Grand projet...

Fermé
Gordon_Shumway Messages postés 2 Date d'inscription lundi 25 mars 2019 Statut Membre Dernière intervention 25 avril 2019 - 25 mars 2019 à 16:16
mamiemando Messages postés 33435 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 18 décembre 2024 - 26 avril 2019 à 10:49
Bonjour à tous,

Je suis actuellement administrateur réseau de ce qu'on pourrait comparer à une MGE. Nous avons deux sites principaux hébergeant nos deux datacenters en PCA, et un troisième site avec notre PRA. En tout, nous avons une 30 aines de sites distants administrés en VPN ou en direct via de la fibre propriétaire.

Depuis l'arrêt de la vente des licences Windows 7, je me prépare à vivre l'enfer avec windows 10. Ce système est tout bonnement amateur, pas professionnel, et je perd un temps monstrueux à désinstaller toutes les "applications" à la c** de type candycrush ou bing news (et ce malgré le script powershell de malekal ou les clones PC qui fonctionnent une fois sur deux). A cela j'ajoute les nombreux problèmes de confidentialité, windows 10 est pour moi LA bête noire.

Et je voudrais ne jamais l'intégrer.

Ma formation linux datant un peu, je me replonge tranquillement dedans. Avec des questions, donc..

D'une part: est il possible à terme de migrer un réseau 100% windows vers un hybride Unix/NT? Je ne trouve que peu de références sur internet, et évidemment encore moins de "mode d'emploi" qui aurai pu me servir de référence.

Dans l'hypothèse ou cela serait possible: qu'en est il de la gestion des comptes? Est il possible d'ouvrir une session AD avec un Mint ou un Fedora? Y a t-il une alternative à l'AD pour cela qui pourrait fonctionner "en même temps"?

De base, tous nos profils utilisateurs sont synchronisés à la fois sur une partition cachée dans le disque, mais aussi sur un lecteur réseau spécifique à chaque user (perte de données: 0). Est ce possible de reproduire ce système via une redirection classique des profils?

Nous gérons également à travers les GPO, mais surtout à travers un script s'exécutant tous les soirs les mises à jours windows/logiciels qui ne sont évidemment pas possible pour les usagers lambda. Est ce possible de reproduire ce schéma de gestion?

Ce sont pour moi les 3 points réellement bloquants, car pour le reste, toutes les applications ou presques sont des SaaS, donc accessible par navigateur.

Merci d'avance!

Gordon

3 réponses

mamiemando Messages postés 33435 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 18 décembre 2024 7 810
29 mars 2019 à 12:10
Bonjour,

D'une part: est il possible à terme de migrer un réseau 100% windows vers un hybride Unix/NT? Je ne trouve que peu de références sur internet, et évidemment encore moins de "mode d'emploi" qui aurai pu me servir de référence.

En soit le réseau lui-même est agnostique sur les systèmes d'exploitations utilisés sur les différents équipements. La question se pose plutôt pour les services mis à disposition par ton réseau d'entreprise. C'est probablement pour ça que tu trouves peu de réponses. Il faut plutôt chercher des alternatives aux solutions microsoft que tu utilises actuellement, ou au moins vérifier dans quelle mesure ces solutions propriétaires sont supportées ou non par d'autres systèmes que windows.

Dans l'hypothèse ou cela serait possible: qu'en est il de la gestion des comptes? Est il possible d'ouvrir une session AD avec un Mint ou un Fedora? Y a t-il une alternative à l'AD pour cela qui pourrait fonctionner "en même temps"?

Active Directory est utilisable sous linux, voir par exemple cette page. Sinon il existe des alternatives plus standard comme LDAP, qui peut servir d'annuaire (dans ton client mail), mais aussi comme gestionnaire de comptes utilisateurs.

Dans l'infrastructure à laquelle je participe, LDAP nous permet de gérer l'authentification pour notre wiki, notre portail captif wifi, et pour stocker des données associées à chaque utilisateur.

Il est peut être plus simple de rester sur AD dans ton cas, car un tel changement impacterait les utilisateurs.

De base, tous nos profils utilisateurs sont synchronisés à la fois sur une partition cachée dans le disque, mais aussi sur un lecteur réseau spécifique à chaque user (perte de données: 0). Est ce possible de reproduire ce système via une redirection classique des profils?

Si je reprends mon exemple LDAP, rien n'empêche de faire avec un cron des sauvegardes périodiques de la base LDAP et de transférer le fichier
.diff
sur le serveur de fichiers de ton choix. Pour ce transfert, plusieurs solutions sont envisageable comme
rsync
ou plus simplement un upload avec
scp
(en configurant au préalable une clé ssh pour faire une authentification sûre et transparente).

De la même façon, j'imagine qu'AD a ses propres procédures pour faire un dump et qu'on peut donc adapter la démarche...

Nous gérons également à travers les GPO, mais surtout à travers un script s'exécutant tous les soirs les mises à jours windows/logiciels qui ne sont évidemment pas possible pour les usagers lambda. Est ce possible de reproduire ce schéma de gestion?

