L'interface d'administration d'escolan

  • Auteurs :
    • ChristopheDubreuil

  • Version : 1.0

  • Date de création :

    09/10/2013

  • Modification : Pas de modification

  • Status : En cours d'écriture

  • Relectures :
    Relu par :
    • Non relu
  • Validation :
    Validé par :
    • Non validé

  • Destinataire :

  • Commentaires :

  • Vie du document :
    • 1.0 :

      Version initiale

      09/10/2013

Table des matières

1   Présentation

Bien que beaucoup d'actions soient automatique, ESCOLAN vous propose un interface d'administration permettant de régler les fonctions principales du système

3   Onglet Comptes

Cet onglet permet d'avoir accès à la gestion des comptes.

compte.png

Il faut vous connecter à OMICO pour accéder à la gestion des comptes

Voir Outil de gestion des comptes ( OMICO ) pour plus de détails sur le fonctionnement des comptes et de l'interface de gestion de comptes

4   Onglet état

Cet onglet permet de voir l'état des services tournant sur les machines virtuelles principales ( commr, ipr, ctrlr, ldap, proxy )

Chaque sous-menu se présente toujours de la même manière :

4.1   Onglet de redémarrage

Cet onglet historique permettait de redémarrer les machines virtuelles. Il ne fonctionne plus sur les dernières versions, et serra bientôt supprimé.

redemarrage.png

4.2   Onglet services

Cet onglet permet de voir et d'interagir sur les services principaux placés dans chacune des machines ( ctrlr, ipr, commr, proxy, ldap ).

service.png

Il est possible de redémarrer un service, de voir la charge CPU, la charge machine, ...

Pour cela, il suffit de cliquer sur le lien du nom du service

gestion_service.png

Warning

cet outil surveille automatiquement les process, et redémarre tout seul les services si cela s'avère nécessaire. Il n'est donc pas conseillé de prendre manuellement la main sur les services par l'intermédiaire de cet outil

4.3   Onglet mémoire

Cet onglet permet d'avoir l'occupation mémoire de la machine. Suivant la version installée, les informations donnés concernent la machine physique ( GHSI / UHS1 / UHS2 ), ou la machine virtuelle ( UHS3 )

memoire.png

4.4   Onglet Disques

Cet onglet permet d'avoir l'occupation disque. Suivant la version installée, les informations données concernent la machine physique ( GHSI / UHS1 / UHS2 ), ou la machine virtuelle ( UHS3 )

disque.png

5   Onglet Services

5.1   Sous-menu "impression"

Cet onglet permet d'accéder à l'outil de gestion du serveur d'impression.

impression.png

Voir documentation sur les impressions pour plus de renseignements

5.2   Sous-menu "Adressage"

Cet onglet affiche le plan d'adressage du site

adressage.png

5.3   sous-menu "phpmyadmin"

Cet onglet permet d'accéder à l'outil de gestion de MYSQL sur le serveur commr

phpmyadmin.png

Cette application est largement décrite sur le web. Nous ne proposons donc pas de mode d'emploi.

Note

Il est possible que vous n'arriviez pas à vous connecter au service phpmyadmin. Veuillez contacter la télégestion si c'est le cas.

5.4   sous-menu "Hôtes statiques"

Le DNS fonctionne de manière dynamique: Lorsqu'une machine demande une IP en DHCP, le serveur DHCP ajoute cette machine dans le DNS. Du coup, il est toujours possible de joindre une machine par son nom.

Il est parfois nécessaire d'ajouter des entrées DNS manuellement, notamment dans le cas de machine en IP fixe.

Note

il n'est pas conseillé de mettre des machines en IP fixe sur le réseau. Préférer la technique des IP réservées. Voir chapitre suivant et Préparation des stations de travail#id15 pour plus d'informations

5.4.1   Ajout d'une entrée DNS

Il suffit d'entrer le nom et l'IP de la machine à ajouter dans la zone "Ajout d'entrée DNS".

ajout_dns.png

Un contrôle de la validité de l'IP et du nom est effectué

controle_dns.png
5.4.2   Modifier une entrée dns

Il suffit de cliquer sur le crayon en bout de ligne pour éditer une entrée. La zone de saisie est alors remplie des valeurs existantes, et est prête à être modifiée.

modifier_dns.png

Un clic sur le bouton "Mise à jour" permet de terminer l'opération de modification.

valider_modifier_dns.png
5.4.3   Supprimer une entrée DNS

Il suffit de cliquer sur la corbeille à droite de l'entrée que l'on veut supprimer. On ne peut supprimer que les entrées que l'on a créé ( non système ).

