Administration du module AmonEcole

Pour l'utilisateur, un système de fichiers est vu comme une arborescence : les fichiers sont regroupés dans des répertoires (concept utilisé par la plupart des systèmes d'exploitation). Ces répertoires contiennent soit des fichiers, soit récursivement d'autres répertoires. Il y a donc un répertoire racine et des sous-répertoires. Une telle organisation génère une hiérarchie de répertoires et de fichiers organisés en arbre.

Racine de l'arbre

/ (appelé slash ou root) : racine de l'arborescence sur laquelle sont raccrochés tous les sous-répertoires et fichiers.

Arborescence 1er niveau

• bin/ : commandes liées au système, exécutables par tous ;

• boot/ : noyau et initrd nécessaires au démarrage (ou boot) du système ;

• dev/ : fichiers spéciaux effectuant le lien noyau / périphériques ;

• etc/ : fichiers de configuration ;

• home/ : répertoires de connexion (ou home directory) des utilisateurs ;

• lib/ : librairies essentielles au démarrage et modules du noyau ;

• mnt/ : contient les sous-répertoires de montage des partitions des autres périphériques ;

• opt/ : installation des applications autres ;

• proc/ : pseudo système de fichier représentant le noyau à un instant T ;

• root/ : répertoire de connexion de root ;

• sbin/ : commandes réservées à root et utilisées dans les niveaux de démarrage bas ;

• sys/ : pseudo système de fichier représentant les processus ;

• tmp/ : répertoire temporaire accessible à tous ;

• usr/ : commandes utilisées par les utilisateurs (bin), l'administrateur (sbin), mais aussi ensemble du système graphique ;

• var/ : ensemble des données variables du système (spools, logs, web, bases de données, ...).

Filesystem Hierarchy Standard (« norme de la hiérarchie des systèmes de fichiers », abrégé en FHS) définit l'arborescence et le contenu des principaux répertoires des systèmes de fichiers des systèmes d'exploitation GNU/Linux et de la plupart des systèmes Unix.

Les différents types :

• fichiers ordinaires : fichiers éditables

• fichiers programmes : fichiers contenant des données compilées

• répertoires : fichier contenant les infos sur les fichiers et sous-répertoires contenus (index)

• fichiers spéciaux : fichier associé à un périphérique. Ne contient qu'une description relative au driver et type d'interface.

Un fichier ou un répertoire peut être défini :

• soit par un chemin relatif à l'endroit où vous vous positionnez au moment T.

• soit par un chemin absolu à partir de la racine de l'arborescence.

Les droits détaillés ci-après s'appliquent à l'ensemble des composantes de l'arborescence GNU/Linux, à savoir les fichiers et les répertoires.

Droits essentiels :

• lecture

• écriture

• exécution

Autres droits :

• sticky bit

• setuid et setgid bits

1. numéro d'inode

2. type & droits sur le fichier (ou répertoire)

3. compteur de liens physiques

4. propriétaire

5. groupe

6. taille

7. date de dernière modification

8. nom du fichier (répertoire)

Le schéma précédent montre, dans le second bloc, comment sont affichés les droits associés à un fichier (ou répertoire).

Ce bloc se décompose en 4 sous-parties :

• La première, codée sur un caractère, représente le type du fichier

• On trouve ensuite 3 groupes de 3 caractères indiquant les droits de lecture/écriture/exécution.

Le type du fichier peut être un des éléments suivants :

• d : répertoire

• l : lien symbolique

• c : périphérique de type caractère

• b : périphérique de type bloc

• p : pile fifo

• s : socket

• - : fichier classique

Comme énoncé précédemment, les droits sont codés sur 3 jeux de 3 droits.

Cet ensemble de 3 droits sur 3 entités se représente généralement de la façon suivante : on écrit côte à côte les droits r (Read/lecture), w (Write/écriture) puis x (eXecute/exécution) respectivement pour le propriétaire (u), le groupe (g) et les autres utilisateurs (o). Les codes u, g et o (u comme user, g comme group et o comme others) sont utilisés par les commandes UNIX qui permettent d'attribuer les droits et l'appartenance des fichiers.

