Observation et prise en main des postes clients
L'observation et la diffusion des postes clients s'effectue grâce au logiciel Veyon[1].
Le logiciel est automatiquement installé et configuré sur les postes clients par le client EOLE sauf si cela est explicitement désactivé dans l'interface de configuration du module.
Dans la configuration proposée, seuls les enseignants (membres du groupe professeurs) et les administrateurs (membres du groupe Domain Admins) sont autorisés à utiliser l'application.
Ces utilisateurs peuvent visualiser l’écran de tous les postes inscrits dans la même classe (voir la gestion par salle) que leur poste et démarrés.
La configuration par défaut permet uniquement la visualisation de l’écran, sans interaction. Il est possible d’autoriser la prise en main à distance (accès au clavier et à la souris du poste distant) en passant la variable Pouvoir prendre le contrôle de postes dans la salle et visualiser les postes non listés à oui.
Attention
L’activation de la fonctionnalité de prise de contrôle des postes de la classe entraîne également la possibilité d’accéder aux postes hors de la classe, Veyon permettant de sélectionner le poste ciblé en renseignant une IP.
Bien que seuls les postes de la classe soient listés, l'adresse IP saisie peut pointer vers n'importe quel autre poste.
Écran
- 1
Activer la jonction automatique au domaine
L’activation automatique de jonction au domaine permet d’appliquer aux clients salt enregistrés un état qui exécute l’opération de jonction au domaine si le poste est encore hors-domaine.
Conseil
L’application de l’état par le client salt nécessite que celui-ci dispose du mot de passe d’un compte avec les droits suffisants pour l’opération de jonction au domaine. Le mot de passe de ce compte est modifié au reconfigure pour limiter l’impact de sa diffusion. Il est conseillé de s’assurer que les reconfigure sont exécutés fréquemment si cette option est activée.
Attention
Cette option n’est pas compatible avec l’option d’acceptation automatique des certificats des clients salt.
- 2
Activation de Veyon
Activée par défaut, l’application Veyon peut être désactivée si les fonctionnalités de visualisation et prise de contrôle à distance ne sont pas souhaitées
- 3
Groupes autorisés à accéder aux fonctionnalités de Veyon
Un filtre utilisant les CN (common name) des groupes permet de limiter l’accès aux fonctionnalités de Veyon aux membres des groupes correspondants
- 4
Restriction des fonctionnalités de Veyon
La fonctionnalité de prise de contrôle à distance est désactivée par défaut, contrairement à la visualisation.
- 5
Activer la configuration de Firefox
Permet le configuration du proxy et la diffusion du certificat pour l’utilisation du mode MITM.
Gestion par salle
L'outil propose une gestion par salle afin que seuls les postes de la salle où l'enseignant s'est connecté lui soient proposés.
Gestion par salle avec l'attribut location
Pour affecter un poste client à une salle, il faut renseigner le nom de la salle dans l'attribut location du compte de station.
Cela peut s'effectuer en saisissant l'emplacement dans les propriétés de chacune des entrées station dans les outils RSAT[3].
Truc & astuce
Si une règle de nommage (exemple : préfixe) est déjà appliquée aux postes clients, il sera possible de scripter la modification de l'attribut.
oldIFS=$IFS
IFS=$'\n' # declare only \n as separator
for computer in $(ldbsearch -H /var/lib/samba/private/sam.ldb '(&(objectClass=computer)(CN=techno*))' dn | grep ^dn) ;do
cat >> /tmp/location.ldif <<EOF$computerchangetype: modify
add: location
location: technologie
EOF
doneIFS=$oldIFS # restore default separator
ldbmodify -v -H "/var/lib/samba/private/sam.ldb" /tmp/location.ldif
Dans le cas d'un module Scribe en mode AD, le script sera à exécuter dans le conteneur addc (ssh addc).
Gestion par salle via OU
À partir d'EOLE 2.8.1, il est possible de gérer des salles dans Veyon via l'utilisation d'OU.
Le résultat est un classement automatique des ordinateurs par classe/salle, en fonction de leur présence dans des OU prédéfinies.
Passage en mode "OU"
Dans l'onglet workstation en mode expert, passer la variable Déduire la salle des ordinateurs via à la valeur OU (cf image ci-dessous).
Pour retrouver les ordinateurs dans la même salle que son ordinateur, Veyon listera les ordinateurs rangés dans la même OU.
ÉcranGestions des salle par OU
- 1
veyon_computer_organization_type
Déduire la salle des ordinateurs via :
Création des OU via les outils RSAT
Depuis un poste Windows intégré au domaine, exécuter Utilisateurs et ordinateurs Active Directory puis créer des OU comme sur l'image ci-dessous.
Par défaut les ordinateurs sont recherchés à la racine de l'annuaire.
Veyon considère chaque nouvelle OU comme un emplacement (une salle/classe). En plaçant les ordinateurs dans ces OU vous leur attribuez un emplacement.
Veyon affichera les ordinateurs d'une même salle/classe.
Personnalisation de la configuration de Veyon
La configuration proposée par défaut sur le module impose certains choix fonctionnels (utilisation de l'attribut location, demande de consentement, ...) qui ne correspondent pas forcément aux attentes ou aux habitudes de travail de tous.
Il est possible de remplacer le template jinja globalement par une version personnalisée en plaçant votre fichier dans le répertoire (à créer) : /srv/salt/eole-workstation/veyon/config/files/Windows.
La configuration peut également être personnalisée pour une seule station en plaçant le fichier dans un répertoire au nom du FQDN de la station, par exemple : /srv/salt/eole-workstation/veyon/config/files/PC-326473.dompedago.etb1.lan/veyon-config.json.
Truc & astuce
La commande suivante permet de forcer le déploiement de la nouvelle configuration sur tous les clients :
salt '*' state.apply eole-workstation.veyon
Le fichier README.rst situé à la racine du projet eole-workstation-formula décrit les différents états[6] mis à disposition :
https://dev-eole.ac-dijon.fr/projects/eole-workstation/repository/eole-workstation-formula