FAQ des modules EOLE 2.3. Documentation sous licence Creative Commons by-nc-sa - EOLE (http ://eole.orion.education.fr) révisé : Septembre 2014

FAQ des modules

V e r s i o n d u d o c u m e n t r é v i s é : S e p t e m b r e 2 0 1 4 D a t e d e c r é a t i o n : M a r s 2 0 1 3 E d i t e u r P ô l e d e C o m p é t e n c e E O L E R é d a c t e u r s

Équipe EOLE

L i c e n c e

Cette documentation, rédigée par le pôle de compétence EOLE, est mise à disposition selon les termes de la licence :

Creative Commons by-nc-sa (Paternité - Pas d'Utilisation Commerciale - Partage des Conditions Initiales à l'Identique) 2.0 France :

http://creativecommons.org/licenses/by-nc-sa/2.0/fr/.

Vous êtes libres :

● de reproduire, distribuer et communiquer cette création au public ;

● de modifier cette création Selon les conditions suivantes :

● paternité : vous devez citer le nom de l'auteur original de la manière indiquée par l'auteur de l'œuvre ou le titulaire des droits qui vous confère cette autorisation (mais pas d'une manière qui suggèrerait qu'ils vous soutiennent ou approuvent votre utilisation de l'œuvre) ;

● pas d'Utilisation Commerciale : vous n'avez pas le droit d'utiliser cette création à des fins commerciales, y compris comme support de formation ;

● partage des Conditions Initiales à l'Identique : si vous modifiez, transformez ou adaptez cette création, vous n'avez le droit de distribuer la création qui en résulte que sous un contrat identique à celui-ci.

À chaque réutilisation ou distribution de cette création, vous devez faire apparaître clairement au public les conditions contractuelles de sa mise à disposition. La meilleure manière de les indiquer est un lien vers cette page web.

Chacune de ces conditions peut être levée si vous obtenez l'autorisation du titulaire des droits sur cette œuvre.

Rien dans ce contrat ne diminue ou ne restreint le droit moral de l'auteur ou des auteurs.

Cette documentation est basée sur une réalisation du pôle de compétences EOLE. Les documents d'origines sont disponibles sur le site.

EOLE est un projet libre (Licence GPL).

● Par courrier électronique : eole@ac-dijon.fr

● Par FAX : 03-80-44-88-10

● Par courrier : EOLE-DS2i - 2G, rue du Général Delaborde - 21000 DIJON

● Le site du pôle de compétences EOLE : http://eole.orion.education.fr

S ^ommaire

Préambule...5

I Questions fréquentes communes aux modules...6

II Questions fréquentes propres au module Amon...12

III Questions fréquentes propres au module Eclair...14

IV Questions fréquentes propres au module Scribe...22

Glossaire...29

Annexe...30

1 Gestion des certificats SSL... 30

2 Gestion des comptes utilisateurs... 33

S o m m a ir e

P ^réambule

Certaines interrogations reviennent souvent et ont déjà trouvées une réponse ou des réponses.

P ré a m b u le

I Questions fréquentes communes aux

modules

Une erreur se produit lors de l'instanciation ou d'un reconfigure : "starting firewall : [...] Erreur à la génération des règles eole-firewall !! non appliquées !"

Le message suivant apparaît à l'instance ou au reconfigure après changement de valeurs dans l'interface de configuration du module :

* starting firewall : bastion (modèle XXX) Erreur à la génération des règles  eole­firewall !!

non appliquées !

Vérifier la configuration des autorisations d'accès à SSH et à l'EAD sur les interfaces réseaux

Cette erreur provient certainement du masque des variables d'autorisation d'accès à SSH sur l'une des interfaces réseaux.

Pour autoriser une seule IP, par exemple 192.168.1.10, le masque doit être 255.255.255.255 pour autoriser une IP particulière et non 255.255.255.0

Vérifier l'ensemble des autorisations pour l'accès SSH et pour l'accès à l'EAD.

Pour appliquer les changements il faut reconfigurer le module :

# reconfigure

La connexion SSH renvoie Permission denied (publickey)

Si les connexions par mots de passe sont interdites, une tentative de connexion sans clé valide entraînera l'affichage du message suivant : Permission denied (publickey).