Lorsqu'un droit est attribué à une entité, on écrit ce droit (r, w ou x), et lorsqu'il n'est pas attribué, on écrit un '-'. Par exemple : rwxr-xr--

Ce droit s'applique aux fichiers exécutables, il permet d'allouer temporairement à un utilisateur les droits du propriétaire du fichier, durant son exécution.

En effet, lorsqu'un programme est exécuté par un utilisateur, les tâches qu'il accomplira seront restreintes par ses propres droits, qui s'appliquent donc au programme.

Lorsque le droit SUID est appliqué à un exécutable et qu'un utilisateur quelconque l'exécute, le programme détiendra alors les droits du propriétaire du fichier durant son exécution.

Bien sûr, un utilisateur ne peut jouir du droit SUID que s'il détient par ailleurs les droits d'exécution du programme. Ce droit est utilisé lorsqu'une tâche, bien que légitime pour un utilisateur classique, nécessite des droits supplémentaires (généralement ceux de root). Il est donc à utiliser avec précaution.

• -r-s--x--x 1 root root 15540 jun 20 2004 /usr/bin/passwd

C'est un s si le droit d'exécution du propriétaire est présent, ou un S sinon. Il se place donc comme ceci : ---s------ ou ---S------

Ce droit fonctionne comme le droit SUID, mais appliqué aux groupes. Il donne à un utilisateur les droits du groupe auquel appartient le propriétaire de l'exécutable et non plus les droits du propriétaire.

De plus, ce droit a une tout autre utilisation s'il est appliqué à un répertoire. Normalement, lorsqu'un fichier est créé par un utilisateur, il en est propriétaire, et un groupe par défaut lui est appliqué (généralement users si le fichier a été créé par un utilisateur, et root s'il a été créé par root). Cependant, lorsqu'un fichier est créé dans un répertoire portant le droit SGID, alors ce fichier se verra attribuer par défaut le groupe du répertoire. De plus, si c'est un autre répertoire qui est créé dans le répertoire portant le droit SGID, ce sous-répertoire portera également ce droit.

• -rwxr-sr-x 1 root utmp 319344 avr 21 2008 /usr/bin/xterm

C'est un s si le droit d'exécution du propriétaire est présent, ou un S sinon. Il se place donc comme ceci : ---s------ ou ---S------

Lorsque ce droit est positionné sur un répertoire, il interdit la suppression des fichiers qu'il contient à tout utilisateur autre que le propriétaire. Néanmoins, il est toujours possible pour un utilisateur possédant les droits d'écriture sur ce fichier de le modifier (par exemple de le transformer en un fichier vide).

Notation : il est représenté par la lettre t ou T, qui vient remplacer le droit d'exécution x des autres utilisateurs que le propriétaire et ceux appartenant au groupe du fichier, de la même façon que les droits SUID et SGID. La majuscule fonctionne aussi de la même façon, elle est présente si le droit d'exécution x caché n'est pas présent : ---------t ou ---------T

Exemple : le répertoire /tmp

• drwxrwxrwt 23 root root 4096 oct 20 14:27 /tmp/

Une liste de contrôle d'accès ou ACL, permet de définir une liste de permission sur un fichier ou répertoire.

Aux habituels utilisateur, groupe et autre, il est possible d'étendre le nombre d'utilisateurs et de groupes ayant des droits sur un même fichier

Les ACLs s'ajoutent aux droits standards. Lorsqu'on liste les droits d'un fichier, les ACLs sont symbolisées par un "+".

-rwxrwx---+ 1 root professeurs 26 2009-05-27 16:37 fic

Les droits étendus apparaissent de la façon suivante :

user::rwx

user:p.nom:rwx

group::---

mask::rwx

other::---

Les ACLs d'un dossier père ne sont pas automatiquement repris pour le fichier fils.

Il est possible de modifier ce comportement, à associant des droits par défaut (grâce à l'attribut default).

Par exemple :

user::rwx

user:p.nom:rwx

group::rwx

mask::rwx

other::--x

default:user::rwx

default:user:p.nom:rwx

default:group::---

default:mask::rwx

default:other::---

Le client SSH est installé par défaut sur la plupart des distributions. Si ce n'est pas le cas, il faut installer un paquet dont le nom est généralement "openssh-client".

