Annexe page coin devel

De Mediase3
Aller à : Navigation, rechercher

Sommaire

Clés appliquées par logonpy

folder_keys = [('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\{374DE290-123F-4565-9164-39C4925E467B}',
'REG_EXPAND_SZ', 'Vista', 'K:\Bureau'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Local AppData', 'REG_EXPAND_SZ', '2000,XP,Vista,Seven', '%USERPROFILE%\Application Data'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Local Settings', 'REG_EXPAND_SZ', '2000,XP,Vista,Seven', '%USERPROFILE%\Local Settings'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\AppData', 'REG_EXPAND_SZ', '2000,XP,Vista,Seven', 'K:\profil\\appdata'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Cache', 'REG_EXPAND_SZ', 'Vista', 'K:\profil\\appdata\Cache'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Cookies', 'REG_EXPAND_SZ', 'Vista', 'K:\profil\\appdata\Cookies'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Desktop', 'REG_EXPAND_SZ', '2000,XP,Vista,Seven', 'K:\profil\Bureau'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Favorites', 'REG_EXPAND_SZ', 'Vista', 'K:\profil\\appdata\Favorites'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\History', 'REG_EXPAND_SZ', 'Vista', 'K:\profil\\appdata\History'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\My Music', 'REG_EXPAND_SZ', 'Vista', 'K:\Musique'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\My Pictures', 'REG_EXPAND_SZ', 'Vista', 'K:\Photos'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\My Video', 'REG_EXPAND_SZ', 'Vista', 'K:\Videos'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\NetHood', 'REG_EXPAND_SZ', 'Vista', 'K:\profil\\appdata\NetHood'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Personal', 'REG_EXPAND_SZ', '2000,XP,Vista,Seven', 'K:\Docs'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\PrintHood', 'REG_EXPAND_SZ', 'Vista', 'K:\profil\\appdata\PrintHood'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Recent', 'REG_EXPAND_SZ', 'Vista', 'K:\profil\\appdata\Recent'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\SendTo', 'REG_EXPAND_SZ', '2000,XP,Vista,Seven','%USERPROFILE%\SendTo'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Templates', 'REG_EXPAND_SZ', '2000,XP,Vista,Seven', 'K:\profil\\appdata\Templates'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Programs', 'REG_EXPAND_SZ', '2000,XP,Vista,Seven', 'K:\profil\Demarrer\Programmes'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Start Menu', 'REG_EXPAND_SZ', '2000,XP,Vista,Seven', 'K:\profil\Demarrer'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup', 'REG_EXPAND_SZ', '2000,XP,Vista,Seven', 'K:\profil\Demarrer\Programmes\Démarrage'.decode('utf8').encode('iso-8859-15'))]
default_keys = [('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\HideLegacyLogonScripts', 'REG_DWORD', 'XP', '1'),
('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpNumConnections', 'REG_DWORD', '2000,XP,Vista,Seven', '5000'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DeleteRoamingCache', 'REG_DWORD', '2000,XP,Vista,Seven', '1'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\DeleteRoamingCache', 'REG_DWORD', '2000,XP,Vista,Seven', '1'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\RunLogonScriptSync', 'REG_DWORD', 'Vista,Seven', '0'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\RunLogonScriptSync', 'REG_DWORD', '2000,XP', '1'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\WaitForNetwork', 'REG_DWORD', 'Vista', '0'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\Winlogon\SyncForegroundPolicy', 'REG_DWORD', 'XP,Vista,Seven', '1'),
('HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ShowLogonOptions', 'REG_DWORD', '2000,XP,Vista,Seven', '1'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DisableCAD', 'REG_DWORD', '2000,XP,Vista,Seven', '1'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DontDisplayLastUserName', 'REG_DWORD', '2000,XP,Vista,Seven', '1'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs', 'REG_DWORD', 'Vista', '0'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyPics', 'REG_DWORD', 'Vista', '0'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyMusic', 'REG_DWORD', 'Vista', '0'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyGames', 'REG_DWORD', 'Vista', '0'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowUser', 'REG_DWORD', 'Vista', '0'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\KnownFolder\{374DE290-123F-4565-9164-39C4925E467B}\NukeOnDelete', 'REG_DWORD', 'Vista', '1'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\KnownFolder\{B4BFCC3A-DB2C-424C-B029-7FE99A87C641}\NukeOnDelete', 'REG_DWORD', 'Vista', '1'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\KnownFolder\{FDD39AD0-238F-46AF-ADB4-6C85480369C7}\NukeOnDelete', 'REG_DWORD', 'Vista', '1'),
('HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\NetCache\NoConfigCache', 'REG_DWORD', '2000,XP,Vista,Seven', '1'),
('HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\NetCache\DisableFRAdminPin', 'REG_DWORD', '2000,XP,Vista,Seven', '2'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{645FF040-5081-101B-9F08-00AA002F954E}', 'REG_DWORD', '2000,XP,Vista,Seven', '1'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{645FF040-5081-101B-9F08-00AA002F954E}', 'REG_DWORD', '2000,XP,Vista,Seven', '1'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\WindowsWelcomeCenter', 'REG_SZ', 'Vista', 'SUPPR'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Power\PowerSettings\A7066653-8D6C-40A8-910E-A1F54B84C7E5\ACSettingIndex', 'REG_DWORD', 'Vista', '2'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Power\PowerSettings\A7066653-8D6C-40A8-910E-A1F54B84C7E5\DCSettingIndex', 'REG_DWORD', 'Vista', '2'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Power\PowerSettings\94ac6d29-73ce-41a6-809f-6363ba21b47e\ACSettingIndex', 'REG_DWORD', 'Vista', '0'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Power\PowerSettings\94ac6d29-73ce-41a6-809f-6363ba21b47e\DCSettingIndex', 'REG_DWORD', 'Vista', '0'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Power\PowerSettings\\abfc2519-3608-4c2a-94ea-171b0ed546ab\ACSettingIndex', 'REG_DWORD', 'Vista', '0'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Power\PowerSettings\\abfc2519-3608-4c2a-94ea-171b0ed546ab\DCSettingIndex', 'REG_DWORD', 'Vista', '0'),
('HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\ExcludeProfileDirs', 'REG_SZ', '2000,XP,Vista,Seven', 'Application Data;Temporary Internet Files;Historique;Temp;Credentials;Media Player;Windows Media;SystemCertificates;CrypnetUrlCache;Internet Explorer'),
('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange', 'REG_DWORD', '2000,XP,Vista,Seven', '1'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Windows NT\Printers\KMPrintersAreBlocked', 'REG_DWORD', '2000,XP,Vista,Seven', '0'),
('HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\Restricted', 'REG_DWORD', 'XP,Vista,Seven', '0'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy\{42B5FAAE-6536-11d2-AE5A-0000F87571E3}\NoGPOListChanges', 'REG_DWORD', '2000,XP,Vista,Seven', '0'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy\{42B5FAAE-6536-11d2-AE5A-0000F87571E3}\NoSlowLink', 'REG_DWORD', '2000,XP,Vista,Seven', '0'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy\{42B5FAAE-6536-11d2-AE5A-0000F87571E3}\NoBackgroundPolicy', 'REG_DWORD', '2000,XP,Vista,Seven', '0'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy', 'REG_DWORD', '2000,XP,Vista,Seven', '0'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges', 'REG_DWORD', '2000,XP,Vista,Seven', '0'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoSlowLink', 'REG_DWORD', '2000,XP,Vista,Seven', '0'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\SlowLinkDetectEnabled', 'REG_DWORD', '2000,XP,Vista,Seven', '0'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\HideFastUserSwitching', 'REG_DWORD', 'Vista', '1'),
('HKEY_CURRENT_USER\Control Panel\Colors\Background', 'REG_SZ', 'XP', '0 0 0'),
('HKEY_CURRENT_USER\Control Panel\Colors\MenuHilight', 'REG_SZ', 'XP', '49 106 197'),
('HKEY_CURRENT_USER\Control Panel\Colors\Hilight', 'REG_SZ', 'XP', '49 106 197'),
('HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\ColorName', 'REG_SZ', 'XP', 'NormalColor'),
('HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun', 'REG_DWORD', '2000,XP,Vista,Seven', '67108863')]

