Administration de postes clients

Salut les chatons.

Ce n’est pas tout à fait dans le cadre de l’hébergement de services réseau, mais je suis sûr que j’aurai des conseils avisés de votre part. ^^

Mon association d’informatique (qui est également chaton) se voit attribuer la gestion d’un second petit parc de quatre ordinateurs (déjà sous GNU/Linux) dans un village voisin. Et je pense m’en charger plutôt que de déléguer cette tâche supplémentaire à notre pauvre adminsys principal (bénévole). :slight_smile:

Je prévois de reprendre également la gestion des quatre ordinateurs de notre première salle et d’en profiter pour les basculer définitivement à GNU/Linux, car ils sont actuellement sous Windows.

Pour donner une idée de mon niveau actuel :

  • Je touche un peu à l’administration système, surtout celle de mon propre ordinateur de bureau !
  • Dans le temps, j’avais déployé tout seul comme un grand quelques sites web avec le serveur NginX sur un nano-ordinateur (un BeagleBone Black) sous Archlinux ARM, désormais sur une machine virtuelle chez Grifon.
  • Je suis relativement compétent sous Git avec lequel je rédige des textes en org et en LaTeX, j’adore les rebasages, mes historiques (log) sont nickels !
  • Je vénère SSH avec chiffrement en paire de clefs assymétriques (mais je trouve que ça devient insuffisant pour gérer plus d’une machine distante).
  • Je ne connais aucun langage de programmation. J’essaie cependant de me former en Bash, en SQL et en Python, depuis plusieurs années, sans grand succès.

Voici l’objectif, la gestion de huit ordinateurs :

  • tous sous la même distro GNU/Linux (mais je ne sais pas encore laquelle, Debian, Manjaro ou Ubuntu ? Environnement Gnome Shell c’est sûr) ;
  • aux configurations matérielles un peu différentes (deux groupes de quatre) ;
  • répartis dans deux bâtiments avec deux accès à Internet distincts ;
  • avec un évolution possible des besoins (je n’exclue pas devoir gérer d’autres ordinateurs dans d’autres salles encore, par contre, ils seront toujours sous GNU/Linux, car c’est ma condition sine qua non pour que je m’implique.)

Je souhaite apprendre l’utilisation d’un logiciel de gestion de configuration comme Ansible, Chef ou Puppet.

  • Parce que ça a l’air très cool, que ça me semble plein de promesses, que je crois que je vais m’éclater, ne serait-ce qu’à ordonner à tout un prac d’installer, désinstaller des programmes, d’actualiser des petits fichiers de configs, de faire les mises à jour… :wink:
  • Parce que je crois que c’est une compétence qui pourrait être mise à profit pour nos services chaton. (Notre adminsys principal n’en utilise pas.)

À ce propos, est-ce que vous pensez que j’aurai besoin de déployer un réseau privé virtuel avec OpenVPN ou WireGuard afin que mes instructions se répercutent dans les ordinateurs de mes différents bâtiments ou est-ce que le logiciel de gestion de configuration dispose d’une fonction ninja pour s’en charger ?

Plus généralement, quels choix techniques feriez-vous à ma place ?

Merci infiniment.

1 « J'aime »

Voici les choix techniques que j’ai fait pour une association qui dispose de 6 postes de travail sous GNU/Linux. Un seul lieu mais uniquement des portables et 90% de télétravail, covid oblige.

  • Ubuntu 20.04. Ce n’est pas ma distribution préférée mais elle me pose moins de problèmes de prise en main par les utilisateurs qui ne sont pas du tout informaticiens et qui ont un turnover important (2 personnes renouvelées tout les six mois)
  • Je me suis fait une checklist pour l’installation d’un poste de travail à partir de rien, histoire de ne pas oublier des choses. Ca me prend une petite heure et je le fais manuellement.
  • Serveur burp déployé avec https://forge.tedomum.net/pilou/ansible-role-burp. Et ce role ansible est aussi utilisé coté client. C’est le seul aspect de la configuration du poste de travail qui passe par ansible. Ma motivation principale c’est que le faire à la main est juste un peu trop compliqué pour que ça vaille le coup.
  • Un OpenVPN auquel sont connectés tout les ordinateurs, ce qui me permet de prendre la main dessus si besoin (via https://remmina.org/ ou ssh). C’est aussi par le VPN que passent les sauvegardes.
1 « J'aime »

Moi je gère 12 machines dans une salle info d’une école, et je fais ça à coup de pdsh + un petit service qui remplace le home à chaque redémarrage et un autre qui connecte un nas . J’ai 2/3 scripts (très succins) pour les mises à jour, copier la conf et les paquets de l’un vers tous les autres.