Gestion des mises à jour

Q u e s ti o n s f ré q u e n te s c o m m u n e s a u x m o d u le s

Via l'EAD

Pour l'afficher il faut se rendre dans la section Système / Mise à jour de l'EAD.

Dans un terminal

[python -c "from creole import maj; print maj.get_maj_day()"]

Pour activer/désactiver la mise à jour hebdomadaire il est possible de passer par l'EAD ou par un terminal.

Via l'EAD

Pour l'afficher il faut se rendre dans la section Système / Mise à jour de l'EAD.

Dans un terminal

Activation de la mise à jour hebdomadaire :

[/usr/share/eole/schedule/manage_schedule post majauto weekly add]

ou :

[python -c "from creole import maj; maj.enable_maj_auto(); print maj.maj_enabled()"]

Désactivation de la mise à jour hebdomadaire :

[/usr/share/eole/schedule/manage_schedule post majauto weekly del]

ou :

[python -c "from creole import maj; maj.disable_maj_auto(); print maj.maj_enabled()"]

Le mot de passe par défaut ne fonctionne pas

Suite à une nouvelle installation le mot de passe par défaut ne fonctionne pas.

Q u e s ti o n s f ré q u e n te s c o m m u n e s a u x m o d u le s

Le navigateur affiche :

Échec de la connexion sécurisée

Une erreur est survenue pendant une connexion à IP:Port.

Vous avez reçu un certificat invalide. Veuillez contacter l'administrateur du  serveur ou votre correspondant de messagerie et fournissez­lui les informations  suivantes :

Votre certificat contient le même numéro de série qu'un autre certificat émis  par l'autorité de certification. Veuillez vous procurer un nouveau certificat  avec un numéro de série unique.

(Code d'erreur : sec_error_reused_issuer_and_serial)

Les paramètres constituant un certificat ont été modifiés récemment

La modification, dans l'interface de configuration du module, de l'un des paramètres constituant un certificat (nom de établissement, numéro RNE, etc...) suivie d'une régénération des certificats a eu lieu.

Il faut supprimer le certificat du gestionnaire de certificats du navigateur et recharger la page.

Partition saturée

Q u e s ti o n s f ré q u e n te s c o m m u n e s a u x m o d u le s

Une partition saturée apparaît en rouge dans l'EAD, la cause peut être :

● le manque de place disponible ;

● le manque d'inode disponible.

La cause de la saturation apparaît dans la page Occupation des disques, soit les inodes soit l'utilisation sont à un pourcentage élevé. La résolution du problème est différente selon le cas.

Partition / saturée

Si la partition racine est saturée sans raison apparente et que le taux d'inodes est correcte, le montage d'un répertoire avant copie à peut être échoué. La conséquence est que la copie c'est faite sur la partition racine et non sur le montage. Ça peut être le cas de la sauvegarde bacula par exemple.

Q u e s ti o n s f ré q u e n te s c o m m u n e s a u x m o d u le s

Truc & astuce

Il faut donc vérifier le contenu et la place occupée par les répertoires (points de montage) /mnt, /mnt/sauvegardes et /media :

Si le répertoire /mnt/sauvegardes n'est pas monté il doit être vide : root@scribe:/mnt/sauvegardes# ls ­la

total 8drwxr­xr­x 2 root root 4096 mai 25 11:29 ./drwxr­xr­x 26 root root  4096 sept. 9 21:07 ../

root@scribe:/mnt/sauvegardes#

Normalement le répertoire /media ne contient que des sous-dossiers pour le montage des partitions et ou des périphériques.

Pour vérifier l'espace occupé par ces différents répertoires : root@scribe:/# du ­h ­­max­depth=1 /media /mnt/

4,0K /media4,0K /mnt/

Truc & astuce

Dans certains cas particuliers, la taille allouée à la partition / peut être trop juste. Il est possible de revoir la taille des partitions avec l'outil de gestion des volumes logiques (LVM).

Partition /var saturée

Cette partition contient entre autres les journaux systèmes du serveur.

Truc & astuce

La commande suivante affiche l'espace occupé par chaque répertoire et les classe par taille, le plus gros en dernier :

# du ­smh /var/* | sort ­n

Truc & astuce

Un service mal configuré génère une quantité importante de journaux. Si le problème n'est pas résolu la partition va de-nouveau saturer.

