Sambaedu3

De OpenWikiBSD
Aller à : navigation, rechercher

Présentation

Contributeurs (modeste pour moi,PS, incontournable pour lui,PC) au projet.

SambaEdu3 ou Se3 est un serveur de fichiers (mais aussi d'annuaire, d'impression, de contrôle des clients, de descente d'applis,etc...) sous licence GPL développé par l'académie de Caen au départ, puis d'autres (Créteil, Versailles, ...).

Le projet existe depuis de nombreuses années est parfaitement stable, tourne sur de gros établissements (plusieurs centaines de postes, plusieurs serveurs, en cluster ou pas,...).


Sans paraphraser la doc, on peut dire rapidement que se3 joue les rôles suivants :

  • Service d'annuaire
  • Partage de fichiers
  • Partage d'imprimante
  • Sécurisation des postes clients
  • Clonage des postes clients
  • Réinstallation des postes clients Windows
  • Déploiement d'applis sur les postes clients
  • Vérification des configurations matérielles et logicielles des postes clients
  • J'en ai oublié..

Il semble préférable de renvoyer vers la page du projet: SambaEdu3


Argumentaire en faveur de se3 / Idées opposables à se3 et réponses adhoc

Une partie de ces arguments m'ont été soufflés dans l'oreillette par Gilles Touzé et Mr Plouf; qu'ils en soient remerciés.

Se3 est-ce un projet pérenne ?

J'ai installé mon premier serveur se3 en septembre 2002 en remplacement des serveurs Netware 4.11. Donc plus de 12 ans (pour moi) et quelques années de plus pour le projet en lui-même (1998 pour la version 0.1). A ce jour, plus de 500 serveurs se3 existent en production (dernières données en ligne) Plusieurs académies et collectivités supportent le logiciel, soit en l'appuyant officiellement , soit en fournissant un support, soit en dédiant des personnels à son développement.

  • Académie de Caen : tous les collèges des 3 départements de la Basse-Normandie (150) et 90 % des lycées (64), soit 208 EPLE
  • Académie de Strasbourg : officiellement engagée
  • Académie de Clermont-Ferrand  : sur l'ensemble des collèges (164) et dans plusieurs lycées
  • Académie de Versailles : a consacré des personnes ressources au projet et a déployé dans les collèges et lycées
  • Académie de Créteil : a officiellement déployé dans le cadre de tests

Donc, se3 est bien un projet pérenne.

Comment gérer votre départ éventuel ?

Voir ci-dessus. L'outil est assez largement déployé dans les établissements; la probabilité de trouver une personne ressource susceptible de maîtriser la solution est donc relativement élevée. (Nous avons ici, un personnel de direction qui a, dans ses fonctions antérieures, géré un serveur se3).Malgré tout, la probabilité n'étant pas un argument suffisant, il faut alors considérer la solution se3 et ses qualités relatives aux usages de l'EN pour en voir les avantages; cf paragraphe traitant de ce point.

Donc, mon départ n'est pas bloquant pour la pérennité du SI du lycée, et c'est sans compter la simplicité d'usage; voir plus loin.

Se3, qu'est-ce que c'est en vrai ?

Se3, ou SambaEdu3 est une solution libre de serveur pédagogique sous linux (Debian). Il utilise les technologies de l'opensource. Il comporte une interface web permettant l'administration du dispositif par une personne non initiée à linux. Il offre à la communauté éducative un service complet de gestion du réseau (gestion de ressources, des postes clients et des imprimantes).

En détail

(Tiré de la documentation Se3 officielle)

  • L'installation se fait simplement au moyen de l'installateur officiel DEBIAN dans un mode automatique qui se charge de l'installation du système et de la configuration de SambaEdu sur ce système.
  • Les professeurs disposent d'un module de distribution et de ramassage de travaux.
  • L'administrateur réseau dispose d'outils puissants de supervision du parc informatique.