Je pratique un peu ansible, mais franchement j’en ai pas l’intérêt dans ce cadre, et j’ai fait au plus rapide.

3 « J'aime »

J’avais oublié pdsh, merci du rappel :+1:

1 « J'aime »

Alors, pour 12 postes dans une école, c’est overkill, mais je suis en train de monter en compétence sur SambaÉdu dans un lycée : 32 machines en réseau, avec gestion des comptes élèves/professeurs/admin, une interface web pour gérer ça, une interface à Nextcloud et à RDP (merci Guacamole), possibilité de déployer les machines en PXE, …
Ça gère aussi bien du GNU/Linux que du Windows, …
Bon, on dépasse un peu le cadre des chatons, mais ça vaut le coup d’être mentionné.

3 « J'aime »

C’est peut-être overkilll… mais tu as évidemment raison de le mentionner.
Ici, en région AURA, c’est ATOS qui a obtenu la dsp pour tout ce qui est réseau et server des lycées de la région : CISCO+M$/.
Tout ce qui fait référence de près ou de loin à Linux a disparu… Au grand désespoir de tous les enseignant·es SNT qui ne peuvent plus utiliser linux dans le cadre du programme SNT.

Très mauvaise idée d’utiliser un outil de gconf comme ansible en pratique sur de la bureautique. Nous avons eu une tentative chez mon employeur, c’est fragile et peu adapté. Note: nous utilisions de la gconf de manière avancée pour un parc de centaines de serveurs, ce n’est pas une histoire de maitrise de l’outil, mais vraiment d’usage.

Je pense que la bonne approche est d’utiliser une solution « d’imagerie » (j’ai un doute sur le terme Français) comme FOG.

J’approuve également la recommandation de @dachary : Ubuntu 20.04 (la LTS)

2 « J'aime »

Ah mince… Peux-tu donner des exemples des problèmes que tu as rencontré ?

J’imaginais un logiciel de gestion de configuration, comme un outil plutôt générique (utilisable dans de tas de conditions différentes…) qui me permettrait d’économiser de l’énergie à n’apprendre qu’un seul logiciel pour les postes clients comme pour le serveur de l’association.

Il faut aussi noter que notre association (surtout moi) donne des cours d’initiation aux métiers de l’informatique (uniquement sur logiciel libre, la première chose qu’on y fait, c’est d’installer une distro GNU/Linux) à des jeunes collégiens et lycéens passionnés et que je comptais les initier à l’outil de gestion de configuration que j’utiliserai. Et aussi pour cette seconde raison : la restransmission de compétences généralistes, un logiciel de gestion de configuration en général, Ansible en particulier, me semblait le meilleur candidat.

C’est à pleurer, ce que tu écris là.

Tu as une source de cette affirmation ? Au niveau des programmes, pas au niveau des pratiques des enseignants. Pour moi le programme de SNT est assez agnostique de l’OS utilisé

Pardon, laisse tomber, j’ai mal lu.

De souvenir le bootstrap était compliqué car l’utilisateur ne devait pas avoir les droits root sur le portable, mais pour configurer tes policy et autres avec ansible tu as besoin d’un compte privilégié.
L’orchestration des lancements (admettons tu veux pousser une mise à jour de sécurité) était un autre sujet.
Le temps d’installation, c’est moins critique mais une fois l’installation tu ajoute les étapes de configuration et de mise à jour, certaines nécessitant un redémarrage, et tu peux multiplier par le nombre de fois où tu va installer un PC.
Il y avait des choses plus spécifiques mais traitées par un collègue il y a un bon moment, donc je ne saurais être plus précis désolé :confused:

Quid de Elementary.io ?

Hello,

En fait la problématique est toujours la suivante : trouver un process d’administration de postes de travail qui ne soit pas plus lourd/complexe à maintenir qu’un process où l’on ferait tout à la « main » ou presque. Cela dépend donc très fortement du nb de postes à gérer et, de l’utilisation qu’il est fait des postes de travail.