Q u e s ti o n s f ré q u e n te s c o m m u n e s a u x m o d u le s

Truc & astuce

Dans certains cas particuliers, la taille allouée à la partition /var peut être trop juste. Il est possible de revoir la taille des partitions avec l'outil de gestion des volumes logiques (LVM).

Partition /var saturé en inode

La commande suivante affiche le nombre de fichier par répertoire et les classe par taille, le plus grand nombre en dernier :

# for i in $(find /var -type d); do f=$(ls -1 $i | wc -l); echo "$f : $i"; done | sort -n

Liste d'arguments trop longue

La commande # rm ­rf /var/<rep>/* renvoie Liste d'arguments trop longue.

Truc & astuce

Préférez l'utilisation d'une autre commande :

# find /var/<rep>/* ­type f ­name "*" ­print0 | xargs ­0 rm

Q u e s ti o n s f ré q u e n te s c o m m u n e s a u x m o d u le s

II ^Questions

fréquentes propres au module Amon

Vider le cache du proxy

Vider le répertoire cache de Squid

Il faut arrêter le service Squid, supprimer les fichier et redémarrer le service.

# service squid stop

# rm ­rf /var/spool/squid/*

# service squid start

Problèmes avec le protocole HTTPS

Truc & astuce

La règle de pare-feu par défaut redirige le trafic Internet directement vers le proxy local.

C'est le mécanisme de proxy transparent.

Cette méthode ne permet toutefois pas de laisser passer le flux chiffré (HTTPS) par ce même mécanisme.

Pour accéder aux sites en HTTPS, il est nécessaire de configurer le proxy sur les postes clients (par exemple : avec ESU sur le module Scribe).

Truc & astuce

L'option Destinations non redirigées sur le proxy disponible en mode expert dans l'onglet Interface­1 permet, à l'inverse, de déclarer des exceptions.

Lenteur lors de la navigation web

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le A m o n

Un filtrage web DansGuardian est en place et la navigation web est très lente.

Dans les logs apparaissent des erreurs Squid à répétition (TCP_DENIED/407) :

Mar 01 10:36:01  amon (squid):  1363253761.503  51 192.168.10.10  TCP_DENIED/407  4006 GET http://linuxfr.org/ ­ NONE/­ text/html

Augmenter le nombre de processus DansGuardian maximum dans le filtre

Avant d'augmenter le nombre de processus on peut vérifier la valeur configurée dans l'interface de configuration du module. Celle-ci est fixée à 80 par défaut et se trouve dans l'onglet DansGuardian en mode expert. Une commande rudimentaire permet de se rendre compte du nombre de processus tournant effectivement sur le module :

# ps auxf | grep dan | wc ­l

Si la commande renvoie un nombre trop proche voir supérieur à la valeur configurée dans l'interface de configuration du module, elle doit être augmentée. La valeur maximum est 250.

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le A m o n

III ^Questions

fréquentes propres au module Eclair

Impossible de se connecter sur le client léger

Vérifier la validité du compte utilisé

Depuis le maître il faut tester la validité du compte utilisé, exemple avec un compte toto :

# ssh toto@ltspapps

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le E c la ir

Vérifier les adresses IP affichées sur l'écran d'accueil

Les adresses IP affichées sur l'écran d'accueil (splash screen) à la ligne Application server  et dans l'URL de Web Interface doivent être différentes.

Elles correspondent respectivement à l'adresse du serveur d'applications et à l'adresse du serveur LTSP choisies dans l'interface de configuration du module.

Si les adresses IP sont identiques, la connexion des clients légers est impossible car le load balancer^* est injoignable.

Vérifier l'état des services

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le E c la ir

Dysfonctionnement suite à un changement

Un changement d'adresse IP sur les conteneurs, alors que l'instance a déjà été réalisée, peut être responsable du dysfonctionnement. Pour y remédier il faut se connecter au conteneur ltspserver :

# ssh ltspserver

et régénérer l'image réseau à l'aide de la commande ltsp­update­image :

# ltsp­update­image ­a i386

La mire d'authentification est en anglais

Sur le client léger, si la mire de connexion (LDM^*) affiche login au lieu de nom d'utilisateur, c'est que le load balancer^* est injoignable. En effet c'est lui qui spécifie à la la mire d'authentification d'être en français.