Une fois installé, il est possible d'ouvrir une session à distance de la manière suivante :

ssh utilisateur@ip_serveur

Si vous ne spécifiez pas de nom d'utilisateur, c'est l'utilisateur courant de votre session GNU/Linux qui sera utilisé.

Pour lancer des applications graphiques, il faudra le préciser dans la commande ssh en rajoutant l'option -X :

ssh -X utilisateur@ip_serveur.

A la première connexion, le message suivant apparaît :

Warning: Permanently added 'xxxxx' (RSA) to the list of known hosts.

Cela signifie qu'on ne s'est jamais connecté sur cette station et qu'un identifiant est ajouté à la liste des hôtes connus.

Il peut arriver que le certificat du serveur change (par exemple en cas de réinstallation).

Le message suivant apparaîtra :

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

Someone could be eavesdropping on you right now (man-in-the-middle attack)!

It is also possible that the RSA host key has just been changed.

The fingerprint for the RSA key sent by the remote host is

65:6d:9d:c0:78:f7:60:bf:13:86:59:16:53:07:3b:a4.

Please contact your system administrator.

Add correct host key in /home/xxx/.ssh/known_hosts to get rid of this message.

Offending key in /home/xxx/.ssh/known_hosts:12

Password authentication is disabled to avoid man-in-the-middle attacks.

Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.

X11 forwarding is disabled to avoid man-in-the-middle attacks. Permission denied (publickey,password).

Ce message nous apprend plusieurs choses :

• le serveur ssh a une clef différente de celle de notre dernier passage ;
• le fichier comprenant les hôtes connus est /home/xxx/.ssh/known_hosts ;
• l'identifiant de l'hôte est spécifié à la ligne 12 (Offending key in /home/xxx/.ssh/known_hosts:12).

Si vous êtes sûr que l'hôte est le bon, il vous suffira de supprimer la ligne 12 du fichier known_hosts et de relancer une connexion.

Il faudra spécifier le mot de passe de l'utilisateur pour se connecter.

Ssh propose également la connexion par échange de clef. Cela permet de se connecter à distance sans connaître le mot de passe de l'utilisateur.

L'échange de clef peut être réalisé par l'intermédiaire d'un serveur Zéphir. Pour plus d'informations, consulter la documentation spécifique à ce module.

Une fois connecté à distance, vous pouvez lancer n'importe quelle action comme si vous étiez en local.

Pour envoyer un fichier sur un serveur, il faut faire :

scp nom_du_fichier utilisateur@ip_serveur:/repertoire/de/destination/

Pour récupérer un fichier d'un serveur :

scp utilisateur@ip_serveur:/repertoire/source/nom_du_fichier /repertoire/de/destination/

Pour récupérer un répertoire d'un serveur :

scp -r utilisateur@ip_serveur:/repertoire/ /repertoire/de/destination/

Enfin, il est possible d'avoir un shell proche de la commande FTP en faisant :

sftp utilisateur@ip_serveur

Putty est un logiciel libre implémentant un client Telnet^[5] et SSH^[3] pour Unix et Windows.

http://www.chiark.greenend.org.uk/~sgtatham/putty/

Dans l'environnement EOLE, il permet de se connecter à un serveur à distance depuis un poste Windows et, ainsi, pouvoir exécuter des commandes.

La connexion avec Putty au serveur se fait en utilisant le protocole SSH.

Pour obtenir un meilleur environnement de travail, la configuration par défaut de Putty doit être modifiée.

La dernière capture montre comment autoriser la redirection des applications graphiques vers votre poste.

Cependant vous devrez utiliser Xming.

C'est un logiciel libre permettant d'émuler un serveur X vers lequel sera redirigé l'application graphique lancée à travers ssh sur le serveur EOLE.

Il existe une interface graphique de transfert de fichier à distance. Il s'agit de WinSCP.

On utilise le logiciel comme un client FTP normal.

L'agent localcert permet de surveiller la validé des certificats locaux utilisés par les différents services du module EOLE.

Le nom des services, au sens système, n'est pas souvent parlant. Par exemple, il faut savoir que le service apache2 est le nom du serveur web.

