutionnel, de reprendre le projet SambaÉdu afin de démontrer au niveau des usages spécifiques d’un établissement du secondaire qu’il est possible avec des moyens très réduits, non seulement de faire mieux que les solutions propriétaires, mais en plus de permettre aux usagers de SE3 de migrer en douceur sans perdre leurs données.

Solution logicielle mise en place

La solution SambaÉdu 4 s’appuie sur deux serveurs Debian GNU/Linux en version Buster, virtuels ou physiques. La plate‑forme privilégiée est Proxmox, mais tout autre hyperviseur peut être utilisé, car il n’y a aucune contrainte technique. Il est même possible, dans le cas de la migration d’un serveur SE3 existant, d’utiliser un conteneur LXC pour le serveur AD.

L’ensemble de la solution est disponible sous forme de paquets Debian, avec la possibilité d’une installation totalement silencieuse dans le cas d’une migration depuis un serveur SE3, et d’une installation extrêmement simple dans le cas d’une installation à partir de zéro.

Le serveur SE4AD

C’est le serveur principal Active Directory, et donc aussi DNS et partage Sysvol. Il s’appuie sur Samba 4. Il s’agit d’une configuration tout à fait standard, aucune personnalisation n’est apportée, l’installeur se borne à migrer l’annuaire LDAP SE3, ou à créer un nouvel annuaire. Techniquement rien n’empêcherait d’associer ce serveur à d’autres dans une forêt AD, qu’elle soit gérée par des Samba ou des Windows Server.

Le serveur SE4FS

C’est le serveur de fichiers Samba, gestionnaire d’imprimantes Samba‐CUPS, DHCP et d’ammorçage iPXE. L’interface Web d’administration tourne sur ce serveur. Outre l’interface utilisateur, elle fournit les services Web pour les scripts dynamiques d’installation et de clonage, ainsi que le serveur d’applications WPKG.

Fonctionnalités

Annuaire

Un établissement scolaire est un ensemble d’utilisateurs qui changent de fonction chaque année. Un annuaire fédérateur national existe, mais – heureusement d’ailleurs –, il n’est pas accessible via un service Web public. De plus, la réconciliation des données avec les emplois du temps locaux est longue et complexe, et donc les données ne sont généralement pas exploitables avant octobre, ce qui pose problème.

Les données d’emploi du temps à jour peuvent être récupérées directement depuis les logiciels (propriétaires), mais il s’agit d’exportations manuelles via des fichiers aux formats peu documentés. Enfin, la généralisation des espaces numériques de travail (ENT) pourrait théoriquement permettre de disposer de bases correctes et synchronisables en temps réel. Malheureusement, à l’exception notable de l’Île‑de‑France, les collectivités ont fait le choix de solutions propriétaires n’offrant pas d’API documentées permettant la récupération des données et l’authentification. On peut d’ailleurs s’interroger sur le peu de cas fait aux règles d’interopérabilité quand un établissement ne peut même pas disposer de ses propres données sans devoir recourir à des acrobaties. L’ampleur et la difficulté du travail fait par Sésamath pour Sacoche afin de disposer de connecteurs pour les différents ENT est assez parlant. Nous pourrions reprendre ces éléments libres, mais dans l’immédiat, nous préférons laisser aux collectivités qui ont fait le choix du propriétaire le soin de trouver une solution pour assurer l’interopérabilité qu’elles n’ont pas jugé bon d’inclure dans le cahier des charges.

Afin de construire l’annuaire (de type AD − Active Directory − pour la version SE4) qui contiendra les utilisateurs (les enseignants, les élèves, le personnel administratif…) ainsi que l’ensemble des groupes (les classes, les regroupements, les professeurs principaux, les équipes et bien d’autres possibilités) plusieurs possibilités existent donc :

  • la synchronisation avec les annuaires fédérateurs des académies (fichiers Siecle/STS) ;
  • la synchronisation avec les outils de vie scolaire (fichiers XML ou CSV) ;
  • la synchronisation automatique avec les ENT (sous réserve de disposer des infos de l’API !).

Dans tous les cas, un assistant permet la réconciliation des données et le choix de politiques de connexion et de mots de passe.

Il faut noter que seule l’utilisation des données issues de l’ENT, qui sont déjà validées par la CNIL, peut se faire sans déclaration supplémentaire. Tous les autres modes de peuplement d’un annuaire, à partir du moment où un accès depuis l’extérieur est possible, devraient faire l’objet d’une déclaration.

Authentification

Sous réserve de disposer d’une source d’authentification OAuth2, SE4 est capable de l’utiliser, permettant une gestion simplifiée des mots de passe, avec une possibilité de pseudo‑SSO avec un mot de passe unique.

À ce jour, seul l’ENT d’Île‑de‑France, basé sur du Libre, offre cette possibilité.