supprimer_dns.png

La suppression est immédiate et ne demande aucune confirmation

5.4.4   Les entrées DNS système

Pour son fonctionnement interne, ESCOLAN a besoin d'un certain nombre d'entrées DNS. La liste des entrées systèmes ( non modifiables ) est présentée ici à titre d'information

dns_system.png

5.5   Sous-menu "Réservation d'ip fixe"

menu.png
5.5.1   Ajout d'une réservation d'IP

Il suffit de sélectionner le VLAN, et de donner les informations demandées.

ajouter.png
Un contrôle de cohérence est fait sur les informations saisies
  • cohérence de l'IP par rapport au VLAN choisi
  • cohérence du format IP
  • cohérence du format MAC
  • validité du nom DNS donné
controle_ajouter.png
5.5.2   Correction d'une réservation existante

Il suffit de cliquer sur le crayon en bout de ligne pour éditer une entrée. La zone de saisie est alors remplie des valeurs existantes, et est prête à être modifiée.

modifier.png

Un clic sur le bouton "Mise à jour" permet de terminer l'opération de modification.

valider_modifier.png
5.5.3   Suppression d'un réservation existante

Il suffit de cliquer sur la poubelle en bout de ligne pour supprimer une entrée.

Il n'est pas demandé de confirmation

supprimer.png
5.5.4   Liste des baux existants

L'interface affiche la liste des baux DHCP en cours

beaux_dhcp.png
5.5.5   Réservation d'IP depuis la liste des baux existants

Il suffit de cliquer sur le petit crayon rouge affiché à droite du bail donné par le serveur DHCP pour ajouter une réservation pour cette machine.

reservation_baux.png

L'interface remplie alors la zone de saisie ( remonter en haut de la page ) et vous demande de valider la nouvelle réservation. Vous pouvez l'éditer si besoin avant de valider.

ajout_reservation_baux.png

6   Onglet Proxy

6.1   Sur-Filtrage

proxy.png
6.1.1   Cas des lycée Éducation Nationale

Dans les lycées Éducation nationale, le filtrage est assuré par AMON. Vous pouvez utiliser le sur-filtrage pour différentier VLAN par VLAN le filtrage mis en place.

Vous ne pouvez par contre jamais outre-passer le filtrage mis en place par AMON. Il est donc conseillé de laisser le filtrage AMON de base, et d'ajouter le sur-filtrage dans proxy

6.1.2   Cas des autres établissements

Dans tous les autres établissements, le filtrage est assuré directement par le proxy, à partir d'une liste mise en place et mise à jour quotidiennement sur le serveur. Il est possible d'affiner le filtrage par défaut en sélectionnant les différentes listes appliquées. Pour l'instant, il vous faut contacter la télégestion, aucune interface n'étant prévue pour vous permettre de sélectionner directement les listes de filtrage de base.

Une interface sera mise à disposition prochainement dans l'onglet sur-filtrage.

6.1.3   Recherche à travers tous les fichiers de filtrages

Cette option permet de trouver un motif à travers les différents fichiers de configuration du filtre. Cela aide à comprendre pourquoi un site est bloqué par dansguardian

recherche.png

La fonction de recherche propose alors la liste des fichiers contenant le motif recherché, et propose d'éditer cette liste

resultat_recherche.png

Note

Pour l'instant, la recherche fonctionne, mais l'édition échoue.

6.1.4   Création d'un filtrage différencié

Il suffit de sélectionner le VLAN sur lequel vous voulez faire le filtrage différencié, et cliquer sur "Créer le filtrage différencié".

creation_differencie.png

Un message vous indique que la création est en cours

creation_en_cours.png

Le filtrage apparaît dans la liste de gestion des filtrages différenciés

liste_de_filtrages.png
6.1.5   Gestion des filtrages différenciés

Le filtrage par défaut est appliqué à l'ensemble des VLANs, à l'exception des VLANs pour lesquels il existe un filtrage différentié.

6.1.5.1   Modification d'un filtrage différentié

Il est possible de modifier la configuration du filtrage ( que ce soit par défaut ou différentié ). Pour cela, cliquez sur le crayon à droite du filtrage que vous voulez modifier

modifier_diff.png

Un onglet d'édition apparaît alors, vous permettant de modifier chacun des fichiers de configuration du filtrage pour le VLAN concerné

modif_banned.png

La modification se passe dans une interface dédiée.

edit.png

Après modification, le service de filtrage est redémarré pour appliquer les modifications effectués. Le système retourne alors à la page d'accueil du filtrage

redem_dansguardian.png

Il est possible d'obtenir de l'aide sur la fonction du fichier, et la syntaxe. Cette aide est donnée sur une fenêtre séparée afin que vous puissiez la conserver sous les yeux lors de la modification du fichier.

aide_banned.png
6.1.5.2   Suppression d'un filtrage différencié

Il est aussi possible de supprimer un filtrage différencié si vous l'avez ajouté en cliquant sur la corbeille. Vous constatez qu'il n'y a pas de corbeille pour le filtrage par défaut ( Impossible de supprimer le filtrage par défaut )

Gestion_differencie.png

La suppression, comme la création, prend une vingtaine de secondes.

