La version 2.7 du module Scribe a apporté un domaine AD à l’ensemble des fonctionnalités historiques présentes sur le module Scribe.
Suite à la publication de la version 2.7.1 en juin 2019, beaucoup d’utilisateurs ont commencé à envisager une migration conjointe de leur Scribe d’une part, et de l’ensemble du parc de stations d’autre part.
Le Pôle de Compétences Logiciels Libres a beaucoup échangé avec des académies, des collectivités et des établissements. Un certain nombre de besoin ont émergé.
Nous avons donc ajouté :
- La gestion de la complexité des mots de passe
- La possibilité de créer une arborescence d’unités d’organisation (OU)
- La possibilité de classer automatiquement les ordinateurs et les personnes dans différentes OU
- Le support des clients Linux (Ubuntu) avec intégration au domaine
1°) Gestion de la complexité des mots de passe AD
La gestion des règles de mots de passe du domaine et la gestion fine des règles de mots de passe par groupe via la configuration du module est disponible dès la version 2.7.2 via l’installation du paquet eole-ad-dc-pso
.
Le contrôleur de domaine permet d’établir des règles pour les mots de passe. Ces règles s’appliquent à chaque utilisateur du domaine.
Ce paquet est pré-installé sur le module à partir de la version 2.8.1.
Pour les versions avant 2.8.1, vous devez :
- Mettre à jour votre module (Scribe ou Seth DC)
- apt-eole install eole-ad-dc-pso
- Saisir les configurations dans gen_config
- Exécuter reconfigure
On peut distinguer deux types de règles :
- les règles globales au domaine, s’appliquant par défaut à tous les utilisateurs ;
- les règles spécifiques à des utilisateurs ou groupes d’utilisateurs, prenant le pas sur les règles globales.
Ces règles concernent plusieurs aspects du mot de passe :
- sa complexité, en termes de caractères le composant ;
- sa longueur ;
- sa durée de validité.
L’interface de configuration du module permet de configurer les règles globales du domaine et d’associer des règles spécifiques à des groupes.
Notez que : Des exceptions peuvent être appliquées à certains comptes du domaine. Seules des commandes exécutées sur le serveur peuvent les mettre en place.
La documentation de cette fonctionnalité est disponible à l’adresse suivante :
http://eole.ac-dijon.fr/documentations/2.8/completes/HTML/ModuleSeth/co/04_Mots_de_passe_AD.html
2°) Gestion d’une arborescence d’OU
La gestion d’une arborescence d’unité d’organisation (OU) via la configuration du module est disponible dès la version 2.7.2 via l’installation du paquet eole-ad-dc-ou
.
Lors de la création d’un utilisateur, l’objet AD utilisateurs est créé dans CN=Users,<realm>. Cela vaut aussi pour les procédures d’importation de fichiers Csv, AAF, BE1d ….
De même, à l’intégration d’un ordinateur, l’objet AD est créé dans CN=Computers,<realm>
Tous les utilisateurs et tous les ordinateurs se retrouvent ‘en vrac’ dans ces 2 conteneurs AD. La création de GPO utilisateur peut être faite en utilisant les filtres par groupe. Mais ce n’est pas la pratique la plus courante…
Ce paquet permet de décrire une organisation (Niveau, Classe, Personnes, Machines, Salle) sous forme d’une arborescence d’OU.
Une fois l’arborescence crée, l’ensemble des utilisateurs/ordinateurs présent dans le conteneur par défaut pourront être classer automatiquement
Comment l’utiliser
- se connecter au serveur Scribe/Seth en ‘root’
- Maj-Auto
- apt-eole install eole-ad-dc-ou
- aller dans gen_config et renseigner les OU dans la famille ‘GPO’ (activer_ad_ou et ad_ou_classifier sont à NON par défaut)
- enregistrer la configuration
- reconfigure
Comment le configurer
Dans Gen Config, les variables de configurations sont dans l’onglet ‘GPO’. Par défaut, le paquet ne fait rien si vous n’activer par les fonctionnalités.
Modifier activer_ad_ou à oui, permet d’activer la création automatique d’une arborescence d’UO
Saisissez la liste des OU dans ad_ou_names. Les espaces sont autorisés lors de la saisie du nom d’une OU. Le caractère ‘/’ permet de créer une OU sous une autre OU
Au prochain reconfigure, les OU seront crées.
3°) Classement automatique des Utilisateurs et Ordinateur dans des OU
Après avoir saisi une liste d’OU, vous pouvez aussi configurer des règles de classification automatique.
Par défaut, le paquet ne classe rien si vous n’activer par les fonctionnalités.
Pour activer le classement automatique des utilisateurs et ordinateurs vers une arborescence d’UO, vous devez positionner la variable activer_ad_ou_classifier à oui
Pour chaque OU saisie, vous devez indiquer la règle à appliquer en saisisant 3 éléments :
- l’action à réaliser dans la liste
- Le group d’appartenance de l’utilisateur à classer
- Le “pattern” (modèle de texte) filtrant le nom de l’utilisateur ou de l’ordionateur
Pour l’action, vous pouvez choisir :
aucun : pour ne déplacer aucun objet dans cette OU
membreDe : pour déplacer les personnes appartenant au groupe définit dans la zone ‘ad_ou_group‘
membreDeENT : (sur Scribe Uniquement) pour déplacer les objets appartenant au groupe définit dans la zone ‘ad_ou_group‘, et les répartir par Niveau (divoc) et Classe (Melcf). Les sous OU seront crées automatiquement.
ordinateur : pour déplacer les ordinateurs (stations de travail) dont le nom suit le modèle ‘ad_ou_pattern‘
ordinateur_par_classe : pour déplacer les ordinateurs (stations de travail) dont le nom suit le pattern ‘ad_ou_pattern‘, et les répartir dans des sous OU Classe. Le champ ‘location’ de l’ordinateur est initialisé avec la classe. Dans ce cas, le modèle est une REGEX avec un ‘buffer’ permettant l’extraction de la Classe.
Remarques:
- Si la valeur ad_ou_pattern est vide, alors tous les objets sont sélectionnés.
- Si l’extraction de la classe est vide, alors la règle est ignorée.
- Les règles sont évaluer dans l’ordre inverse de la saisie. Les règles des OU de plus bas niveau dans l’arborescence sont donc évaluées avant les règles des OU de plus haut niveau.
- Dès qu’une règle est valide, l’utilisateur ou l’ordinateur est déplacé dans l’OU. Les règles restantes ne sont plus vérifiées pour cet utilisateur ou cet ordinateur
La documentation de cette fonctionnalité est disponible à l’adresse suivante :
http://eole.ac-dijon.fr/documentations/2.8/completes/HTML/ModuleSeth/co/eole-ad-dc-ou.html
Support des clients Linux (Ubuntu) avec intégration au domaine
Le Pôle de Compétences Logiciels Libres a souhaité accompagner nos utilisateurs utilisant des postes de travail libres.
A partir de la version 2.8, nous supportons l’intégration des postes Linux avec nos modules Seth et ScribeAD. Historiquement, il s’agissait de contribution extérieur au pôle.
Les postes Linux sont donc intégrés au domaine Kerberos fournis par le module Scribe. L’ouverture de session se fait grâce à un compte du Scribe
La documentation de cette fonctionnalité est disponible à l’adresse suivante :
http://eole.ac-dijon.fr/documentations/2.8/completes/HTML/ModuleSeth/co/integration_1.html