Les groupes de services permettent de regrouper un ou plusieurs services sous une dénomination plus claire. Cela permet de regrouper et donc de faciliter le redémarrage/arrêt de services.

Une fois créé le groupe de services apparaît sous l'icône CRÉER GROUPE à gauche de l'écran.

Une fois créé, un groupe apparaît dans l'onglet Système/Services (mode normal), il est alors possible de redémarrer ou d'arrêter le groupe de services.

Les groupes de services déclarés dans l'EAD sont enregistrés dans le fichier /usr/share/ead2/backend/config/simple_services.ini

Sur un module EOLE, les fichiers suivants sont pris en compte :

• /usr/share/ead2/backend/config/actions.cfg : fichiers des actions de base ;
• ainsi que tout les fichiers actions_*.cfg présents dans le répertoire /usr/share/ead2/backend/config/actions.

Les fichiers d'action sont déclarés avec leur chemin court depuis /usr/share/ead2/backend/actions et sans l'extension ".py".

Sur un module EOLE, les fichiers suivants sont pris en compte :

• /usr/share/ead2/backend/config/perm.ini : rôles de base ;
• /usr/share/ead2/backend/config/perm_local.ini : rôles déclarés localement (édition manuelle ou via l'EAD) ;
• /usr/share/ead2/backend/config/perm_acad.ini : rôles déclarés au niveau académique (via Zéphir) ;
• ainsi que tout les fichiers perm_*.ini présents dans le répertoire /usr/share/ead2/backend/config/perms.

Les permissions associent un rôle à une ou plusieurs actions.

Les fichiers perm*.ini doivent posséder une section [role] et une section [permissions].

L'interface EAD permet de créer des rôles personnalisés.

Ces rôles ne sont, en fait, qu'une liste d'actions regroupées sous un intitulé et un libellé unique.

Il est possible, dans un deuxième temps d'associer ces rôles à des utilisateurs.

Pour créer un nouveau rôle cliquer sur :

• Édition de rôles/Création de rôles

puis

• Créer rôle

• entrer l'intitulé (le nom) du rôle (sans caractère spécial, sans accent et sans espace) ;

• entrer un libellé (courte description) du rôle ;

• cocher les actions à autoriser ;

• ajouter ;

• créer.

Certaines actions doivent être obligatoirement permises pour tous les utilisateurs :

• help : utilisé notamment pour l'affichage d'aide  ;

• main_status : page d'accueil appelée par défaut, elle gère un rôle prof (n'affiche pas les états de services) et un rôle admin ;

• update_ead : outil de téléchargement des javascripts, CSS, images spécifiques au module.

• lshw : listing matériel ;

• maj : action de mise à jour ;

• daemon : relancer des services (mode expert) ;

• simple_services_editor : éditer des groupes de services pour le mode simplifié ;

• simple_services : redémarrer/arrêter les services (mode simplifié) ;

• server-configure/server-reboot/server-stop : redémarrer/arrêter/reconfigurer le serveur ;

• role_editor : création de rôles ;

• role_manager : association de rôle (appelée par d'autres actions).

La modification du système de filtrage sur le module Amon apporte de profondes modifications sur ce module.

Selon les choix effectués lors de la phase de configuration avec l'interface de configuration du module, vous pouvez choisir d'utiliser une ou deux zones de configuration pour le filtrage et les options du pare-feu.

La zone 1 correspond à la réseau admin et la zone 2 correspond au réseau pedago.

• Gestion des postes

  • navigation_poste_admin (ou pedago) : action de gestion des postes à interdire ;
  • navigation_destination_admin (ou pedago) : interdire des destinations.

• Gestion des groupes de machine

  • groupe_machine_admin (ou pedago) : action d'entrée pour la gestion des groupes de machine (gère des restrictions pour le rôle prof) ;
  • groupe_machine_create_admin (ou pedago) : action de création de groupe de machine (nécessite groupe_machine) ;
  • groupe_machine_horaire_admin (ou pedago) : action de gestion des horaires pour les groupes de machine.

• Gestion des utilisateurs

  • navigation_banned_user_admin (ou pedago) : action de gestion des utilisateurs à interdire ;
  • navigation_moderateur_admin (ou pedago) : action de gestion des modérateurs ;
  • navigation_whitelist_admin (ou pedago) : action de gestion des utilisateurs en liste blanche ;
  • navigation_whitesitelist_admin (ou pedago) : action de gestion des sites en liste blanche.