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le E c la ir

Vérifier les adresses IP affichées sur l'écran d'accueil

Les adresses IP affichées sur l'écran d'accueil (splash screen) à la ligne Application server  et dans l'URL de Web Interface doivent être différentes.

Elles correspondent respectivement à l'adresse du serveur d'applications et à l'adresse du serveur LTSP choisies dans l'interface de configuration du module.

Si les adresses IP sont identiques, la connexion des clients légers est impossible car le load balancer^* est injoignable.

Vérifier l'état des services

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le E c la ir

Dysfonctionnement suite à un changement

Un changement d'adresse IP sur les conteneurs, alors que l'instance a déjà été réalisée, peut être responsable du dysfonctionnement. Pour y remédier il faut se connecter au conteneur ltspserver :

# ssh ltspserver

et régénérer l'image réseau à l'aide de la commande ltsp­update­image :

# ltsp­update­image ­a i386

La console sur le client léger Eclair est en QWERTY

Passer le clavier en AZERTY

Pour passer le clavier en AZERTY, il faut saisir dans la console du client la commande :

$ loadkeys fr

Ajouter un raccourci dans le menu des clients

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le E c la ir

Ajout d'un fichier par applications Il faut se rendre dans le conteneur ltspapps :

# ssh ltspapps

Avec un éditeur, il faut créer un fichier qui sera le raccourci.

Voici un exemple pour l'application MathEnPoche :

# vim /usr/share/applications/sesamath.desktop Ajouter le contenu suivant :

[Desktop Entry]

Type=Application Encoding=UTF­8

Name=MathEnPoche ­ Sésamaths

GenericName=MathEnPoche ­ Sésamaths

Comment=Travailler vos Mathématiques depuis chez vous ! Icon=/usr/share/pixmaps/gcalctool.xpm

Exec=ltsp­localapps firefox http://mathenpoche.sesamath.net/

Terminal=false StartupNotify=false

Categories=Application;Education;Network

Le raccourci de l'application est maintenant disponible lors de la connexion d'un client.

Pas d'accès Internet depuis le navigateur

Vérification de la configuration du DHCP et du DNS

Il faut vérifier les paramètres saisis dans l'interface de configuration du module.

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le E c la ir

En ligne de commande sur le serveur Eclair, les symptômes sont les mêmes :

# ssh nom_de_l_utilisateur@ltspapps

You are required to change your password immediately (password aged) 

Vérification dans l'EAD

Vérifier dans l'EAD que la case changer le mot de passe a la première connexion ne soit pas coché pour le compte en question.

Vérification de la validité du compte

Le compte est peut être âgé et il faut le changer le mot de passe. Pour vérifier la validité du compte il faut utiliser la commande [chage] :

# chage ­l [identifiant]

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le E c la ir

Changer son mot de passe

L'utilisateur ne pourra pas changer seul son mot de passe LDAP depuis la mire de connexion (LDM) du client léger. Il lui faudra passer par un client Windows pour le faire.

Redémarrer le service d'impression pour les clients légers

Truc & astuce

Pour redémarrer le service CUPS :

● se rendre dans le conteneur ltspapps :

# ssh ltspapps

● relancer le service :

# service cups restart

TFTP Open Timeout

Vous êtes sur une plateforme virtualisée

Les clients ne récupèrent pas l'image et le message TFTP Open Timeout s'affiche.

Truc & astuce

Pour que les clients puissent communiquer avec le serveur en mode conteneur il faut faire passer les interfaces en mode promiscious.

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le E c la ir

IV ^Questions

fréquentes propres au module Scribe

Délai expiré avec un client FTP graphique

L'accès FTP se fait bien avec l'application web Ajaxplorer et en console mais impossible de se connecter avec un client graphique comme Filezilla ou gFTP. Un message de délai expiré apparaît :

Connexion terminée par expiration du délai d'attente

Passer le client FTP en mode actif

Les clients FTP sont par défaut configurés en mode passif. Les passer en mode actif résout le problème.

Attention, les adresses suivantes ne sont pas définies comme sujet du certificat...