Il peut ainsi :

  • Gérer de façon centralisée les bureaux, les menus démarrer des postes clients, mais également mettre en place des stratégies de verrouillage dynamique des postes en fonction des utilisateurs qui se connectent dessus !
  • Gérer de façon centralisée les imprimantes réseau
  • Gérer finement les droits sur les fichiers et créer des ressources adaptées aux activités pédagogiques (par ex : travaux en classe, TPE, IDD...)
  • Générer automatiquement un annuaire (LDAP) à partir de la base de données de l'administration (SIECLE - STS) afin de bénéficier de comptes individuels nominatifs et de les intégrer dans la structure pédagogique (création automatique de ressources par classes pour accueillir des travaux individuels ou collaboratifs).
  • De plus, l'annuaire permet l'interopérabilité du système avec d'autres produits libres, par exemple les serveurs de communications SLIS ou LCS.
  • Maintenir automatiquement un inventaire précis du parc informatique, aussi bien matériel que logiciel, et recevoir des alertes automatiques si tel ou tel logiciel est installé ou non (par ex : antivirus, office, etc...) ou si une modification est intervenue sur le matériel (par ex : vol d'une barrette mémoire). Grâce à cet inventaire, il est également possible de remonter aux collectivités un certain nombre d'informations qui les concerne sur le parc matériel existant.
  • Déployer les applications sur les postes clients (de nombreuses applications déployées automatiquement).
  • Déployer automatiquement les mises à jour de Microsoft Update
  • Contrôler finement les stations clientes (arrêt - démarrage - prise de contrôle à distance - log de connexions).
  • Effectuer le Clonage des postes clients.
  • Gérer un parc hétérogène de client Windows, Linux, Apple.

Se3, Est-ce fiable ?

Donc, se3 consiste en un ensemble d'outils qui s'appuient sur une distribution Linux.

Linux ? C'est ce qu'utilisent pour faire tourner leurs serveurs : - Google - Facebook - Les rectorats

Quant à la surcouche Se3, à matériel identique, elle ne m'a jamais posé plus de soucis qu'un serveur Windows,...voire même plutôt moins. Ca ronronne tout seul ces trucs là.

Se3 est-ce utilisé largement ou assez confidentiel ?

Les serveurs Linux sont majoritaires dans les EPLE avec la suite scribe+amon+horus. Ensuite, se3 ou Windows; c'est assez dépendant des politiques académiques qui ne sont pas régulières non plus.

Se3 c'est juste un ensemble de scripts à ce qu'on m'a dit

Et quand bien même ? Le meilleur spécialiste windows de l'académie, formateur, propose des stages exclusivement dédiés aux scripts. Sous Windows! La seule différence (majeure) est que sous Se3, les scripts sont développées et maintenus par une équipe et mis en commun automatiquement; chaque ASR n'a pas a réinventer la roue perpétuellement; il a bien mieux à faire ! Bref, et alors que nos scripts, au sein du lycée, sont totalement spécifiques, les outils se3 sont mutualisés et progressent régulièrement.

En terme de pérennité et pour votre succession : Windows, c'est plus simple, tout le monde maîtrise, alors que Linux, non.

Faux! Ce que l'utilisateur maîtrise, c'est juste l'interface graphique; dès qu'on passe la porte de la complexité en décochant la case Utiliser les paramètres simplifiés, on perd le prétendu administrateur réseau.

A moins d'avoir déja appliqué des GPO, déployé DFS, ou géré les OU d'un AD,... il est illusoire de croire qu'on maîtrisera un serveur Windows.

De la même manière qu'avec un Unix tout frais, on perd le débutant. IL faut garder en tête qu'administrer serveur et réseau demande une connaissance profonde des concepts et technologies.

Mais il faudra faire passer les utilisateurs sous Linux, alors ?

Absolument pas; ou bien il aurait fallu faire passer les chefs d'établissement, les secrétaires, les intendants,... sous Linux car leurs serveurs (Horus,Amon,..) sont sous Linux. Et bien non.

Ca va poser un problème avec les logiciels Windows, non ?

Dans l'ensemble non! Mais certains logiciels vont néanmoins poser souci; en voici la liste :

  • L'antivirus académique ne fonctionne correctement que sous Windows. PLusieurs solutions sont possibles pour résoudre ce problème:
    • Utiliser une station comme serveur antivirus. Solution quasi-gratuite (récupération/détournement..) largement utilisée.
    • COmme le serveur se3 serait virtualisé, on peut monter une seconde machine virtuelle, serveur Windows qui fera serveur antivirus; l'économie est encore plus importante que dans le premier cas; on économise la consommation électrique de la station cliente.
  • Les logiciels utilisant une clé électronique (dongle USB)

On peut utiliser la même solution que pour le problème précédent.


C'est gratuit, au moins ?

Pour sûr ! On fait même de sacrés économies !