• Gestion des sites

  • opt_filters_admin (ou pedago) : gestion des filtres optionnels pour la zone de configuration 1 (ou 2) ;
  • filtrage_admin (ou pedago) : gestion du mode de filtrage syntaxique pour la zone de configuration 1 (ou 2) ;
  • sites_interdits_admin (ou pedago) : gestion des sites interdits pour la zone de configuration 1 (ou 2) ;
  • sites_autorises_admin (ou pedago) : gestion des sites autorisés pour la zone de configuration 1 (ou 2) ;
  • extensions_admin (ou pedago) : gestion des extensions interdites pour la zone de configuration 1 (ou 2) ;
  • mime_admin (ou pedago) : gestion des types mime interdits pour la zone de configuration 1 (ou 2).

• Gestion des règles du pare-feu

  • regles : mode de fonctionnement du pare-feu ;
  • peertopeer : autorisation/interdiction du peer to peer ;
  • horaire : horaire de fonctionnement du pare-feu.

• Autres actions

  • navigation_visit : action de consultation des logs ;
  • filtrage_bayes : action d'évaluation d'URL à l'aide du filtrage bayésien ;
  • bande_passante : outil de test de bande passante.

• Gestion des utilisateurs

  • scribe_user_create : action de création ;
  • scribe_user_list : renvoie le formulaire de recherche par critères qui appelle scribe_user_table pour la validation ;
  • scribe_user_table : action de listing d'utilisateur (gère les rôles prof_admin et admin) appelle scribe_user_modify, scribe_user_delete, scribe_user_modpassword ;
  • scribe_user_modify : action de modification d'utilisateur (utilisée par scribe_user_table gère les rôles prof_admin et admin) ;
  • scribe_user_delete : action de suppression d'utilisateur (gère les rôles prof_admin et admin) ;
  • scribe_user_modpassword : action de modification d'un mot de passe (gère les rôles prof_admin et admin).

• Actions restreintes (créées pour les professeurs, les personnels administratifs et les professeurs admins, gère le rôle de prof et prof_admin)

  • scribe_prof_preference : préférences du professeur connecté (mot de passe, inscription aux groupes, mail) ;
  • scribe_prof_mod_mail : modifie le mail d'un professeur (nécessite scribe_prof_preference) ;
  • scribe_user_password : action de modification de son propre mot de passe (nécessite scribe_prof_preference) ;
  • scribe_prof_mod_groupe : Inscription du prof connecté aux groupes ;
  • scribe_prof_user : action d'entrée pour la gestion des utilisateurs par les profs lien vers scribe_prof_user_create et scribe_prof_user_modify ;
  • scribe_prof_user_create : action de création d'utilisateur (nécessite scribe_prof_user) ;
  • scribe_prof_user_modify : action d'entrée pour la modification des utilisateurs (nécessite scribe_prof_user) ;
  • scribe_grouped_edition : action d'entrée pour l'édition groupée d'utilisateur (appelle scribe_user_table).

• Gestion des groupes

  • scribe_group_create : création de groupes, niveau, classe..., appelle scribe_group_list ;
  • scribe_group_list : liste les groupes, appelle scribe_group_delete, appelle scribe_group_create ;
  • scribe_group_modify : modification de groupe ;
  • scribe_group_delete : suppression de groupe ;
  • scribe_prof_group : entrée pour la gestion des groupes par un prof_admin ou un prof, appelle scribe_prof_user_modify et scribe_prof_group_create ;
  • scribe_prof_group_create : action de création de groupe par un prof_admin.

• Gestion des partages

  • scribe_share : attribution de lettre de lecteur à un partage.

• Gestion des stations et connexions

  • scribe_station : action de suppression forcée de station du domaine ;
  • scribe_extraction : action d'extraction sconet ;
  • scribe_connexion_index : page d'accueil des observations des connexions ;
  • scribe_connexion_machine : page d'affichage des machines connectées ;
  • scribe_connexion_quota : observation des quotas ;
  • scribe_connexion_virus : affiche la liste les virus repérés ;
  • scribe_connexion_history : affiche l'historique des connexions.