Partages pédagogiques

Avec l’arrivée massive de tablettes et autres équipements mobiles, la question de la pertinence d’un serveur de fichiers SMB/CIFS commence à se poser. Une solution de type « cloud » pourrait sembler plus judicieuse, en permettant l’unification des données entre équipements mobiles et postes de travail. Malheureusement, peu d’applications sont encore capables d’utiliser de façon efficace des données en partage Web. Il est donc nécessaire de disposer sur les postes d’un client de synchronisation de fichiers permettant de monter de façon efficace les partages.

Aujourd’hui, seul Seafile le permet de façon libre (avec toutefois un petit bémol : le client Seadrive n’est pas libre). Nextcloud, excellent en mode Web, ne propose malheureusement pas de client de synchronisation utilisable. Il est en revanche possible d’exporter des partages Samba (les utilisateurs du réseau pédagogique peuvent donc accéder de chez eux à leurs documents en téléchargement et téléversement, et donc sans avoir recours à des disques ou de clefs USB), mais la montée en charge n’est pas garantie.

Les pages d’administration des partages vont progressivement être adaptées afin de permettre d’utiliser différents back‑ends de stockages des données : répertoires partagés Samba, bibliothèques Seafile, partages Nextcloud…

Groupes

Tous les groupes sont possibles, depuis les groupes standards (Classes, Profs, Profs Principaux, Personnel administratif) jusqu’à des groupes adaptés à la situation de l’établissement (Groupe des latinistes, groupe du Journal des élèves…). Avec la réforme des lycées, la notion de classe devient à géométrie variable, et il est donc nécessaire de disposer de davantage de souplesse au niveau de la création des partages de groupes. Là aussi, une synchronisation avec l’ENT est la meilleure façon de garantir la cohérence des groupes d’utilisateurs sans devoir refaire manuellement les affectations à chaque changement !

Partages généraux

« Home »

Le lecteur « home » va contenir tous les documents personnels de l’utilisateur, ainsi que les fichiers de configuration personnalisés. Seul l’utilisateur sera capable de voir ce que ce lecteur contient. L’administrateur peut tout à fait instaurer des quotas pour éviter que le serveur soit saturé par des utilisateurs trop gourmands.

« Classe »

Chaque classe de l’établissement dispose d’un partage « Classe » contenant :

  • un répertoire « _profs » qui est un dossier d’échange entre les professeurs ;
  • un répertoire « _travail » en lecture seule pour les élèves dans lesquels les enseignants peuvent déposer des documents non modifiables ;
  • un répertoire pour chaque élève de la classe ; ce répertoire permet aux enseignants de distribuer du travail à chaque élève, à chaque élève de déposer son travail, à l’enseignant de récupérer le travail des élèves de façon simple et pratique.
« Docs » et « Progs »

Un répertoire « Ressources sur le réseau » contenant des ressources peut être organisé en sous‐répertoires visibles ou non par les utilisateurs : la gestion fine des droits donne beaucoup de souplesse au dispositif.

Un répertoire « Progs » permet de mettre à disposition très simplement des applications portables.

Deux sous‐répertoires sont disponibles :

  • rw (Read and Write) pour lequel les enseignants pourront écrire ;
  • ro (Read Only) pour lequel seul admin aura des droits d’écriture.

Un tel emplacement réseau sera très pratique pour des applications utilisées au quotidien comme Pronote : il suffira de faire la mise à jour du client sur ce lecteur et de seulement déployer un raccourci sur le bureau des utilisateurs.

Partages et droits fins

Là aussi, des partages sont disponibles en standard (classe, ressources…), mais d’autres partages peuvent être créés en fonction des besoins des enseignants.

On peut aussi gérer très précisément des listes de contrôle d’accès (ACL) sur les groupes et partages créés : lecture, écriture, exécution, pour un utilisateur, un groupe ou pour tous.

Usages pédagogiques

Distribution et récupération de devoirs, partage de ressources, répertoire d’échanges paramétrable par l’enseignant.

Gestion du réseau interne

Déploiement automatique de clients GNU/Linux (et Windows®), clonage des stations

Il s’agit d’une fonctionnalité clé : être capable d’installer de façon totalement automatisée une machine sortie du carton, ou de réinstaller à distance une machine défaillante.

Un amorçage réseau en iPXE permet de nommer une nouvelle machine, de lui associer un parc puis, toujours via cet amorçage iPXE, d’installer et d’intégrer automatiquement (et donc silencieusement) aussi bien un Windows 10 qu’un GNU/Linux (Debian Buster dans un environnement au choix : GNOME, KDE, Xfce, MATE…). Pour le moment l’automatisation du double amorçage n’est pas faite, mais tout est en place pour le faire.