On touche les licences d'accès client (CAL) pour serveur Windows à 8€HC pièce, soit pour nos 500 postes : 3900€HT plus 1600€HT de licence du serveur Windows (Il en faut une quand même pour l'antivirus);

6600€ TTC d'économie directe en logiciel!!!

Mais si on part sur cette solution, vous vous engagez à rester, et à ne pas muter

Et pourquoi ?

  • Et pourquoi un admin Linux serait soumis à des contraintes qui ne pèsent pas sur un admin Windows ?
  • Et pourquoi un prof s'engageant dans la mission (sacerdoce ?) d'admin serait-il plus limité dans son évolution de carrière qu"un prof autrement investi (voire pas du tout) ?
  • Et pourquoi un prof serait-il plus limité dans ses mutations qu'un ....chef d'établissement ? ;-)

En fait, on pourrait imaginer de demander de la stabilité à un admin réseau, et ce serait même une contrainte forte avec obligation de tuilage (transmission des connaissances) Ce serait même une excellente idée..Si... le métier était reconnu avec un cadre légal et pas un bricolage local soumis aux contraintes locales.

Maintenant, les admin réseau sont souvent des personnels stables et investis qui mutent moins souvent que la moyenne (et que les personnes de direction), statistique précise mesurée au doigt mouillé au vent..

Et si on suivait juste la loi ??

Attentes du personnel de direction

  • appétence pour les technologies est en général faible
  • souci de bonne gestion très fort
  • aspect logiciel libre qui ne parle pas du tout à nos "élites"
  • Pense souvent qu'un carnet de chèque est l'arme la plus efficace pour régler les problèmes informatiques


Uniformisation des environnements

On a une gestion simple des utilisateurs (compatibilité avec les serveurs Rectoraux), qui retrouvent ainsi un environnement personnalisé sur n'importe quel poste de l'établissement

Gestion en interne suffisante

On a une gestion de l'informatique en interne, avec le suivi qui va avec, ce qu'une société commerciale ne proposerait pas

Services rendus meilleurs à moyens humains constants ITIL/CMMI

Enfin, cet outil permet aux personnes ressources TICE de l'établissement d'être en capacité de faire correctement leur travail, sans augmentation des moyens humains, et cet argument devrait être le principal.

Comparaison WS-Se3

Alors pourquoi prendre l'un plutot que l'autre? Balayons quelques-uns des aspects fondamentaux d'une solution serveur actuelle.


Sous le capot

  • gestion automatique du déploiement des logiciels
  • Gestion auto des mises à jour
  • Gestion des utilisateurs
  • Surveillance du matériel
  • Maintenance du matériel

tout ceci dans le strict respect de usages de l'Education Nationale ; avec lui, l'usage du parc informatique est réellement optimisé, sans aucun moyen supplémentaire ; il peut également s'adapter aux pratique locales, et est constamment maintenu et mis à jour sous la responsabilité des Rectorats qui le promeuvent.

Bref, c'est une vraie réussite de l'Education Nationale (même s'il s'agit d'initiative locale), et il n'y en a pas tellement. J'ai 160 vieux clous dans mon collège, et tous sont en fonction, sous la bannière fédératrice du se3 ; chacun est maintenant habitué à un environnement unifié, et on n'a plus à gérer des habitudes hétéroclites, ce qui supprime beaucoup de stress chez les utilisateurs, malgré l'obsolescence du matériel.


Installation virtualisée du Se3

La doc de Denis B. expliquant comment mettre un se3 en fonction de manière à bénéficier de la haute disponibilité est remarquable,mais semble nécessiter beaucoup de maîtrise et connaissances. Je vais expliquer comment rendre un se3 hautement disponible en utilisant des outils équivalents à ceux de Denis, mais packagés afin qu'ils fassent le boulot tout seuls ou presque.

Installation de l'outil de virtualisation

ProxMox

Voilà, c'est fait! Pour le stockage des VM, soit un SAN home-made redondant, soit un SAN home-made facile à administrer mais pas redondant.

Architecture de la solution de virtualisation

Je suis parti sur une structure en 3+1.

3 hyperviseurs et 1 stockage partagé.

On peut se rabattre sur 2+1, mais il faut prendre quelques précautions.

Chaque hyperviseur est un proxmox (3.2 à cette heure) monté en cluster.

Le stockage partagé est un FreeBSD (parce que j'aime vraiment ZFS!!!) en RAID10.