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le S c ri b e

Les paramètres constituant un certificat ont été modifiés récemment dans l'interface de configuration du module

La modification, dans l'interface de configuration du module, de l'un des paramètres constituant un certificat (nom de établissement, numéro RNE, etc...) suivie d'une reconfiguration du module ne régénère pas les certificats. Un message explicite le signale lors de l'étape de reconfiguration.

Après changement des paramètres il est nécessaire de supprimer le certificat :

# rm ­f /etc/ssl/certs/eole.crt puis lancer la reconfiguration du module :

# reconfigure

Plutôt qu'une suppression, il est possible d'utiliser la commande gen_certif.py avec l'option ­f  pour forcer la régénération (cependant, il faut que cette commande soit précédée d'une reconfiguration du module pour que les templates de configuration des certificats soient à jour).

# reconfigure

# /usr/share/creole/gen_certif.py ­f ou # /usr/share/creole/gen_certif.py 

­f nom_du_certificat pour la régénération d'un certificat en particulier.

# reconfigure

Complément

Consulter la documentation dédiée aux certificats.

CAS Authentication failed !

Le message CAS   Authentication   failed !   You   were   not   authenticated. (ou Authentification   CAS   infructueuse   !   Vous   n'avez   pas   été   authentifié(e).) peut apparaître si des modifications ont été faites dans l'interface de configuration.

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le S c ri b e

Les paramètres constituant un certificat ont été modifiés récemment dans l'interface de configuration du module

La modification, dans l'interface de configuration du module, de l'un des paramètres constituant un certificat (nom de établissement, numéro RNE, etc...) suivie d'une reconfiguration du module ne régénère pas les certificats. Un message explicite le signale lors de l'étape de reconfiguration.

Après changement des paramètres il est nécessaire de supprimer le certificat :

# rm ­f /etc/ssl/certs/eole.crt puis lancer la reconfiguration du module :

# reconfigure

Plutôt qu'une suppression, il est possible d'utiliser la commande gen_certif.py avec l'option ­f  pour forcer la régénération (cependant, il faut que cette commande soit précédée d'une reconfiguration du module pour que les templates de configuration des certificats soient à jour).

# reconfigure

# /usr/share/creole/gen_certif.py ­f ou # /usr/share/creole/gen_certif.py 

­f nom_du_certificat pour la régénération d'un certificat en particulier.

# reconfigure

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le S c ri b e

Vous avez ajouté un nom DNS alternatif ou une adresse IP alternative sur le serveur Il faut ajouter le nom alternatif ou l'adresse IP alternative dans le certificats pour que le certificat le prenne en compte. Pour cela dans l'onglet Certifs­ssl en mode expert il faut remplir les champs Nom DNS alternatif du serveur et/ou l'adresse IP alternative du serveur.

Le bouton + permet d'ajouter autant d'alternatives que vous voulez. Il faut ensuite Valider le groupe et enregistrer la configuration.

L'opération doit être suivie de la reconfiguration du module, cela va régénérer le certificat /etc/ssl/certs/eole.crt

La modification, dans l'interface de configuration du module, de l'un des paramètres constituant un certificat (nom de établissement, numéro RNE, etc...) suivie d'une reconfiguration du module ne régénère pas les certificats. Un message explicite le signale lors de l'étape de reconfiguration.

Après changement des paramètres il est nécessaire de supprimer le certificat :

# rm ­f /etc/ssl/certs/eole.crt puis lancer la reconfiguration du module :

# reconfigure

Plutôt qu'une suppression, il est possible d'utiliser la commande gen_certif.py avec l'option ­f  pour forcer la régénération (cependant, il faut que cette commande soit précédée d'une reconfiguration du module pour que les templates de configuration des certificats soient à jour).

# reconfigure

# /usr/share/creole/gen_certif.py ­f ou # /usr/share/creole/gen_certif.py 

­f nom_du_certificat pour la régénération d'un certificat en particulier.

# reconfigure

Erreur MySQL : Too many connections

Le nombre de connexions clientes maximum simultanées à la base de données MySQL est atteint.