Je pense que ce que tu cherches est cron (et éventuellement fcron ou anacron). Chaque utilisateur (y compris root) peut définir des tâches à lancer périodiquement. Comme cron & co invoquent une commande, il est notamment possible d'invoquer un script dans lequel tu peux potentiellement tout imaginer.

Bonne chance
1
Gordon_Shumway Messages postés 2 Date d'inscription lundi 25 mars 2019 Statut Membre Dernière intervention 25 avril 2019
25 avril 2019 à 11:02
Merci pour cette réponse!

Donc, j'ai un peu avancé.

Après plusieurs jours de recherche, j'ai enfin réussi à faire rejoindre à mon domaine une machine Ubuntu. J'ai utilisé pour cela le paquet pbis-open. Une dizaine d'étapes, mais ça fonctionne et c'est à peu près scriptable. On peut se connecter avec n'importe quel user de l'AD.

L'étape 1) est donc passée, ouf.

Il me reste encore du boulot malgré tout.

2) Automatiser le montage de lecteurs réseaux
3) Trouver une solution pour sauvegarder les profils itinérants
4) Superviser les mises à jour ou permettre aux users de les faire avec leurs propres comptes

Pour l'étape 2), j'imagine qu'il doit y avoir moyen de faire ça simplement avec crontab/fstab.
Pour l'étape 3), j'ai plusieurs idées:

a) Faire de la redirection de profil constante: il faudrait donc que le répertoire /home soit redirigé vers notre serveur de fichiers (comme c'est le cas pour nos machine windows) ce qui fait que le dossier doit être créé avant ou pendant l'ouverture de session. Et doit être lié constamment à la session peu importe la machine utilisée (windows/linux). Et qu'il faut donc que les lecteurs réseaux soient montés avant l'ouverture de session (ce qui n'est peut être pas possible sans les droits qui sont attribués ensuite selon le nom de session)

b) Faire du "entre les deux": déplacer le répertoire /home dans une partition ext4 différente sur la machine (comme cela se fait dans linux mint par exemple), puis scripter une copie journalière de ce dossier /home vers un lecteur réseau de sauvegarde. Il faut donc que

- Le dossier se créé automatiquement avec le nom de la session de l'utilisateur
- Le lecteur réseau contenant ces dossiers de sauvegardes soit monté en amont (étape 2?)

A mon sens la solution b) est la plus facile et présente en plus des avantages: accès aux fichiers constant même en cas de panne réseau, double conservation des données, etc.

Pour l'étape 4), j'ai trouvé une solution pour créer les groupes users linux est de les passer sudoers, mais j'ai des doutes quand à la sécurité des accès réseau. Même si c'est linux, une personne mal intentionnée prenant le controle sur un poste "classique" avec un nom de session basique va se retrouver avec quelques droits en plus par rapport à un utilisateur windows. Il faut donc bien définir les limites. Je n'ai pas encore cherché de solution d'administration "globale" des mises à jour unix.

Voilà, je progresse, si vous avez des remarques, je suis preneur, car j'essaye d'envisager toutes les possibilités.
0
mamiemando Messages postés 33435 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 18 décembre 2024 7 810
26 avril 2019 à 10:49
Hello

Par rapport aux étapes que tu évoques :

2) Oui, via
/etc/fstab
, comme expliqué dans mon précédent message.

3)

Si le répertoire en question est obtenu via un partage réseau, il est déjà "synchronisé" avec le serveur de fichiers (c'est le principe d'un serveur de fichiers). Tu peux néanmoins répliquer les dossiers partagés par ce serveur vers un autre disque / une autre machine avec
rsync
.

S'il s'agit de faire des backups réguliers d'un répertoire local à la station vers un serveur, il suffit de déclencher régulièrement un
rsync
avec
cron
. Dans ce cas, si :
  • le serveur a la liste des des stations (voir plus bas)
  • chaque station a un serveur ssh
  • une clé ssh permet au serveur d'accéder de manière transparent à chaque station

... alors tu peux relativement facilement déclencher un
rsync
depuis le serveur pour faire ce backup.
parallel-ssh
permettra de traiter en une commande toutes les stations référencés dans ta liste et de traiter en parallèle chacune d'elles.

4)

Pour cela, c'est encore
parallel-ssh
(pour appeler
sudo apt-get update && sudo apt-get upgrade
) qui semble encore la solution la plus adéquate.

Pour permettre aux utilisateurs de faire leur mise à jour, tu peux effectivement les mettre sudoer (avec les risques que ça implique, genre ils cassent ce que tu as préparé dans 3, typiquement si l'envie leur prend de désinstaller ssh ou de supprimer la clé que tu as installé).

La manière "propre" de rajouter un utilisateur en tant que sudoer est de rajouter le ou les logins appropriés dans
/etc/group
à la ligne qui commence par
sudo:
et de les séparer d'une virgule s'il y en a plusieurs.

Bonne chance
0