Plus précisément, il faut donc prendre en compte :

  • le nb de postes à gérer,
  • le mode d’utilisation (poste de travail personnel avec un ou deux utilisateurs ou postes en libre service),
  • hétérogénéité du parc de machines (20 machines identiques ? Ou bien plein de modèles/marques différentes…).

Pour ma « paroisse », j’ai une dizaine de postes, 4 modèles différents et des utilisations plutôt personnelles et voici le process, très simple, que j’ai adopté :

  • Distrib. : LinuxMint XFCE
  • une installation à la main avec une checklist (liste des applis à installer et personnalisations à faire)
  • un clone du poste une fois installé (Clonezilla), permettant de d’installer des modèles de postes identiques
  • une activation des màj auto. de la distrib., cela marche très bien avec Mint
  • une activation du compte Invité, permettant le libre-service quand nécessaire

En sachant que tous nos utilisateurs ont un compte Nextcloud et Thunderbird pour la messagerie, le webmail de NC étant pas encore assez abouti pour s’affranchir d’un client lourd comme TB.

Cela fait 9 mois que le parc est déployé comme cela, je n’y ai pas retouché et les postes sont tous à jour !

OH, …, SUPER piste.
Milles merci
Je vais passer à l’étude.

L’objectif est une contribution à la sobriété numérique & éthique pour l’association Grand parents pour le Climat de notre zone BEJUNE ( Suisse romande)

Je pense que de proposer un une configuration par clonage est mieux qu’un support individuel.

OK pour : Distrib. : LinuxMint XFCE
OK pour : une installation à la main avec une checklist (liste des applis à installer et personnalisations à faire), — est-il possible d’avoir une proposition / modèle ?
OK pour clonage : un clone du poste une fois installé (Clonezilla), permettant de d’installer des modèles de postes identiques
OK : une activation des màj auto. de la distrib., cela marche très bien avec Mint
OK : une activation du compte Invité, permettant le libre-service quand nécessaire

a suivre
Merci d’avance

Le nb de poste à gérer n’est pas identifiable.
Il s’agit plus tôt de trouver / créer un service CHATON « Desktop »

Il en existe des commerciaux, …, peût être puisse t’il en exister … ? sous forme de services CHATONS

Un service CHATONS peut aussi être rémunéré
Des compétences / expertises sont nécessaires, mais beaucoup pourraient en profiter

Ne serais-ce pas une piste d’essaimage ?
Frama soft désire favoriser des actions qui encouragent l’autonomie numérique, pour mettre à la portée du plus grand nombre un hébergement de confiance solidaire de nos vies numériques.

Servie Desktop icewarp
myCloud Desktop (Swisscom)

Installation d’une distribution Linux dans un environnement associatif

Contexte

Une dizaine de postes de travail avec des utilisateurs peu ou pas expérimenté (exemple : ne savent pas ajouter/configurer une imprimante sur un PC Windows ou un Mac…) et des machines âgées entre 3 et 8 ans. Les PCs sont utilisés en général par un seul et même utilisateur et toutes les données sont sur un Nextcloud. Pour la messagerie c’est le client Thunderbird qui a été choisi.

Au delà de l’installation de la distribution (ici Linux Mint XFCE) voilà ce que je fais…

Au niveau de l’environnement

  • création d’un compte « Admin », en plus du compte créé par défaut (Utilisateur) et qui sera le compte principal de l’utilisateur (un seul utilisateur qui configurera lui même son compte en lui attribuant un mot passe qui lui seul connaîtra). Le compte « Admin » permet de reprendre la main sur la machine au cas où l’utilisateur s’en va ou perd son mot de passe.
  • les utilisateurs peuvent installer des logiciels supplémentaires via la logithèque intégrée
  • Nommage de chaque machine (ex. PC01) afin de faciliter la gestion et l’inventaire.
  • Activation de Timeshift (points de restauration système avec un point par semaine)
  • Activation des mises à jour automatiques de la distribution avec purge automatique des noyaux obsolètes et des dépendances éventuelles
  • Installation du socle de logiciels défini au sein de l’association et qui ne sont pas installés de base dans la distribution (ex. nextcloud-desktop nemo nemo-nextcloud nemo-image-converter numlockx plank audacity linux-show-player obs-studio butt mixxx vlc gimp gimp-help-fr krita inkscape vokoscreen-ng cheese flameshot greybird-gtk-theme papirus-icon-theme easytag shotcut handbrake)
  • Mettre en démarrage auto. les applis que le nécessitent (ex. nextcloud-desktop, plank)
  • Activer NumlockX (Verr. Num.)
  • Restreindre les permissions de /home/user_principal afin que personne n’accède à ses données si ce n’est l’utilisateur courant de la machine
  • Appliquer le thème choisi et le fond d’écran (c’est plus « corporate »…)
  • Aménager le dock Plank avec les principaux raccourcis
  • Personnaliser l’horloge afin qu’elle affiche une date plus complète (exemple : %A %e %B %Y | %H:%M:%S)
  • Personnaliser l’icône du Menu Démarrer par l’icône de l’organisation (c’est plus « corporate »…)
  • Activation du compte Invité qui n’est pas activé par défaut
  • Désactiver le démarrage auto. de Warpinator (pas besoin chez nous)
  • Enregistrer le mot de passe de l’accès Wifi (si existe)
  • Installer l’imprimante par défaut de l’organisation
  • créer un raccourci supp. pour lancer Firefox en mode privé (firefox --private-window)

