Architecture mise en place pour la gestion des postes clients [Installation et mise en œuvre du module Scribe en mode AD ]

Architecture mise en place pour la gestion des postes clients

Code source
Exécutables Windows
Serveur Web
Serveur Salt Master
Comptes de service Active Directory

Code source

Le code mis en œuvre pour la gestion des postes clients est accessible sur la forge EOLE dans les projets suivants :

Exécutables Windows

Les exécutables Windows des outils de base nécessaires au client sont mis à disposition sur le module EOLE dans /usr/share/eole/workstation et ses sous-répertoires par les paquets^[1] suivants :

scripts EOLE pour l'installation de SaltMinion : eole-workstation-joineole
installeurs SaltMinion : eole-workstation-minion
installeurs Veyon : eole-workstation-veyon

Serveur Web

Les fichiers nécessaires à l'installation des logiciels sur les postes clients sont mis à disposition par l'intermédiaire d'un serveur web HTTP répondant sur l'adresse suivante sans authentification : http://salt/joineole.

En fonction des services installés et activés sur le module, les fichiers seront servis soit par Apache^[2] soit par Nginx^[3].

Serveur Salt Master

La gestion des clients s'effectue grâce au service eole-workstation-manager qui implémente Salt Master.

Ce service répond sur les ports standards de SaltStack^[4] : 4505 et 4506.

Remarque

L'EAD3 qui implémente également un service Salt Master a été modifié à partir d'EOLE 2.7.1 afin d'utiliser des ports différents : 4605 et 4506.

Les fichier d'état^[5] spécifiques à la gestion des clients EOLE sont installées par le paquet eole-workstation-formula et sont stockés dans le répertoire /usr/share/eole/saltstack/salt.

AttentionRésolution DNS

Par défaut, une entrée DNS est automatiquement ajoutée dans Active Directory afin que le nom salt soit résolu avec l'adresse IP sur laquelle répond le serveur SaltMaster de gestion des stations.

Pour le bon fonctionnement du client, il faut impérativement que la station puisse effectuer cette résolution de nom.

Comptes de service Active Directory

La gestion des postes clients s'appuie sur deux comptes de service^[6] Active Directory dédiés : eole-workstation-manager et eole-workstation-reader.

Compte de jonction au domaine

Le compte de service eole-workstation-manager est utilisé pour joindre les postes au domaine Active Directory.

Initialement membre du groupe Domain Admins, ses droits ont depuis été restreints au strict nécessaire lui permettant de gérer les postes du domaine.

Son mot de passe est modifié régulièrement mais il est tout de même possible de le consulter dans le fichier : /etc/eole/private/eole-workstation-manager.password.

Compte de lecture

Le compte de service eole-workstation-reader est utilisé par Veyon^[7] pour interroger l'annuaire Active Directory, il ne possède pas de droits particuliers.

Son mot de passe n'est jamais modifié après avoir été généré, il est donc possible d'utiliser ce compte pour mettre en œuvre d'autres applications ayant besoin d'accéder à l'annuaire Active Directory.

Le mot de passe de cet utilisateur est stocké dans le fichier : /etc/eole/private/eole-workstation-reader.password.