De même, la fonction clonage diffère de ce qui est proposé par les autres solutions libres ou propriétaires  : il ne s’agit pas de déployer une image préalablement préparée, mais de cloner en direct une machine d’une salle sur l’ensemble des autres postes de celle‑ci, l’ensemble des phases de généralisation et de spécialisation étant totalement automatisées, ce clonage peut se faire à distance sans intervention physique. En effet, dans un établissement scolaire, les logiciels et matériels diffèrent d’une salle à l’autre, rendant inexploitable la génération d’images génériques à cloner. Si l’on ajoute les mises à jour, le stockage des images est définitivement une mauvaise idée (après cela reste possible, mais nécessite que des logiciels spécifiques puissent être déployés par WPKG). Bien entendu, ceci fonctionne pour Windows 10, mais également pour les GNU/Linux.

Gestion des parcs, des salles

Extinction automatique, démarrage automatique, déploiement d’applications, installation d’imprimantes.

Déploiement automatique d’applications

Les clients Windows sont gérés par l’intermédiaire de wpkg, plus de 160 applications sont disponibles directement dans SambaÉdu. Les clients GNU/Linux par l’intermédiaire de scripts « unefois » qui se lancent en tâches de fond, sans gêner le travail des utilisateurs.

L’ajout du support d’Ansible pour GNU/Linux est en cours d’évaluation.

Pour les Windows, Il est également possible d’utiliser WAPT qui est libre, un gros travail ayant été fait par l’académie de Rennes et Tranquil IT ; mais en l’état, l’intégration complète dans SambaÉdu complexifierait pas mal de choses, en nécessitant un serveur dédié supplémentaire. Nous voyons plutôt la mise en place d’un tel serveur comme une action à mener à l’échelle de la collectivité, plus que de l’établissement.

Gestion des imprimantes

Déploiement automatique, que ce soit pour des clients GNU/Linux ou des clients Windows. Sur Windows, les imprimantes sont déployées de façon native avec des stratégies de groupe (GPO), sans avoir besoin d’utiliser la console Microsoft…

Le serveur d’impression est Samba avec CUPS. Malheureusement, il n’existe pas de solution libre de comptabilisation des impressions et copies, et donc la seule solution est d’utiliser le logiciel propriétaire Papercut, qui a au moins l’avantage d’avoir une version GNU/Linux native qui s’installe sans problème sur SambaÉdu.

Configuration des postes Windows

Les stratégies de groupe (GPO) et préférences utiles sont automatiquement configurées dans l’interface SambaÉdu et se déploient de façon native via le serveur AD. Aucun agent n’est nécessaire sur le poste. L’usage de l’infâme console d’administration RSAT n’est pas indispensable pour les tâches habituelles.

Des stratégies mettant en œuvre les recommandations de l’ANSSI sont automatiquement déployées, notamment pour limiter la collecte des données et l’usage des services Microsoft Azure Cloud.

DHCP et réseaux locaux virtuels (VLAN)

Le serveur SE4 permet de gérer le service DHCP de l’ensemble du réseau, en prenant en compte les multiples réseaux locaux virtuels (VLAN) des architectures des établissements scolaires. Il permet d’effectuer des réservations d’adresses IP pour les clients et les imprimantes par sous‑réseau ; cette réservation étant possible dès la connexion iPXE pour les nouveaux postes.

État du déploiement

L’entreprise NéoFutur soutient l’association et le développement de la solution SambaÉdu4. Un partenariat a d’ailleurs été mis en place. Elle déploie la solution dans les établissements scolaires, effectue des migrations de la version SambaÉdu 3 vers la version SE4 ; elle propose en outre la maintenance de parcs.

Une cartographie des SE3 a été initiée, en attendant celle des SE4, version récente de la solution SambaÉdu. Chacun peut compléter cette cartographie.

D’ores et déjà, certains établissements scolaires, du « petit » collège de 500 utilisateurs, au « gros » lycée de plus de 2 000 utilisateurs, utilisent cette solution entièrement libre.

Choix techniques

Empaquetage

Un gros travail a été fait pour créer des paquets conformes aux standards Debian, et uniquement configurés via debconf. Les mises à jour sont donc facilitées et fiables. Ceci est un gage de pérennité. La pré‑configuration à l’aide fichiers texte et de preseed est possible et est utilisée par les différents scenarii de migration de serveurs SE3.

Interface d’administration

L’interface historique, basée sur PHP et MySQL était codée en PHP. La question s’est donc posée de tout reprendre depuis zéro avec des technologies actuelles. Étant donné que la plupart des utilitaires Samba sont écrits en Python, le choix de Django aurait pu sembler judicieux. Néanmoins, la quantité de travail à accomplir avant d’avoir un minimum de choses utilisables nous a dissuadé de nous lancer dans cette tâche. Nous sommes donc restés sur du PHP 7.3, avec une refonte importante des pages, mais sans pour autant faire de gros bouleversements. Étant donné qu’il s’agit d’une interface d’administration et non d’un site de production, ce choix n’est pas critique et le tout reste largement utilisable et intuitif.