Mise en place icone corbeille réseau

Pour mettre en place une icône de corbeille réseau dans le poste de travail et sur le bureau, il suffit :

  • modifier les divers smbWinXP.conf afin de faire pointer la corbeille vers /home/user/corbeille_reseau
  • de déplacer le dossier corbeille_reseau de /home/user/Bureau/corbeille_reseau vers /home/user/corbeille_reseau en bouclant sur /home lors de la maj 1.5. Vu que les corbeilles existent déjà à Nantes, il suffit de penser à les déplacer si elles existent pour certains users.
  • d'imposer via logon.py deux clefs dans HKCU lorsque la corbeille est active
  • d'appliquer le corbeille.reg qui suit une fois par poste (logonpy doit pouvoir l'imposer lors de la configuration initiale du poste pour mettre en place les GPO).
  • d'appliquer une stratégie pour masquer l'icone si la corbeille est inactive

Ainsi, quand on utilise un compte du domaine (et seulement dans ce cas), on dispose d'une jolie corbeille réseau sur le bureau... :-)

Les deux clefs à imposer (si la corbeille est activé) par logon.py dans HKCU pour voir la corbeille réseau sur le bureau et le poste de travail suivent. Elles sont à supprimer si la corbeille est désactivée.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\{00000000-0000-0000-0000-000000210979}]
@="Corbeille Réseau"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{00000000-0000-0000-0000-000000210979}]
@="Corbeille Réseau"


Le corbeille.reg à appliquer une fois par poste (à l'install des GPO) est : (il est inutile de le supprimer si la corbeille est désactivée)

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000210979}]
@="Corbeille Réseau"

[HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000210979}\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,\
68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,32,\
00,00,00

[HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000210979}\InProcServer32]
"TreadingModel"="Apartment"
@="shell32.dll"

[HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000210979}\Shell]

[HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000210979}\Shell\explore]

[HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000210979}\Shell\explore\Command]
@="explorer /e,/root,K:\\Corbeille_Reseau"

[HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000210979}\Shell\Open]

[HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000210979}\Shell\Open\Command]
@="explorer /n,/root,K:\\Corbeille_Reseau"

[HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000210979}\shellex]

[HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000210979}\shellex\ContextMenuHandlers]

[HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000210979}\shellex\ContextMenuHandlers\{00000000-0000-0000-0000-000000210979}]

[HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000210979}\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000210979}\shellex\PropertySheetHandlers\{00000000-0000-0000-0000-000000210979}]

[HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000210979}\ShellFolder]
"Attributes"=hex:40,01,00,20
"CallForAttributes"=dword:00000040

et la statégie système :

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum", "REG_SZ", "2000,XP,Vista,Seven", "{00000000-0000-0000-0000-000000210979}"

Descriptif Unification des procédures de mise au domaine

Problématique:

Unifier la mise au domaine des postes, qu'ils soient neufs, clonés ou installés par unattended. Actuellement les scripts rejoin_*.vbs font plein de trucs qui ne sont plus nécessaires, se3-logonpy les fait tout seul au premier login. On peut donc faire l'adhésion par un simple netdom.

Voici une ébauche de scénarii  : c'est pratiquement ce que l'on fait avec unattended, avec en plus les scripts de Cédric pour prendre en compte les GPO et utiliser wine pour générer les cpau

un script shell update-domscripts.sh va se charger à l'installation du paquet se3-domaine de générer un certains nombre de jobs cpau : netdom.job, se3.job  :

  • on remplace le script unattended-config.bat par un script shell,
  • on le lance aussi à l'install de se3 et se3-clonage

A : intégration OEM ou poste hors domaine :

etape 0 :

- on fait le ménage dans le ldap, les reservations dhcp, et on régénère unattend.csv afin de prendre en compte le changement de nom ou l'enregistrement d'une nouvelle machine.

etape 1 :

a- si c$ existe, smbclient crée l'arborescence GPO et met en place le script shutdown.bat, puis copie tout ce qu'il faut dans c:\netinst (cpau, les jobs cpau...) pour permettre le login suivant. puis net rpc shutdown.


b- sinon, crée un job cpau appelé par un rejointse3.bat à lancer depuis le client en se connectant sur ro. celui-ci fait la même chose que ci-dessus, mais côté client.

etape 2 :

le script shutdown.bat se lance au shutdown, sort le poste du domaine, configure un compte BUILTIN\adminstrateur avec un nouveau mot de passe, force l'autologon sur ce compte.

etape 3 : le poste reboote.

etape 4 : le script netinst\integse3.bat lance le job cpau se3netdom qui, -récupère le fichier \\se3\install\site\unattend.csv (connexion en adminse3) -récupère le nom du poste à partir de son adresse mac et du fichier unattend.csv, -crée BUILTIN/adminse3, -fait la mise au domaine avec netdom, -configure le reboot en BUILTIN\adminse3 avec lancement de se3.job (netinst\etapefinale.bat) -met à jour les GPO (GPOenable.bat)

etape 5 : le poste reboote.

etape 6 : script se3.bat : -reconfiguration wpkg, -nettoyage divers, -install ocs, -reboot normal sur domaine

B : intégration depuis unattended, dans ce cas le nom du poste est déjà correct, l'étape 0 se fait au boot linux, puis on passe direct à l'étape 4

C : pré-clonage (emetteur)

etape 0 : on définit les machines à cloner dans l'interface se3. C'est indispensable si on veut tout automatiser.

etape 1 et 2 idem A

D : post-clonage (recepteurs)

etape 0 :

a- l'interface se3-tftp vérifie qu'un nom correspond bien à l'@mac du poste dans unattend.csv ou ldap. Sinon on demande et on met à jour...

b- si le clonage est lancé manuellement sur le poste, il faudrait que l'on puisse rentrer son nom et que l'info soit remontée dans le ldap et unattend.csv comme avec unattended... est-ce possible ?


puis on reprend etape 4...

travail en cours :