• Autres actions

  • scribe_devoir_distribuer / scribe_devoir_ramasser / scribe_devoir_rendre / scribe_devoir_supprimer : gestion des devoirs ;
  • bareos : action de programmation de sauvegarde ;
  • bareos_config : action de configuration de sauvegarde ;
  • scribe_sympa : action renvoyant des liens pour l'interface de gestion de listes de diffusion ;
  • printers : action de gestion simplifiée des imprimantes.

• Gestion des connexions

  • isis : action d'entrée pour l'interface d'observation des connexions, appelle les actions isis ;
  • isis_stop : action d'arrêt de toutes les connexions ;
  • isis_disconnect : action de déconnexion d'utilisateur connectés au domaine ;
  • isis_sendmsg : action d'envoi de message à des utilisateurs connectés ;
  • isis_machine : action de listing des machines connectées au domaine (client, maîtres explorateurs...) ;
  • isis_login : action d'autorisation des utilisateurs par login ;
  • isis_quota : action d'affichage des quotas ;
  • gestion_index : action d'entrée vers les gestions d'utilisateur, groupe, partage, appelle les actions gestion.

• Gestion des utilisateurs

  • gestion_user_modify : action de modification d'utilisateur ;
  • gestion_user_create : action de création d'utilisateur ;
  • gestion_user_suppr : action de suppression d'utilisateur.

• Gestion des partages

  • gestion_share_create : action de création de partage ;
  • gestion_share_modify : action de modification de partage ;
  • gestion_share_suppr : action de suppression de partage.

• Gestion des groupes

  • gestion_group_create : action de création de groupe ;
  • gestion_group_modify : action de modification de groupe ;
  • gestion_group_suppr : action de suppression de groupe.

• Autres actions

  • gestion_account_suppr : action de suppression forcée de compte ;
  • extraction_aaf : action pour l'extraction AAF ;
  • bareos : action programmation de sauvegarde ;
  • bareos_config : action de configuration de Bareos pour la sauvegarde ;
  • scripts_admin : action pour l'exécution de scripts d'administration ;
  • printers : action de gestion des imprimantes.

• Menu Messagerie

  • routes : gestion du routage des messages vers les établissements de l'Académie.

• Pour modifier un rôle, il suffit de cliquer sur le nom voulu ;

• pour le supprimer, cliquer sur la croix rouge associée.

Sur un module EOLE, seuls les fichiers suivants sont pris en compte :

• /usr/share/ead2/backend/config/roles.ini : associations de base (admin, eleve, prof, ...) ;
• /usr/share/ead2/backend/config/roles_<module>.ini : associations spécifiques au module installé (ex : roles_scribe.ini) ;
• /usr/share/ead2/backend/config/roles_local.ini : associations déclarés localement (édition manuelle ou via l'EAD) ;
• /usr/share/ead2/backend/config/roles_acad.ini : associations déclarés au niveau académique (via Zéphir).

L'association d'un rôle se fait à partir du login d'un utilisateur système (section [pam]) ou de la valeur associée à un attribut ldap (section [nom_attribut]) de l'annuaire utilisé pour l'authentification SSO sur l'EAD du module.

Quand un utilisateur se connecte sur l'EAD, en local ou en SSO, le système d'authentification renvoie des informations le concernant.

Certaines de ces informations sont utilisées pour lui attribuer des rôles et ainsi lui donner accès à certaines actions.

Pour associer un rôle à des utilisateurs:

• dans Édition des rôles/Association de rôle ;
• cliquer sur Associer Rôle.

• choisir la clef (attribut de l'utilisateur) ;

• renseigner la valeur recherchée pour cet attribut (dans le cas d'une authentification locale on mettra le login de l'utilisateur) ;

• choisir le rôle à associer ;

• valider.

L'intitulé de la clef dépend du système d'authentification utilisé pour se connecter :

Authentification locale :

• le login de l'utilisateur.

Authentification SSO :

• l'élève fait partie de la classe ;

• la valeur de la clé LDAP typeadmin :

  • 0 → enseignant
  • 1 → administrateur
  • 2 → enseignant responsable de classe
  • 3 → personnel administratif

• le login de l'utilisateur ;

• le ou les groupes de l'utilisateur.