Solution de repli en 2+1

Un bug dans la solution de cluster (Quorum en fait) pose des soucis potentiels si on part de 2 hyperviseurs; la solution à 3 est donc préférable. Mais rien n'oblige cette troisième machine à être du gabarit des 2 autres; une machine récente et fiable sans être forcément puissante (elle n'hébergera rien, aucune VM) peut être le troisième membre du cluster (voire une VM au pire)

Installation du se3

  • On déclare une machine KVM sur ProxmoX ou bien un container .

Pourquoi KVM et pas OpenVZ ?

  • Parce que les containers OpenVZ ne peremttent pas d'avoir les partitions que l'on souhaite, xfs en particulier.

Pourquoi OpenVZ et pas KVM ?

  • Parce que les containers OpenVZ sont légers et donc plus performants. Quant aux partitions, on rmeplace avntageusement de nos jours xfs par ext4, quotas compris :

Se3 en KVM

Téléchargez l'ISO

  • Noyau 3.2/2.6
  • Disque VirtIO, NOCache taille 2 To, mode qcow2 (C'est du thin provisionning, rappelez-vous; le fichier de la VM croit en fonction des besoins, bref c'est une limite maximale)

2To semble être la limite pour la taille d'un disque en qcow2.

  • CPU host
  • Carte VirtIO en mode bridge avec l'adresse MAC de votre choix.


  • Interface Bridged (vmbr0)


On n'utilisera pas le DI maker : [1], car nous sommes en mode container, donc une installation manuelle s'impose : [2]

Se3 en CT : Oui, Plus facile, plus simple est le côté obsc... est le Container !

  • Faites ce que vous voulez comme réglage, tout est modifiable plus tard, CPU,RAM, taille des disques, partitions,...Have FUN ;-)
  • Choisissez le template debian-6-amd64
  • Faites un tour sur l'installeur SE3 : [3]
    • Interface réseau : venet0:0
  • Copier le fichier preseed obtenu dans /etc/se3/setup_se3.data, installez le proxy apt et lancez l'install :
ifconfig eth0 up
dhclient eth0
mkdir /etc/se3
echo 'Acquire::http { Proxy "http://apt:3142"; };' | tee /etc/apt/apt.conf.d/01apt-cacher-ng-proxy
cd /root
wget http://dimaker.tice.ac-caen.fr/diSE3/se3scripts/install_phase2.sh
chmod +x install_phase2.sh
./install_phase2.sh

Gestion de la perte de ...

Evolutivité

Disque

Je fais le test de commencer le CT avec 1 To de disque et de changer la config pour passer à 5 To.

Côté Hardware

Concept Windows 20XX Sambaedu3 Remarques
Installation facile de l'OS serveur sur un matériel standard (pour test) ou évolué (en production) Assez facile pour les pilotes, mais demande une réflexion préalable pour les partitions pour ne pas se retrouver avec un manque de place chronique Triviale désormais avec le CD d'installation automatique, dès lors que les matériels sont reconnus
Annuaire des utilisateurs Active Directory LDAP Totalement indispensable, l'annuaire DOIT être clair, simple utilisable mais néanmoins configurable si besoin est. Match nul
Import automatique des utilisateurs , création des repertoires et attributions des droits adhoc Impossible sans outil tiers ou script maison non-maintenable 4 clics de souris pour les 2 fichiers Sconet+STS Sans commentaire
En début d'année, migration des répertoires des élèves (et par leur suppression), nettoyage de l'annuaire et des comptes orphelins Impossible sans outil tiers Automatique en cliquant la bonne case Sans commentaire
Gestion de la sécurité des postes clients Relativement facile avec les clients Windows; impossible avec les autres (Linux,Mac) Assez simple dans les trois cas
Interface de gestion du serveur complète (en termes de fonctionnalités) modulaire, susceptible d'être déléguée pour partie et utilisable par un enseignant (et pas seulement par un informaticien) Pas à ma connaissance sur l'ensemble des points en W2000 (moins vrai en W2003)
Gestion des travaux d'impression, des quotas et des permissions Tout cela est possible... à la main A l'exception des quotas (en cours de développement) tout est configurable
Ensemble logiciel (OS serveur+ addons) qui reste d'une complexité raisonnable au regard des fonctionnalités attendues, des décharges horaires des profs et de leurs compétences informatiques Irréaliste à mon sens (*) Développé par et pour des professeurs