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le S c ri b e

Suite à une restauration ou à une migration il est possible de rencontrer l'erreur suivante :

ERROR   1045   (28000):   Access   denied   for   user   'debian­sys­maint'@'localhost'  (using password: YES)

Il faut remettre à jour le mot de passe de l'utilisateur MySQL "debian-sys-maint"

En mode non conteneur il faut :

● récupérer le nouveau mot de passe MySQL :

# grep password /etc/mysql/debian.cnf

● se connecter à la console MySQL :

# mysqld_safe ­­skip­grant­tables & mysql ­u root mysql

● mettre à jour le mot de passe :

UPDATE user SET Password=PASSWORD('MOT_DE_PASSE_RECUPERE_AVEC_GREP')  WHERE User='debian­sys­maint' ;

FLUSH PRIVILEGES ;

● quitter la console :

\quit ou [Ctrl + d]

● relancer MySQL :

# killall mysqld attendre quelques secondes

# service mysql start En mode conteneur il faut :

● se connecter au conteneur bdd :

# ssh bdd

● récupérer le nouveau mot de passe MySQL :

# grep password /etc/mysql/debian.cnf

● se connecter à la console MySQL :

# mysqld_safe ­­skip­grant­tables & mysql ­u root mysql

● mettre à jour le mot de passe :

UPDATE user SET Password=PASSWORD('MOT_DE_PASSE_RECUPERE_AVEC_GREP')  WHERE User='debian­sys­maint' ;

FLUSH PRIVILEGES ;

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le S c ri b e

● relancer MySQL :

# killall mysqld attendre quelques secondes

# service mysql start

● quitter le conteneur :

# exit ou [Ctrl + d]

Importation des comptes

Le caractère "c" s'est ajouté devant le nom d'une classe

Lors d'une importation, le caractère un "c" s'est ajouté devant le nom de la classe.

Truc & astuce

Les causes d'un renommage sont généralement les suivantes :

● le nom du groupe est totalement numérique (ex : 301 pour 3eme1) ;

● il existe une homonymie au niveau des groupes (ex : niveau et classe dénommés 6g).

Comment purger des comptes obsolètes ?

La procédure d'importation ne supprime aucun compte utilisateur.

La gestion des comptes obsolètes s'effectue dans un deuxième temps à l'aide de l'outil de purge des comptes disponible dans l'EAD.

Gestion des comptes utilisateurs

Différence entre importation annuelle et mise à jour

L'importation de comptes utilisateurs utilise deux méthodes utilisables selon la situation et le besoin :

● Mise à jour des bases : ajoute les utilisateurs et groupes manquants sans modifier les groupes

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le S c ri b e

Truc & astuce

Dans le cas où l'import initial doit être réalisé en plusieurs passes (cités scolaires...), l'option importation annuelle ne doit être utilisée qu'au premier tour.

Il est tout à fait possible de relancer des importations annuelles en cours d'année afin que la prise en compte des changements d'options et des modifications d'équipes pédagogiques soient complètes.

Par contre, cela peut venir en contradiction avec des modifications "manuelles" non répercutées dans les données utilisées pour mettre à jour les comptes.

Q u e s ti o n s f ré q u e n te s p ro p re s a u m o d u le S c ri b e

G ^lossaire

LDM LDM est le gestionnaire d'affichage spécialement écrit pour LTSP.

Load balancer En informatique la répartition de charge (anglais load balancing) est la technique pour distribuer le travail entre les différents ordinateurs d'un groupe à l'insu de l'utilisateur.

Cette technique permet d'obtenir des dispositifs très puissants, et est utilisée dans les grands serveurs Internet en vue de réduire les temps de réponse, augmenter la scalabilité et la disponibilité du serveur. Le load balancer est le nom donné à ce service.

G lo s s a ir e

A ^nnexe

1 Gestion des certificats SSL

La gestion des certificats a été standardisée pour faciliter leur mise en œuvre.

Ils sont désormais gérés par l'intermédiaire des outils Creole.