Au niveau de LibreOffice

  • Définir les options par défaut si nécessaire
  • Copier les modèles, si existent, dans /Modèles de la home du user, ne serait-ce que des fichiers vides

Au niveau de Firefox

  • Installer Addon uBlock Origin
  • Paramétrer le moteur de recherche (Qwant chez nous)
  • Paramétrer la page de démarrage (Une page spéciale stockée sur le serveur Web de l’asso. et contient tous les raccourcis utiles au quotidien)
  • Les PDF s’ouvrent dans Firefox par défaut

Au niveau de Thunderbird

  • Installer Addon Cardbook (pour synchronisation des carnets d’adresses de Nextcloud)

Divers

  • Faire un clone de la machine si nécessaire, via Clonezilla par exemple

Lors de la remise du PC à l’utilisateur final

  • Paramétrer avec lui son compte utilisateur
  • Paramétrer avec lui son compte de messagerie et sa signature
  • Paramétrer avec lui son (ou ses) carnet(s) d’adresses Nextcloud
  • Paramétrer avec lui son (ou ses) agendas Nextcloud
  • Paramétrer avec lui l’activation du mot de passe principal de Firefox lorsqu’il enregistre des mots de passe
  • Paramétrer avec lui son client de synchronisation Nextcloud (dossiers à synchroniser par exemple)
  • Faire signer à l’utilisateur la charte informatique de l’organisation
  • Mettre à jour l’inventaire des PC de l’organisation
2 « J'aime »

Dans un de mes cas d’usage, le contexte consiste migrer des « machines Apple » ne pouvant plus évoluer en MacOS , en Linux pour ainsi prolonger la durée de vie.

Les usages sont diverses et multiples et hétérogènes par des « privés »
Il ne s’agit donc pas de l’administration d’un parc machines

La seule constance est que je souhaites procéder par une même méthode d’analyse, d’inventaire et de solutions

D’où l’dée d’un Desktop as Service
Le poste client n’aurais que Linux & Firefox , le reste est en Desktop Service

Par contre la même et unique solution finale peut être apporté par étape personnalisée en fonction de l’usager
Exemple :

  1. migrer sur des Applications « Libres » en restant un certains temps sur MacOS,
  2. migrer sur Linux
    3 migrer sur des Application en Lignes

Merci @fabrice61 pour ce retour sur ton accompagnement de la migration des PC sous Linux. C’est très riche et ça permet de rappeler que pour réellement accompagner une association dans sa démarche de migration numérique, il ne faut pas oublier la mise à jour de l’OS.

Merci pour l’info et la piste.
Cela m’a pris un temps pour comprendre et ensuite mieux choisir une distrubution Linux

J’ai entres autres découvert Free Desktop projet
Dans mon contexte de tranisition MacBook MacOs ---> Linux (https://www.freedesktop.org/wiki/) , je pense que [Elementary] reste une (la ?) bonne piste.

J’ai aussi découvert que mon approche de migrer les Applications MacOS vers des Applications Libres en restant pour l’instant sur le MacOS maximum (ex El Capitain 10.10.6) ne permet plus d’évoluer avec Firefox qui reste aussi bloqué à la version esr78 alors que nous sommes à la version esr95

La longue route libre continue sa recherche

Bonne journée