Fonctionnement du module Scribe en mode AD

Pour jouer son rôle, le module Scribe repose sur de nombreux projets libres.

La plupart des services proposés sont activables, désactivables, pour construire un serveur pédagogique sur mesure.

Architecture du module

Afin de faire évoluer le module Scribe historique sans perte de fonctionnalités, les services Active Directory[1] ont été ajoutés dans un conteneur LXC[2] nommé addc.

L'annuaire OpenLDAP[3] du module reste le référentiel principal mais les comptes utilisateurs sont répliqués dans l'annuaire AD à l'aide du logiciel de synchronisation LSC[4].

Le serveur Samba[5] du module est toujours présent mais il devient membre du domaine porté par le contrôleur de domaine AD installé dans le conteneur addc. Il conserve pleinement sa fonction de serveurs de fichiers.

Les flux réseaux entre le conteneur et le maître
Les flux réseaux entre le conteneur et le maître

Le conteneur addc utilise la technologie Macvlan en mode bridge. Cela permet de pouvoir attribuer une adresse IP dédiée au contrôleur de domaine AD sans avoir à ajouter d'interface supplémentaire.

Dans le cas d'une installation dans une infrastructure virtualisée (ESXI, Virtualbox, ...) le bon fonctionnement du réseau nécessite l'activation du mode promiscuous[6].

Les annuaires

L'annuaire OpenLDAP du module centralise de nombreuses informations :

  • authentification des utilisateurs ;

  • définition des partages Samba ;

  • définition des groupes ;

  • définition des utilisateurs ;

  • mode multi-établissement[7].

Une importation massive de comptes peut être réalisée depuis des exports issus d'AAF[8], SIECLE[9], ONDE[10] ainsi que depuis un fichier au format CSV[11].

L'annuaire OpenLDAP sert toujours directement de base d'authentification pour les applications web, la messagerie et les outils d'administration locaux.

L'annuaire Active Directory du module contient une réplication d'une partie des données de l'annuaire OpenLDAP.

Il est notamment utilisé pour l'authentification des utilisateurs sur les postes clients.

Complément

Des informations complémentaires sur le fonctionnement conjoint des deux annuaires sont disponibles dans les compléments techniques.

Le contrôleur de domaine

Le contrôleur de domaine Active Directory du module permet notamment d'utiliser les GPO[12] et de les éditer au travers des outils d’administration à distance fournis par Microsoft, les RSAT[13].

Utilisation des outils RSAT avec Scribe
Utilisation des outils RSAT avec Scribe

Le contrôleur de domaine fournit également un serveur de noms[14] et il doit être maître sur sa zone DNS. La mise en œuvre du module dans une infrastructure nécessitera généralement la mise en place d'un transfert de zone DNS[15].

Un nouveau client EOLE basé sur SaltStack[16] permet d'agir sur les postes clients et, en particulier d'installer et configurer le logiciel d'observation et de diffusion Veyon[17].

Utilisation du logiciel Veyon
Utilisation du logiciel Veyon

Les services web

Les services web proposés par le module Scribe sont basés sur les logiciels libres Apache[18], Nginx[19] et MySQL[20].

Les logiciels Adminer (gestion de base de données ) et Rouncube (webmail) sont préinstallées ainsi que les applications métier EOP (outils à destination des enseignants) et EOE (outils à destination des élèves).

L'authentification unique[21] est assurée par le service EoleSSO.

Consultation de messages avec Roundcube
Consultation de messages avec Roundcube

De nombreuses applications web supplémentaires sont pré-configurées pour le module Scribe et installables facilement.

La plupart sont le résultat de la mutualisation inter-académique Envole : https://envole.ac-dijon.fr.