Une association de rôle peut par la suite être supprimée en cliquant sur la croix rouge.

Par défaut, les utilisateurs admin, root et eole ont accès à toutes les fonctions.

L'accès avec les utilisateurs root et eole s'effectue en utilisant l'authentification locale.

Un enseignant dispose d'actions lui permettant de :

• configurer ses préférences personnelles ;
• distribuer des documents ;
• gérer les imprimantes.

L'item Préférences permet à un utilisateur de :

• modifier son mot de passe ;

  

• s'inscrire/se désinscrire d'un groupe ;

  

• renseigner/modifier son adresse mail.

  

  L'adresse de courrier électronique est renseignée dans l'annuaire, elle est utilisée, par exemple, par les listes de diffusion.

Un professeur peut être défini responsable de classe par l'administrateur. Il obtient alors quelques actions lui permettant d'administrer les classes dont il est responsable. Cela permet à l'administrateur de déléguer certaines actions comme :

• la ré-initialisation du mot de passe d'un élève ;

• l'appartenance d'un élève à un groupe ;

• la création d'un groupe ;

• etc.

Les personnels administratifs possédant un compte sur le module ont accès à leurs préférences personnelles et à la gestion des imprimantes.

L'item Préférences permet à un utilisateur de :

• modifier son mot de passe ;

  

• s'inscrire/se désinscrire d'un groupe ;

  

• renseigner/modifier son adresse mail.

  

  L'adresse de courrier électronique est renseignée dans l'annuaire, elle est utilisée, par exemple, par les listes de diffusion.

Par défaut, les utilisateurs admin, root et eole ont accès à toutes les fonctions.

L'accès avec les utilisateurs root et eole s'effectue en utilisant l'authentification locale.

Dans le cas où plusieurs filtres web (instances de e2guardian) sont configurés, ce rôle permet de déléguer la gestion des options de filtrage pour le filtre n°2, traditionnellement associé à la zone pédagogique.

Par défaut, les utilisateurs admin, root et eole ont accès à toutes les fonctions.

L'accès avec les utilisateurs root et eole s'effectue en utilisant l'authentification locale.

Un enseignant dispose d'actions lui permettant de :

• configurer ses préférences personnelles ;
• distribuer des documents ;
• gérer les imprimantes.

L'item Préférences permet à un utilisateur de :

• modifier son mot de passe ;

  

• s'inscrire/se désinscrire d'un groupe ;

  

• renseigner/modifier son adresse mail.

  

  L'adresse de courrier électronique est renseignée dans l'annuaire, elle est utilisée, par exemple, par les listes de diffusion.

Un professeur peut être défini responsable de classe par l'administrateur. Il obtient alors quelques actions lui permettant d'administrer les classes dont il est responsable. Cela permet à l'administrateur de déléguer certaines actions comme :

• la ré-initialisation du mot de passe d'un élève ;

• l'appartenance d'un élève à un groupe ;

• la création d'un groupe ;

• etc.

Les personnels administratifs possédant un compte sur le module ont accès à leurs préférences personnelles et à la gestion des imprimantes.

L'item Préférences permet à un utilisateur de :

• modifier son mot de passe ;

  

• s'inscrire/se désinscrire d'un groupe ;

  

• renseigner/modifier son adresse mail.

  

  L'adresse de courrier électronique est renseignée dans l'annuaire, elle est utilisée, par exemple, par les listes de diffusion.

Sur un module AmonEcole, le rôle "Administrateur du Scribe" (admin_scribe) permet de déléguer à un utilisateur les fonctionnalités EAD propres au module Scribe.

Sur un module AmonEcole, le rôle "Administrateur de l'Amon" (admin_amon) permet de déléguer à un utilisateur les fonctionnalités EAD propres au module Amon.

Ces scripts sont à utiliser pour mettre à jour un module au travers d'un accès internet :

• Maj-Auto : télécharge et installe les paquets à mettre à jour depuis le réseau ;

• Query-Auto : télécharge et affiche la liste des paquets à mettre à jour depuis le réseau.

