Re: [EDUC] Raspberry Pi 400

[Olivier Guillard <mairie AT guillard.nom.fr>]

Note : En complément de l'authentification centralisée par ldap, je préconise l'utilisation de sssd comme cache côté client linux qui présente de nombreux avantages : reconnaissance de plusieurs référentiels d'identités en particulier, amélioration des performances ainsi que authentification offline ou lorsque le serveur ldap est indisponible. Bref, j'ai testé en prod sur un réseau d'entrepise significatif et recommande donc grandement : https://sssd.io/

Cordialement,

Le lun. 11 avr. 2022 à 13:26, <artoisvert AT free.fr> a écrit :

Bonjour,

Merci pour la réponse précise Jean-Marc. C'est intéressant comme retour "technique". Si je comprends bien, vous êtes sous serveur EOLE.

Dans ce cas, on doit pouvoir récupérer du clé en main auprès de leurs services, ca existe peut être déjà. Je contacte l'équipe d'EOLE s'il le faut, nous nous sommes vus il y a peu.

D'une manière générale:

Dans mon lycée (réseau pédagogique+authentification gérée par une boite de la région IRIS technologie basée sur Ubutntu+Samba/Open LDAP):
En ce qui concerne juste la connexion internet, tout le matériel est bien repéré par l'adresse MAC  (c'est la règle dans le lycée: postes fixes, raspberry, pc amenés de l'exterieur quelque soit le système d'exploitation).
Notre admin réseau ne fait rien mais une authentification est demandée pour l'accès à internet. La solution d'authentification est géré par le prestataire: c'est ce qu'il doit manquer chez vous. Cela facilite la gestion "légale" de l'accès à internet et des problèmes que vous évoquiez.
Des établissement testnte de spostes sous linux avec des serveurs Windows, on peut demander un retour via Cédric Frayssinet.

Pour la "2eme solution":

En attendant, j'ai détaillé le protocole manuel pour se connecter à l'annuaire open LDAP: un de mes collègues au lycée l'a testé avec succès sur Raspberry 4, je l'ai testé également avec nos postes fixes:  

Client Linux et OpenLDAP

Il suffit de modifier 3 fichier et paramétrer l'annuaire. En prenant son temps, il y en a pour 30 minutes.

Que vous soyez enseignant ou acteur de la communauté éducative: il faut arriver à interpeller les régions, avec peut-être le soutien des DRANE pour que nous obtenions du support: nous ne pouvons pas à terme gérertout cela tout seul-ce n'est pas le rôle d'un enseignant.
Sans soutien, on nous demande de prouver que ça fonctionne et au moindre problème, on se fait tacler. Alors que chez nous, les formations pour intégrer les postes Windows auprès des agents région se font par dizaines.

Cette liste sert à ça, tenez-moi au courant s'il vous plait.

Romain

---

De: "Jean-Marc MONGRELET" <jeanmarc.mongrelet AT free.fr>
À: educ AT april.org
Envoyé: Lundi 11 Avril 2022 01:12:02
Objet: Re: [EDUC] Raspberry Pi 400

Bonsoir,

En fait il y a deux possibilités... Soit faire une règle d'exception par
machines: Relevé la mac adresse des machines... Fixé une IP fixe par
DHCP... et dans le proxy EOLE, donner une règle sur l'IP qui laisse
passer vers le Net...
C'est cette fameuse règle qui désactive les logs par utilisateurs. Et
c'est la solution la plus simple à mettre en oeuvre.

L'autre solution, consiste à s’authentifier avec Open LDAP à partir des
postes GNU/Linux sur le réseau, serveur pédagogique. Cela veut dire
aussi qu'il faut mettre en oeuvre et configurer le client Open LDAP, sur
les RPI... Ce qui à mon avis représente un certain niveau de technicité!

Voila, vous savez tout... J'ai déjà mis en oeuvre la première solution,
mais pas la deuxième!

Bonne soirée,

JM



Le 11/04/2022 00:36, artoisvert AT free.fr a écrit :

> Je ne comprends rien à vos "règle d'exception" . Ce sont des serveurs
> sous Windows qui gère le réseau?
>
> Pour le moment, en Hauts-de-France, la solution réseau pédagogique est
> donnée par une boite locale qui utilise du Ubuntu+Open LDAP pour le
> réseau, l'authentification etc.
> Il n'y a pas de "règle d'exception:" les pcs Linux, Raspberry ou fixes
> se connectent à internet et tout le monde est authentifié .
>
> Des établissements pilotes testent ce type d'intégration (serveur
> windows+client inux/windows) du coté de Lyon. On pourrait demander le
> retour.
>
> Nous devons nous emparer un minimum de la question de gestion de ces
> serveurs, le ministère maintient une solution nommée EOLE qui permet de
> gérer ça de façon sécurisée que le poste soit sous Windows ou Linux.
> Occitanie est en train de migrer vers EOLE, j'ai un doute pour nouvelle
> aquitaine.
> Il faudrait poser la question du cout de ces serveurs également:
> S.Fermigier a déposé une proposition sur le site de la cour des
> comptes, postez votre soutien. Nous agissons trop dans notre coin pour
> pouvoir s'en sortir.

--
Pour vous désinscrire de cette liste : https://listes.april.org/wws/sigrequest/educ

Pour connaître la configuration de la liste, gérer votre abonnement à la liste educ et vos informations personnelles :
https://listes.april.org/wws/info/educ

--

Romain Debailleul,
17 rue roger Salengro
62172 Bouvigny-Boyeffles
0665451886

---

Artoisvert:Le site tout terrain en Artois   
Village de Bouvigny-Boyeffles

---

--
Pour vous désinscrire de cette liste : https://listes.april.org/wws/sigrequest/educ

Pour connaître la configuration de la liste, gérer votre abonnement à la liste educ et vos informations personnelles :
https://listes.april.org/wws/info/educ