6.2   Filtrage horaire

6.2.1   Principe de fonctionnement

Fonctionnement retenu pour le filtrage horaire :

Par défaut, aucun blocage horaire n'est en place.

Si on le désire, on peut restreindre les accès internet VLAN par VLAN, et donner les créneaux horaires pendant lesquels l'accès internet est autorisé.

Il est possible de restreindre l'accès sur n'importe quelle page horaire, sur n'importe quel jour de la semaine.

Les plages horaires configurées sont des autorisations d'accès. L'usager est autorisé de telle heure à telle heure, et non des interdictions.

6.2.2   Exemple de construction d'une plage horaire

Nous désirons interdire l'accès de l'internat à internet pendant les heures de cours, et pendant la nuit, après minuit.

Warning

On travaille en logique inverse, à savoir qu'on donne les plages horaires autorisées, et non les plages interdites

Le cahier des charges est le suivant

Accès internet

       du Lundi au vendredi de 6h30 à 8h00 puis de 18h30 à 23h00

       le Samedi de 6h30 à 8h00 puis 12h30 à 24h00

       le Dimanche de 00h00 à 23h00

donne

       MTWHF 06:30-8:00 MTWHF 18:30-23:00 A 06:30-08:00 A 12:30-24:00 S 00:00-23:00

Note

Il est possible que les plages d'autorisation se recouvrent. Cela ne gène pas le fonctionnement

On aurait pu écrire :

MTWHFA 06:30-8:00 MTWHFA 18:30-23:00 A 12:30-24:00 S 00:00-23:00

Le samedi (A) , la plage de 18:30 à 23:00 est étendue à 12h30 à 24:00

Warning

La syntaxe horaire suivante fonctionne

MTWHF 06:30-8:00 18:30-23:00 SA 06:30-08:00 12:30-24:00

cependant, il y a un piège :

Elle ne signifie pas "du lundi au vendredi de 6h30 à 8h00 puis de 18h30 a 23h00" et "du samedi au dimanche de 6h30 à 8h00 puis de 12h30 a 24h00"

En effet, la deuxième tranche horaire et la quatrième n'ont pas de spécification de dates. Du coup, elles sont considérées comme s'appliquant à tous les jours.

La signification de cet horaire est donc la suivante :

"du lundi au vendredi de 6h30 à 8h00", "du samedi au dimanche", et tous les jours de "12:30-24:00" ( le 18:30-23:00 étant inclus dans le 12:30-24:00 )

Warning

Du lundi au vendredi de 00:00 à 23:59 et dimanche de 8:00 a 18:00 s'écrit :

MTWHF 00:00-23:59 S 08:00-18:00

et non MTWHF S 08:00-18:00 --> Cette ACL est fausse, et n'autorise l'accès que le dimanche.

Il est IMPÉRATIF d'avoir toujours une alternance "LETTRES" "CHIFFRES". Sinon, le filtrage horaire est inopérant.

La syntaxe pour les jours est la suivante

S - Sunday    : dimanche
M - Monday    : lundi
T - Tuesday   : mardi
W - Wednesday : mercredi
H - Thursday  : jeudi
F - Friday    : vendredi
A - Saturday  : samedi
6.2.3   Ajout d'un filtrage horaire

Il suffit de définir sur le VLAN qui vous intéresse la plage horaire de filtrage comme défini au-dessus

horaire_ajout.png

Note

Si vous sélectionnez un VLAN sur lequel il y a déjà un filtrage horaire, la nouvelle valeur saisie écrasera l'ancienne valeur.

Warning

Il n'y a pas de contrôle effectué sur la syntaxe de la plage horaire. Une erreur de syntaxe dans la plage horaire peut provoquer des coupures internet à des heures non prévus.

6.2.4   Modification d'un filtrage horaire

Il suffit de cliquer sur le crayon à droite de la ligne définissant le filtrage horaire dans le VLAN concerné, dans l'onglet "Créneaux horaires en place"

horaire_modifier.png

La zone de saisie est alors remplie des éléments à modifier. Il ne reste plus qu'à cliquer sur "Mise à jour" pour valider les modifications.

horaire_mise_a_jour.png
6.2.5   Supprimer un filtrage horaire

Il suffit de cliquer sur la poubelle à droite de la ligne définissant le filtrage horaire dans le vlan concerné, dans l'onglet "Créneaux horaires en place"

horaire_supprimer.png

La zone de saisie est alors remplie des éléments à modifier. Il ne reste plus qu'à cliquer sur "Mise à jour" pour valider les modifications.