Certificats par défaut

Un certain nombre de certificats sont mis en place lors de la mise en œuvre d'un module EOLE :

● /etc/ssl/certs/ca_local.crt : autorité de certification propre au serveur (certificats auto-signés) ;

● /etc/ssl/private/ca.key : clef privée de la CA ci-dessus ;

● /etc/ssl/certs/ACInfraEducation.pem : contient les certificats de la chaîne de certification de l'Éducation nationale (igca/education/infrastructure) ;

● /etc/ssl/req/eole.p10 : requête de certificat au format pkcs10, ce fichier contient l'ensemble des informations nécessaires à la génération d'un certificat ;

● /etc/ssl/certs/eole.crt : certificat serveur généré par la CA locale, il est utilisé par les applications (apache, ead2, eole-sso, ...) ;

● /etc/ssl/certs/eole.key : clé du certificat serveur ci-dessus.

Après génération de la CA locale, un fichier /etc/ssl/certs/ca.crt est créé qui regroupe les certificats suivants :

● ca_local.crt ;

● ACInfraEducation.pem ;

● tout certificat présent dans le répertoire /etc/ssl/local_ca

Détermination du nom de serveur (commonName) dans le certificat

Le nom du sujet auquel le certificat s'applique est déterminé de la façon suivante (important pour éviter les avertissements dans les navigateurs) :

A n n e x e

● sinon, si un nom de domaine académique est renseigné, le nom sera : nom_machine.numero_etab.nom_domaine_academique (exemple : amon_monetab.0210001A.mon_dom_acad.fr) ;

● le cas échéant, on utilise :

nom_machine.numero_etab.debut(nom_academie).min(ssl_country_name) (exemple : amon_monetab.0210001A.ac­dijon.fr).

Mise en place d'un certificat particulier

Pour que les services d'un module EOLE utilisent un certificat particulier (par exemple, certificat signé par une autorité tierce), il faut modifier deux variables dans l'onglet Certifs-ssl de l'interface de configuration du serveur (mode expert) :

● Nom long du certificat SSL par défaut (server_cert) : chemin d'un certificat au format PEM à utiliser pour les services ;

● Nom long de la clé privée du certificat SSL par défaut (server_key) : chemin de la clé privée correspondante (éventuellement dans le même fichier).

Dans le cas d'un certificat signé par une autorité externe, copier le certificat de la CA en question dans /etc/ssl/local_ca pour qu'il soit pris en compte automatiquement (non nécessaire pour les certificats de l'IGC nationale).

Pour appliquer les modifications, utilisez la commande reconfigure.

Si les certificats configurés ne sont pas trouvés, ils sont générés à partir de la CA locale.

Afin d'éviter des problèmes de compatibilité avec certaines applications, les certificats doivent être au format PEM . Dans le cas contraire, vous pouvez les convertir à l'aide de la commande openssl.

Conversion d'un certificat au format DER :

#   openssl   x509   ­inform   DER   ­outform   PEM   ­in   /etc/ssl/certs/mon_certif.der 

­out /etc/ssl/certs/mon_certif.pem

Création de nouveaux certificats

A n n e x e

Étapes à suivre :

1. récupérer la requête du certificat située dans le répertoire /etc/ssl/req : eole.p10 ; 2. se connecter sur l'interface web de demande des certificats et suivre la procédure ; 3. récupérer le certificat depuis l'interface (copier/coller dans un fichier) ;

4. copier le fichier dans le répertoire /etc/ssl/certs.

L'IGC fournis un fichier qui certifie les mêmes services que le fichier /etc/ssl/certs/eole.crt.

Il faut créer un nouveau fichier nom-etab.crt dans /etc/ssl/certs/ avec ce que fournis l'IGC.

Pour identifier correctement le certificat fournit par l'autorité il est recommandé de le renommer, par exemple en utilisant le nom de l'établissement et l'extension .crt.

Exemple : /etc/ssl/certs/mon-etab.crt

Le fichier /etc/ssl/certs/eole.key doit être renommé pour porter le même nom de fichier que le certificat.

Exemple : /etc/ssl/certs/mon-etab.key

Pour la prise en charge du nouveau certificat il faut renseigner l'interface de configuration du module.

Les chemins du certificat /etc/ssl/certs/mon-etab.crt et de la clé privée /etc/ssl/certs/mon-etab.key doivent être renseignés dans les onglets Certifs­ssl et Eole­sso.

Attention

Seuls les ISR/OSR des académies sont accrédités pour effectuer les demandes.

Attention l'IGC signe les certificats avec l'ACInfraEducation et non avec la racine, mais certains navigateurs ne disposent que de la racine ce qui fait qu'ils considèrent votre certificat comme non valide même lorsqu'il viens de l'IGC.