En revanche, l’ensemble des fonctions sous‑jacentes de manipulation de l’AD, de Samba et du DHCP ont été réécrites en PHP, en s’efforçant d’avoir quelque chose de clair et facile d’utilisation. Ceci se fait souvent aux prix d’une certaine lenteur, particulièrement pour les requêtes LDAP qui gagneraient à être massivement mises en cache. Mais pour le moment, on a choisi de ne pas le faire pour privilégier la simplicité.

La principale nouveauté concerne l’automatisation des tâches d’installation, de clonage et de configuration. Au cours du processus, les clients à ordonnancer peuvent être sous différents systèmes d’exploitation : iPXE, WinPE, GNU/Linux ou Windows. Un service Web minimal, authentifié par un jeton a donc été mis en place et va générer des scripts iPXE, cmd, Bash ou XML qui seront interprétés par les clients à chaque étape.
Dans la mesure du possible tout a été fait pour éviter d’avoir à installer un agent sur les postes. L’installation initiale des GNU/Linux se fait donc en mode preseed, tandis que les Windows sont exclusivement configurés avec Windows Setup ou Sysprep, sans aucun script additionnel.

L’expérience du SE3 a montré qu’une des sources principales de problèmes sur les serveurs en production était le serveur MySQL, avec des soucis de bases à réparer manuellement suite à une coupure intempestive ou une mise à jour problématique. Pour SE4, le choix a donc été fait de ne faire dépendre aucun service important de MySQL.

Soutenir l’association

Vous pouvez soutenir l’association en y adhérant depuis le site sambaedu.org.

Aller plus loin

  • # EOLE

    Posté par  . Évalué à 3.

    Super comme projet ! Je travaille dans une école Belge et je suis justement en train de penser à migrer notre vieux serveur Windows vers une solution libre. En plus de votre projet, j'ai trouvé le projet EOLE. Comment vous situez-vous par rapport à celui-ci ?

    • [^] # Re: EOLE

      Posté par  . Évalué à 3.

      Comment dirais-je….Notre solution est faite par des profs pour des profs. Je l'utilise en production depuis début septembre. Mes collègues n'ont vu aucune différence lors de la migration (si ce n'est des performances bien supérieures). Toute version de W10 est supportée vu la norme AD.
      Nous avons pu garder (avec un peu d'adaptation nos solutions clonezilla, freeradius,nextcloud…). La communauté Sambaedu est très réactive. Bref, pour moi c'est vite vu!

      • [^] # Re: EOLE

        Posté par  . Évalué à 6.

        D'un côté on a un projet institutionnel qui répond aux besoins définis par l'institution. de l'autre un projet libre de toute contraintes, qui répond aux besoins des utilisateurs qui y contribuent, c'est à dire les profs.

        Les deux sont libres, c'est déjà une bonne chose. A chacun ses forces et ses faiblesses, à évaluer en fonction de ses besoins.

        • [^] # Re: EOLE

          Posté par  . Évalué à 3.

          Merci pour le retour ! Ça donne envie de tester en tout cas.

  • # Autre distrib

    Posté par  . Évalué à 2. Dernière modification le 05/01/20 à 23:36.

    Personnellement, j’utilise « Karoshi Linux Schools » que je trouve bien plus abouti et bien plus modulable que SambaÉdu 4 ou EOLE (scribeAD…). Le gros avantage, c’est quNil possède un client GNU/Linux prêt à l’emploi et que l’on peut générer sa propre image ISO avec les modifications que l’on veut assez facilement.
    Je mets le lien du projet pour ceux que cela intéresse : Karoshi Linux Schools.

    • [^] # Re: Autre distrib

      Posté par  . Évalué à 2.

      Concernant les Linux, il existe effectivement des solutions bien plus complètes et abouties. En revanche pour les postes Windows, peu font les choses proprement, sans scripts de logon ou agents qui pètent à la première mise à jour. Et si il faut commencer par installer la console RSAT pour pouvoir configurer les Windows, on est mal barré. J'ai pas vu d'installation automatique des OS et des applis non plus.

      • [^] # Re: Autre distrib

        Posté par  . Évalué à 1.

        Pour les postes Windows, il faut utiliser RSAT,pour le déploiement d'applications sous Linux pas de problème cela se fais via l'interface Web d'administration. Concernant les applications Windows il faut installer Wapt. L'installation des Os peut se faire via pxe que cela soit Linux ou Windows. Après rien n'est jamais parfait, il faut prendre se qui convient le mieux à l'utilisation que l'on a.

        • [^] # Re: Autre distrib

          Posté par  . Évalué à 5.

          Absolument.