6.3   Gestion des caches de téléchargement

6.3.1   Présentation
6.3.1.1   Problème constaté

Lorsque les stations se mettent à jour ( Windows, Linux, Mac ), elles vont chercher sur le web de grandes quantités de fichiers qu'elles téléchargent.

Le cache de SQUID est optimisé pour améliorer la navigation sur internet. Par contre, il n'est pas conçu pour assurer un cache de grand volume pour les updates logiciels.

Les mises à jours les plus importantes concernent :

  • les systèmes d'exploitation ( Windows / Linux )
  • les antivirus
6.3.1.2   Solution apportée

L'idée est d'utiliser un "redirecteur" dans le proxy mis en place dans l'établissement, lequel est chargé de cacher les fichiers de mise à jours provenant des sites.

6.3.1.3   Principe de fonctionnement du re-directeur ( technique )

Lorsqu'une URL est demandée, elle est automatiquement analysée par le re-directeur.

Ce dernier détermine en fonction de l'URL si le fichier est potentiellement à cacher ou non.

Si le fichier n'a pas lieu d'être caché, le filtre rend la main en fournissant l'URL non modifiée. Le proxy va alors chercher le fichier sur internet et le donne au client ( si bien entendu le fichier en question n'est pas en contradiction avec les autres règles du proxy).

Par contre, si le fichier a lieu d'être caché, le re-directeur se comporte de la manière suivante :

  • Si le fichier est déjà présent dans le cache, le re-directeur ré-écrit l'URL pour la faire pointer sur le cache local contenant le fichier. Le proxy va alors télécharger le fichier sur le cache, et le donne au client qui l'a demandé.
  • Si le fichier n'est pas encore présent dans le cache, le re-directeur rend la main sans modifier l'URL, afin que le client puisse télécharger le fichier demandé, et le télécharge en tache de fond.

Le téléchargement se fait à vitesse limitée afin de ne pas monopoliser la bande passante du site. ( La limitation de vitesse est réglable via l'interface d'administration, comme expliqué plus loin ).

Lorsque le fichier est disponible, le re-directeur le stocke sur le disque, et lors du prochain appel à ce fichier, il serra accessible via le cache.

Note

La conséquence de ce fonctionnement est que tant que le fichier n'est pas complètement mis en cache, le re-directeur rendra la main au proxy avec l'URL non modifié, afin que le client puisse télécharger son fichier. S'il n'en était pas ainsi, le re-directeur devrait soit faire patienter le proxy le temps du téléchargement, qui peut être très long, et conduirait invariablement à des timeout.

Le serveur apache de proxy assure la distribution locale des fichiers cachés.

6.3.1.4   Les sources de logiciels cachées

Le cache de téléchargement gère en dur les sources suivante :

  • les mises à jour de Windows
  • les mises à jour des antivirus suivant : Kaspersky / Avast / Symantec / Trend Micro
  • les mises à jour Apple
  • les mises à jour Adobe
  • les mises à jour Linux (.deb et .rpm)
  • les mises à jour de Air
  • les mises à jour de Flash
  • les mises à jour de Google
6.3.2   Configuration du cache

[ATTACH]

Bien qu'il soit possible de les modifier, les informations présentes ici ne doivent pas être modifiées. Elles sont mises en place automatiquement par le système de configuration. Si vous modifiez ces valeurs, elles seront appliquées, mais non sauvegardées, et seront écrasées à chaque mise à jour du système, même mineure.

Si vous pensez que les valeurs par défaut ne sont pas bonnes, contactez la télégestion afin de les faire modifier de manière pérenne.

Toutes les explications sont données à titre indicatif, et ne doivent pas être modifiés via l'interface d'administration.

6.4   limitation de la bande passante de téléchargement du cache

Par défaut, le débit du cache de téléchargement est limité à 1/4 de la bande passante totale du site

6.5   Nombre de fils

Le nombre de fils est calculé automatiquement par un script, lancé la nuit, qui analyse les logs, et cherche les logs signifiant que SQUID n'a plus de re-directeurs disponibles.

Si un tel log apparaît, le script augmente le nombre de re-directeurs, et le proxy est automatiquement reconfiguré pour prendre en compte cette modification.

Lorsque tous les re-directeurs sont occupés par des téléchargements, le proxy ne l'utilise plus ( pour ne pas être obligé d'attendre qu'un re-directeur se libère ), et va directement chercher le fichier à télécharger.

6.6   Occupation disque

Le cache arrête de fonctionner lorsque le disque est occupé à plus de 85 % ( afin de ne pas risquer de saturer complètement le disque ).

Il est possible de régler cette valeur en modifiant la variable modulr "applications.squid.updxlrator.max_disk_usage".

Par défaut, cette variable est fixée à 85%

Catégorie Administrer

AdminDocs: IPR4014/L'interface d'administration (last edited 17/11/2017 16:04:59 by FredericEnard)