Pour palier au problème il faut concaténer le fichier /etc/ssl/certs/ACInfraEducation.pem dans votre tout nouveau certificat /etc/ssl/certs/mone-etab.crt.

Attention ce fichier doit être un fichier de type "Unix" et toujours édité en mode binaire il ne doit pas contenir de \n sur la dernière ligne.

Exemple d'édition avec vim, utilisez les commandes suivantes : :set binary

:set noeol

Puis sauvegarder votre fichier avec la commande : :x

Utilisation d'un certificat signé par une autorité

A n n e x e

Il faut suivre la même démarche que pour le certificat signé par l'IGC de l'Éducation Nationale (ci-dessus), en copiant la chaîne de l'autorité de certification dans le certificat si elle n'y est pas déjà. Il faut également copier cette chaîne dans le répertoire /etc/ssl/local_ca avec une extension .pem ou .crt pour qu'elle soit ajoutée au fichier ca.crt du serveur (cette action est réalisée automatiquement au reconfigure).

2 Gestion des comptes utilisateurs

Pour sélectionner un compte utilisateur, il faut auparavant le sélectionner via le menu Gestion/Utilisateurs/Recherche d'utilisateur de l'EAD.

Il faut choisir judicieusement les critères de recherche afin de limiter le nombre de résultats affichés et cliquer sur Lister .

Les utilisateurs apparaissent alors

Modification du mot de passe d'un utilisateur

Pour accéder au formulaire de modification de mot de passe, il faut cliquer sur le lien Changer le mot de passe associé à l'utilisateur affiché dans la liste.

A n n e x e

Pour accéder à la fenêtre d'édition d'un utilisateur, il faut cliquer sur le lien Editer associé à l'utilisateur affiché dans la liste.

Suppression d'un compte utilisateur

Pour supprimer un compte utilisateur, il faut cliquer sur le lien Supprimer associé à l'utilisateur affiché dans la liste.

La suppression devra ensuite être confirmée.

Si la case associée à la suppression des données de l'utilisateur est décochée :

A n n e x e

/home/recyclage/<année>/<mail>/<login>.

Sinon elles seront supprimées définitivement.

Remarque

Si tous les élèves d'un responsable ont été supprimés, celui-ci doit l'être également.

Attention

Le dossier /home/recyclage/ peut grossir assez vite.

L'édition groupée

L'édition groupée, disponible par le menu Gestion/Edition groupée de l'EAD permet d'effectuer des modifications sur des sélections d'utilisateurs.

Un outil de recherche (semblable à celui de l'outil Recherche d'utilisateur) permet de réaliser une présélection des utilisateurs à modifier

La sélection peut ensuite être affinée par l'utilisation des cases à cocher et des boutons Tous et Aucun.

A n n e x e

● modification du domaine mail local des utilisateurs

● modification du profil Windows des utilisateurs (comptes locaux uniquement)

● réinitialisation du mot de passe des utilisateurs selon certains critères

● activation/désactivation du shell des utilisateurs (comptes locaux uniquement)

● association d'un rôle aux utilisateurs

L'outil de purge des comptes

L'outil de purge des comptes permet de faciliter la suppression des comptes des utilisateurs n'ayant plus de lien avec l'établissement.

Il est accessible par le menu Gestion/Utilisateurs/Purge des comptes de l'EAD.

Le principe de fonctionnement de l'outil de purge des comptes est d'afficher les comptes utilisateurs qui n'ont pas été modifiés/retrouvés depuis un nombre de jours défini.

L'outil permet également de mettre en valeur les comptes susceptibles d'être des doublons (Homonymes).

Les actions possibles sur les comptes sélectionnés sont :

● supprimer (en conservant leurs données) : suppression des comptes et sauvegardes de leurs données dans /home/recyclage/<année>/ ;

● supprimer totalement : suppression des comptes et de leurs données ;

● mettre à jour (leur date de mise à jour sera mise à aujourd'hui) : les comptes n'apparaitront plus dans la liste.

Remarque

Si une importation a été réalisée, le nombre de jours proposé est calculé en fonction de la date de la dernière importation.

A n n e x e