          La solution SambaÉdu est tournée vers l’utilisation en milieu scolaire avec des partages adaptés et des fonctionnalités pédagogiques.

          je l’utilise dans un lycée de plus de 1000 élèves avec autant de poste clients en tout genre (600 postes fixes, 500 tablettes, des ordiphones…)

          Le déploiement d’applications sous Windows avec des cases à cocher dans l’interface, l’installation automatique de W10 en ipxe et en moins de 15 minutes, le déploiement d’imprimantes par parcs/salles : c’est magique.

          Pour les clients Linux : c’est la même chose mais en beaucoup mieux !

  • # lycée de l'académie Rhone-Alpes

    Posté par  (site Web personnel) . Évalué à 4. Dernière modification le 06/01/20 à 09:55.

    Dans les académies de la région Rhône alpes, nous sommes passés d'une solution EOLE (gérant au mieux windows7) à une solution 100% proprio (windows server + GLPI éventuellement).
    On a 3 images pour l'ensemble du lycée (L'image générale, l'image science et l'image SI)
    Pour la gestion des imprimantes, tout se fait par téléphone ou mail (je voudrai tel imprimante dans telle salle)

    Les temps de login sont vraiment bons comparativement à la solution précédente.

    Cependant nous avons perdu la possibilité d'avoir des postes clients linux.

    Le marché région a été remporté par ATOS qui fait appel à des intervenant extérieur (XEFI chez nous).

    Le rôle des profs référents est juste de remonter les infos.

    Qu'en est-il de samba Edu et du temps de login ?

    y a-t-il des entreprise à dimension "région" qui seraient capables de remporter un tel marché avec une solution basée sur SambaEdu ?

    • [^] # Re: lycée de l'académie Rhone-Alpes

      Posté par  . Évalué à 8.

      On est en AD natif comme Windows Server, donc les temps de login sont théoriquement les mêmes. Après cela peut dépendre du nombre de GPO, d'imprimantes, du bazar sur le bureau…

      Concernant les entreprises, Neofutur commence à déployer du SambaEdu4. Malheureusement les ATOS, SPIE, etc… proposent ce que leurs sous-traitants savent faire, c'est à dire du Windows Server.

      Le problème n'est pas technique (on a la preuve que SE4 cela fonctionne !) mais politique (met-on aux mains de Microsoft l'ensemble des SI de l'éducation Nationale ?). Sans une vraie volonté politique à long terme imposant certains critères des appels d'offres aux collectivités, les prestataires ne prendront pas le risque de former des équipes à grande échelle.

    • [^] # Re: lycée de l'académie Rhone-Alpes

      Posté par  . Évalué à 7. Dernière modification le 06/01/20 à 17:45.

      Dans les académies de la région Rhône alpes Auvergne-Rhône-Alpes

      Signé : un auvergnat

      La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

  • # question nextcloud

    Posté par  . Évalué à 2.

    Je dois avouer que je ne comprend pas très bien le probleme des clients avec nextcloud. Parceque de mon experience les clients pour à peu prés toutes les plateformes dont tu parles existent:

    https://nextcloud.com/install/#install-clients

    • [^] # Re: question nextcloud

      Posté par  . Évalué à 2.

      À mon souvenir, pas de sychro possible avec Android, seulement de l'envoi.

      ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

      • [^] # Re: question nextcloud

        Posté par  . Évalué à 2.

        Les choses ont peut-être changé, mais les derniers tests que j'avais pu faire sous Windows et Linux étaient catastrophiques, pertes de données lors de conflits, problème avec les noms de fichiers accentués, etc… Mais cela date un peu, si cela se trouve c'est bien mieux maintenant.

        En dehors de cela, c'est une synchro globale, et donc ce n'est tout simplement pas une option pour des postes de travail partagés en établissement, on ne va pas recopier tous les partages sur le poste de travail à chaque login !

        L'énorme avantage de seadrive pour ce type d'utilisation c'est que c'est un cache local, pas une synchro totale. Et les algorithmes de synchro, basés sur Git sont très robustes et performants.

        • [^] # Re: question nextcloud

          Posté par  (site Web personnel) . Évalué à 3.

          Les choses ont changé. Je maintiens une demi-douzaine d'installations de OwnCloud et NextCloud pour des clients (entreprises et associations). Clients Windows, Mac OS, Linux et Android. Tout baigne.

          En revanche, la maintenance d'une telle installation n'est pas une tâche triviale.

          Dyslexics have more fnu.

  • # Clients Linux & frontend

    Posté par  . Évalué à 2.

    Bonjour !

    Le serveur d’impression est Samba avec CUPS. Malheureusement, il n’existe pas de solution libre de comptabilisation des impressions et copies, et donc la seule solution est d’utiliser le logiciel propriétaire Papercut, qui a au moins l’avantage d’avoir une version GNU/Linux native qui s’installe sans problème sur SambaÉdu.

    Pourquoi pas Savapage ? Cette solution ne serait pas adaptée ?