  • les pages reservation.php et baux.php incluent la possibilité de mettre au domaine ou changer de nom un poste.
  • génération des jobs cpau nécessaire par udpdate-domscripts.sh qui sera lancé par DEBIAN/postinst ou à la main
  • jobs cpau ( necessaires pour pouvoir crypter le password adminse3):
    • joinse3.job pour rejoindre le domaine
    • quitse3.job pour quitter le domaine
  • script shutdown.bat : lancé à l'arrêt de la machine par les gpo, il lance quitse3.job
  • script startup.bat : lancé au boot, lance l'intégration, wpkg, etc...
  • joinDomain.sh : lancé en sudo par l'interface, il copie les fichiers sur le client, et lance le reboot. Si cela foire, il génère un .bat à lancer depuis le poste.


Paquet se3-synchro

Le paquet est prêt et fonctionne. Il peut donc être testé. Il fonctionne en Etch ou Lenny sans PB.

En revanche il faut ajouter le paquet unison 2.40.16 sur le dépôt de caen, car la version des distribs Debian est antique...

Enoncé du besoin

permettre aux utilisateurs (profs et élèves) de synchroniser les répertoires perso avec leur ordinateur portable ou fixe. La synchro pourrait se faire soit :

  • sur place en connctant le portable au réseau
  • à distance,
  • via un média externe

Implications de sécurité

l'utilisation d'un vpn est trop dangereuse, un poste distant compromis crée un point d'entrée sur le réseau interne. Donc à proscrire. Le ssh avec mot de passe imposerait de mettre des mots de passes sérieux sur le se3... on oublie ! Faire du transfert de fichiers en ssh avec une authentification par clé est relativement sûr, à condition d'utiliser un shell restreint (scponly). Pb de la bande passante : faire le ssh sur un autre port que le 22 afin de pouvoir faire de la QoS, et mettre le traffic en non prioritaire. Obliger à faire un synchro locale (media amovible ou portable) avant de travailler à distance.

Solutions

  • Unison : la version 2.40.16 fonctionne sous Windows, OsX et linux, donc pas de problèmes. Elle permet d'avoir une optimisation impressionnante du transfert, et donc de travailler à distance de façon complètement transparente, unsion tourne en tâche de fond et propage les chagements à intervalle réguliers, c'est vraiment top !
  • ssh : sous mac et linux, pas de pb pour les clients, il suffit de générer les clés et de les distribuer. Pour windows, c'est plus pénible : soit on utilise plink, et il faut convertir les clés avec puttygen, soit on trouve un client qui accepte les clés openssh... A tester.
  • Côté serveur pas de souci, on définit le shell dans la base ldap : /bin/false pour interdire ssh, /bin/scponly pour limiter à unison, et /bin/bash pour les privilégiés.
  • Il faut que le serveur ssh dédié unison écoute sur un autre port que le 22 : comment faire ?


Configuration sshd :

  • connexion avec mot de passe autorisée du réseau péda,
  • connexion avec clés seulement depuis l'extérieur,

Il faut lancer un deuxième daemon sshd :

il ecoute sur 22222 et n'autorise que les clés.

mise en oeuvre

  • on fait un groupe unison dans le ldap
  • on fait une page dans l'interface où l'utilisateur peut choisir ses répertoires à synchroniser,
  • on génère des paquets à télécharger contenant un installeur avec tout ce qu'il faut (unison, ssh et la clé privée), on crée le known_hosts et authorized_keys avec la clé publique sur le serveur
  • l'installeur propose plusieurs profils :
    • synchro par média amovible : à lancer direct du média, sur l'ordi du lycée ou à la maison
    • synchro à distance : à lancer depuis le portable, au lycée ou à la maison. Idéalement à lancer dans démarrer
en mode texte et silencieux avec repeat=300 pour une synchro toutes les 5 minutes

quelles données ?

  • tout /Docs et classes\truc : le plus simple, mais peut être très volumineux, il faut un mécanisme pour imposer la synchro initiale sur place...
  • un dossier spécifique :
    • solution 1 : l'interface permet de choisir les dossiers à synchroniser, on fait un lien pour chaque vers /var/se3/synchro/truc/, qui est le dossier synchronisé. ( peut-on synchroniser les liens ?) oui avec l'option
follow = /var/se3/synchro/truc

dans ce cas tous les liens dans ce dossier seront synchronisés ( parfait !). ce qui veut dire que l'utilisateur aura sur son poste local un dossier synchro avec les dossiers qu'il a voulu synchroniser dedans.

    • solution 2 : on génére un fichier de préférences avec les dossiers à synchroniser dans le home, qui est synchronisé, et donc les modifs se propageront ( à tester )
Outils personnels
Espaces de noms

Variantes
Actions
Navigation
Support
Téléchargements
Développement
Outils logiciels
Boîte à outils