Sans préciser d'option, ces deux commandes affichent, téléchargent et installent des paquets stables, ils permettent également de tester (sur une machine dédiée aux tests) :

• les paquets candidats lors de la sortie d'une version candidates avec l'option -C ;

• les paquets de développements au fil de l'eau avec l'option -D.

Il est également possible de simuler l'installation avec l'option -n ou de seulement télécharger en cache les paquets --download.

• -f : passer outre les autorisations Zéphir ;
• -h : affiche l'aide ;
• -d : mode debug ;
• -W : génère une sortie formatée pour l'EAD^[9].

• -C : force la mise à jour en version candidate pour tous les dépôts par défaut ou pour le (ex : -C envole) ou les dépôts spécifiés (ex : -C eole envole) ;
• -D : force la mise à jour des paquets en développement pour tous les dépôts par défaut ou pour le (ex : -D envole) ou les dépôts spécifiés (ex : -D eole envole) ;
• -S : force le site de mise à jour EOLE (ex : -S test-eole.ac-dijon.fr) ;
• -U : force le site de mise à jour Ubuntu (ex : -U fr.archive.ubuntu.com) ;
• -V : force le site de mise à jour Envole (ex : -V test-eole.ac-dijon.fr).

• -n : exécuter en mode simulation (dry run) équivaut à utiliser les commandes Query-Auto.
• -r : exécuter reconfigure après une mise à jour réussie ;
• -R : exécuter reconfigure après une mise à jour réussie et redémarrer si nécessaire.

• --download : procéder uniquement au téléchargement des paquets en cache.

Il est possible de spécifier un dépôt particulier via l'onglet Dépôt tiers de l'interface de configuration du module en mode expert.

Ce dépôt sera pris en compte à chaque exécution de la commande Maj-Auto et lors des mises à jour automatiques du serveur.

Pour créer un niveau, il faut choisir son nom, son libellé (facultatif) et si on lui associe une liste de publipostage.

Puis cliquer sur valider .

Pour créer une classe, il faut choisir son nom, son libellé (facultatif), le niveau associé et son type de liste de publipostage.

Puis cliquer sur valider .

Les groupes de type classe sont créés obligatoirement avec un partage de type données/travail et une liste de publipostage dont on doit choisir le type.

Les classes sont obligatoirement associés à un niveau.

La création d'une classe crée automatiquement un groupe de type équipe pédagogique profs-<classe>.

À la création d'une classe, les listes de publipostage lié à la classe sont créés automatiquement :

• une liste pour la classe (xxxx@) ;
• une liste pour les profs (prof-xxxx@) ;
• une liste pour les responsables (resp-xxxx@).

Il est possible de choisir entre deux options :

• domaine restreint (conseillé) qui va créer :

  • une liste en domaine restreint pour la classe (xxxx@i-domaine) ;
  • une liste en domaine restreint pour les profs (prof-xxxx@i-domaine) ;
  • une liste en domaine restreint pour les responsables (resp-xxxx@i-domaine) qui aura le même domaine que la liste de classe (contrairement à celle des profs).

• internet qui va créer :

  • une liste internet pour la classe (xxxx@domaine) ;
  • une liste en domaine restreint pour les profs (prof-xxxx@i-domaine) ;
  • une liste internet pour les responsables (resp-xxxx@domaine).

Un partage "équipe pédagogique" contient les deux éléments suivants :

• le sous-répertoire "classe" : correspond au partage classe accessible par les élèves ;
• le sous-répertoire "eleves" : permet d'accéder à l'espace personnel de chaque élève de la classe, afin éventuellement de contrôler son travail. Le sous-répertoire "prive" n'est pas accessible aux professeurs. Il permet de garantir à l'élève un espace réellement personnel.

Les données spécifiques à l'équipe pédagogique doivent être placées à la racine du partage, mais il est tout à fait possible d'y créer un sous-répertoire, nommé par exemple "equipe", afin d'éviter toute confusion.

Une option correspond à un sous-groupe d'élève suivant généralement un ou plusieurs cours ensemble.

Pour créer une option, il faut choisir son nom, son libellé (facultatif) et si on lui associe une liste de publipostage.

Puis cliquer sur valider .