    Et concernant l'intégration des clients Linux, j'ai toujours été très frustré de ce qui a été fait dans SE3 (trop de responsabilités par script, trop de "bidouilles" pour refaire ce qui existe déjà, comportement trop éloigné de celui des postes Windows, etc…). Est-ce qu'il y a eu une évolution à ce niveau là ? Est-ce qu'il y a un groupe de travail qui se penche sur un intégration Linux plus "propre" ?

    Concernant le frontend, j'ai également été très surpris de voir que tous les appels au backend étaient fait de manière synchrone, pourquoi ne pas utiliser des appels asynchrone, est-ce une décision motivée ou un héritage qui attend un ptit coup de remise au propre ? Et même question, est-ce qu'il existe un groupe de travail dédié au front ?

    Merci pour ce beau projet en tout cas, j'aimerai avoir plus le temps de contribuer à son développement, mais encore trop de problèmes internes à mon établissement pour le moment…

    • [^] # Re: Clients Linux & frontend

      Posté par  . Évalué à 3.

      Savapage est une option possible, mais vu que cela court-circuite totalement samba, on n'a plus les gpo, les pilotes automatiques… Bref c'est une autre façon de faire, mais c'est pas intégrable simplement. Alors que Papercut c'est un filtre Cups, et donc c'est totalement transparent.

      Pour les Linux, d'ores et déjà tout se fait les mains dans les poches avec ipxe et d-i sans scripts jusqu'à la mise au domaine du poste incluse.

      Les scripts sont juste présents pour la configuration de l'environnement utilisateur et des applis. Il faudrait utiliser Ansible, cela serait bien plus propre.

      Pour le frontend, oui c'est de l'héritage… Si quelqu'un est motivé pour refaire les chose proprement avec un framework moderne, il sera accueilli à bras ouvert ! La priorité c'était d'avoir un backend fonctionnel. Le rendre entièrement accessible via une API REST serait une première étape. Il y a quelques petits bouts, mais c'est plus du prototype qu'autre chose, il faudrait une vraie modélisation du besoin.

      Passer l'établissement en SE4 réduira les problèmes :-)

  • # s'émanciper des contraintes régionales

    Posté par  . Évalué à 2.

    Bonjour,
    "RUPN" dans un Lycée d'un millier d'élèves comportant environ 400 postes fixes, dans l'académie de Caen (ou plutôt la nouvelle académie de Normandie issue de la fusion de celle de Caen et de Rouen), je m'acharne, avec mon collègue, à installer et mettre à jour les logiciels dont mes collègues ont besoin.
    Quand j'ai accepté cette "mission particulière" en septembre 2018, SE3 était déjà un lointain souvenir chez nous, la région ayant poussé le Lycée à quitter cette solution.
    En gros si nous voulions un nouveau serveur pour remplacer la vieille machine qui commençait à donner des signes de fatigue, nous devions passer à un serveur 'de virtualisation' : déploiement de client légers WYSE connectés à un serveur à qui sont délégués les principales fonctions logicielles.
    Du coup nous avons perdu les droits d'administration "globaux" et la région administre à distance ces clients légers.
    Cependant, des postes "lourds" sont toujours présents. D'ailleurs, la région repart actuellement "en arrière" et souhaite repasser en postes lourds, notamment du fait de coûts de licences qui augmentent.
    Or sur ces postes, nous sommes censés être responsables de l'installation des logiciels… sans avoir d'autres droits que d'installer ces logiciels localement, en se déplaçant poste par poste.
    Je creuse des "solutions" partielles (installations silencieuses, accès à distance via ssh, winRM,… voire RDP) ou des solutions plus radicales (chocolatey-nuget, wapt, wpkg …) mais nous rencontrons des blocages partout.
    En dehors de ces contraintes, il est également à noter ici que nous ne pouvons plus intégrer des postes de travail linux sur notre réseau… Windows 10 ou rien… Ce qui implique par exemple que des postes encore sous windows 7 risquent d'être envoyés à la casse car ils ne sont pas "upgradable".
    Auriez-vous un retour sur des collègues qui auraient réussi à s'émanciper de cette tutelle pénible ? Peut-on passer de manière autonome sur la solution sambaedu4 ? Doit-on attendre que la région nous débarrasse des derniers clients légers pour ne plus avoir à gérer la cohabitation de la virtualisation et des postes lourds ?
    Merci d'avance pour vos réponses.

    PS: J'ai eu la surprise de découvrir que le plus "haut responsable" de la région que j'ai sollicité et qui ne m'a fourni aucune solution et m'a seulement découragé de reprendre ces responsabilités/libertés/autonomie… est un fervent partisan local des logiciels libres… Preuve que l'institution réussit à étouffer les meilleurs volontés.

    • [^] # Re: s'émanciper des contraintes régionales

      Posté par  . Évalué à 1.

      Un serveur SE4 peut très bien se greffer sur un domaine AD existant. Mais il faut les droits Domain Admin pour pouvoir adhérer au domaine et pousser des GPO… Techniquement il faut pouvoir créer un utilisateur www-admin avec les privilèges suffisants pour pouvoir manipuler l'AD depuis l'interface SambaEdu. Avec son propre AD, SE4 utilise Administrator, mais n'importe quel compte admin doit fonctionner.

      Si c'est le cas, wpkg, l'install auto, le clonage doivent fonctionner.

      Il est possible qu'il faille adapter quelques trucs pour que la structure de l'annuaire soit compatible, mais normalement c'était prévu au début, on avait fait des tests avec un annuaire de Caen.

      Concernant W7 c'est du pipeau, tous les postes W7 avec une licence OEM valide s'activent automatiquement avec W10 !

    • [^] # Re: s'émanciper des contraintes régionales

      Posté par  (site Web personnel) . Évalué à 2.

      Ce qui implique par exemple que des postes encore sous windows 7 risquent d'être envoyés à la casse car ils ne sont pas "upgradable".

      pas de souci : je suis dans un fablab qui peut les réceptionner :-) (sur paris : viroflay)

      Auriez-vous un retour sur des collègues qui auraient réussi à s'émanciper de cette tutelle pénible ? Peut-on passer de manière autonome sur la solution sambaedu4 ? Doit-on attendre que la région nous débarrasse des derniers clients légers pour ne plus avoir à gérer la cohabitation de la virtualisation et des postes lourds ?

      oui, bien sûr : tu ne seras que le responsable supplémentaire ayant franchi le pas (pourqoi ne pa l'avoir fait avant si ça te tient à cœur ?)

      Pour la mise en œuvre, il y a plein de consultants Linux :-) toi le premier avec des PoC, utiliser un poste Linux en portable pour vérifier l'interopérabilité (mail, docs, tableurs…)
      Mais soyons clair : spa gagné, suffit que ça marche (et ça va le faire, va falloir gérer hein :p), c'est le prix de l'intéropérabilité : la suite google ne remplace pas office non plus, du fait de peu de respect des formats ouverts (ou de normes) trop complexes pour gérer entièrement.

      chacun ses limites

      • [^] # Re: s'émanciper des contraintes régionales

        Posté par  . Évalué à 2.

        Je ne l'ai pas "tenté" avant parce que mine de rien:
        - reprendre les différentes tâches en main,
        - solliciter des droits d'administration
        - tester si des solutions plus légères sont disponibles
        - réceptionner les nouveaux postes
        - effectuer les installations inefficaces, poste par poste
        - ranger le capharnaüm qu'était devenue la salle des serveurs
        - aplanir la communication avec les collègues
        - identifier les différents interlocuteurs
        - accessoirement, m'assurer que je ne lance pas l'établissement dans une aventure que je n'ai pas les moyens de mener…
        Ça m'occupe largement assez depuis un an et demi, vu le peu de temps que j'ai de disponible pour cette mission. Mais je garde le cap merci ;). Je voulais seulement avoir des sources pour des retours d'expériences pertinents.
        Bonne soirée.

        • [^] # Re: s'émanciper des contraintes régionales

          Posté par  . Évalué à 1.

          Bienvenu dans le "réel" de l'Éducation Nationale :-)
          En effet, les décharges de service (au compte-goutte selon les établissements) conduisent les meilleures volontés à jeter l'éponge : ta liste est terrifiante, mais c'est ainsi que cela se passe. La solution passe par le soutien d'une entreprise privée extérieure connue sur le bassin. Un technicien sera payé pour débrouiller les fourreaux, tester les postes qui ne répondent pas, ou leur attribuer une IP fixe …

  • # ENT ?

    Posté par  . Évalué à 1.

    Pensez vous que cette solution de travail permet de remplacer efficacement des outils tels que Mon Bureau Numérique ou autres Espaces numérique de travail (ENT) ? Est ce bien équivalent en terme de fonctionnalités , voir mieux ?

    Merci ;)

    • [^] # Re: ENT ?

      Posté par  . Évalué à 1.

      Bonjour
      Ces deux choses sont complètement indépendantes/complémentaires. l'ENT est une structure complètement online tandis que Sambaedu 4 est une solution de serveurs qui va gérer les services réseau

      Solution "Développée par des enseignants pour les enseignants et leurs élèves, cette solution logicielle permet de gérer simplement et efficacement le parc informatique d’un établissement scolaire composé de clients hétérogènes (Windows et GNU/Linux)."

      Par contre, il est tout à fait possible de mettre en place un serveur nextcloud qui sera relié à l'AD du se4, et qui permettra l'accès externe aux partages réseaux du se4 et de partager les fichiers avec d'autres utilisateurs du domaine. On peut alors ajouter différents services aux Nextcloud comme Collabora, modules de mindpapping, pad collaboratif. Il y a quelques temps, j'avais procédé ainsi. Il y a avait un module appelé "conversations" qui était un outil de messagerie interne. Bref, on avait presque une ENT !

  • # Samba ÉDU monte dans un bâteau

    Posté par  . Évalué à 2.

    Témoignage : comme "personne ressource" dans un lycée de 1200 élèves, il avait été décidé à l'origine (il = le chef d'établissement et moi, il y a plus de 10 ans aujourd'hui) de jeter notre dévolu sur SE2 (via un CD gravé à partir des sources fournies par l'Académie de Caen) parce que la solution permettait d'installer rapidement (et gratuitement) un ensemble de services dédiés sur un réseau comprenant :

    1) Des machines pour les salles de TP/Physique-Chimie/SVT
    2) Des machines pour les différentes filières d'enseignement (économie, gestion, accès web filtré etc.)
    3) Des machines en usage libre en bibliothèque, y compris l'accès aux bases de données de recherches bibliographiques
    4) Des machines dédiées aux enseignants dans leur salle de travail (avec la fameuse suite bureautique californienne, mantenant remplacée par LibreOffice) .

    Une fois le parc bien connecté dans les règles de l'art (ce qui a été fait à plusieurs reprises, sur un site qui est passé par toutes une série d'avatars, y compris le retour à 0, du fait de la rénovation des bâtiments) SambaEdu bénéficie d'une prise en main facile et autorise le déploiement rapide sur les postes clients des logiciels demandés par les usagers. Une difficulté néanmoins, qui a été mentionnée : la mise à jour annuelle du LDAP concernant les élèves et une partie des personnels. Pour les personnels, le problème est marginal en terme d'accès sécurisé aux postes clients, puisque le turn-over est limité. Pour l'annuaire des élèves, il est dépendant de la constitution d'une base de données validée après la rentrée scolaire par le Rectorat, ce qui peut prendre un certain temps.

    Les conditions requises pour un fonctionnement optimal (eu égard à la charge que les serveurs doivent supporter lorsque 400 postes se connectent dans les mêmes tranches horaires), consistent à installer des machines dédiées pour séparer les services (tous les services ne sont pas sur la même machine). Il a été difficile au début de convaincre la direction de l'établissement de la nécessité de faire l'acquisition de plusieurs machines puissantes, d'autant que les dotations pour les postes clients sont des dotations sur lesquelles les établissements d'enseignement n'avaient pas la main : "politiques publiques" obligent, c'est la Région qui fait déverser plusieurs centaines de poste sous Windows, en moyenne tous les 5 ans. Après des débuts laborieux, on peut dire que depuis quelques années, les réseaux informatiques en établissement scolaire n'en sont plus au stade de l'artisanat (quoique l'absence de poste officiel de "technicien réseau", supplée par une "personne ressource" issue du corps enseignant confine parfois, de fait, à une sorte de quasi-bénévolat).

    Le lecteur étranger à l'Éducation Nationale imagine sans doute difficilement comment un professeur de Lettres implante un réseau informatique sur plusieurs centaines de postes, avec l'aide d'un technicien d'une entreprise extérieure, rémunéré au départ pour faire de la maintenance ponctuelle (une matinée/semaine) et sans aucune expérience de Linux !

    Ce qu'il faut savoir : dans un établissement cohabitent plusieurs réseaux distincts, qui accèdent tous à l'Internet, mais qui ne doivent pas "se voir" (pour des raisons de sécurité : gestion comptable de l'établissement, gestion des absences et des emplois du temps des élèves et des enseignants, etc.). Un certain nombre d'élèves "testent" cette sécurité en permanence (pendant les TP, depuis la bibliothèque, etc.). SambaEdu est très efficace en termes de contrôle d'accès à Internet. Les divers postes clients élèves/profs sont accessibles par identifiant et mot de passe, chaque connexion et bail se retrouvant dans les logs. SE s'est montré particulièrement "touchy" en ce qui concerne l'accès à Youtube, et autres sites diffusant éventuellement des cochoncetés ! Il fut un temps ou l'expression "sex ratio" renvoyait à une "erreur 404" ! (On ne peut pas en dire autant de l'usage des mobiles dans l'enceinte des lycées …).

    Une question est souvent posée : pourquoi les postes clients dans les lycées sont-ils tous sous Microsoft (Windows 95, puis 7 …) et non pas sous Linux (Debian) ? La raison en est simple, mais double : a) nombre de logiciels pédagogiques ont été développés historiquement sous MSDOS, puis Windows; b) dans les programmes pédagogiques (notamment en gestion/compta/financière), il est prévu que les élèves travaillent avec des outils informatiques non-libres.
    D'où la nécessité de Samba !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.