Réseau pédagogique derrière serveur AMON

De Wiki Dane (ex wikitice)
Aller à : navigation, rechercher

page en chantier

Quelques détails sur les ajustements à faire lorsque le SLIS est remplacé par un AMON

Accès à internet des machines clientes

  • Le serveur SLIS comportait un proxy transparent, ce qui ne nécessitait aucun paramétrage sur les machines clientes pour accéder à internet.
  • Le serveur AMON ne dispose lui pas de proxy transparent mais d’un service WPAD. Il est également possible de configurer pour chaque navigateur et chaque utilisateur le proxy, mais c’est très long et l’automatisation n’existe pas pour tous les navigateurs avec SambaEdu.
  • Le service WPAD (Web Proxy Autodiscovery Protocol) permet lui d’envoyer automatiquement le paramétrage du proxy aux machines clientes, mais cela nécessite de configurer l’ordinateur et les navigateurs en activant l’option "Détecter automatiquement les paramètres de connexion".

Proxy-7a8c4.jpg

Attention : tous les systèmes d’exploitation pour ordinateurs (GNU/Linux, Windows, Mac OS) supportent le WPAD, ainsi que les tablettes et smartphones sous iOS et Windows, mais en septembre 2014, les appareils Android ne supportent toujours pas la configuration automatique du proxy !!!

Lorsque cette option est activée, dès son lancement, le navigateur cherche à lire le contenu du fichier situé à l’adresse : http://wpad.<domaine_local>/wpad.dat

Le domaine_local (suffixe DNS) peut être configuré sur chaque machine, mais il est la plupart du temps distribué en même temps que l’adresse IP par le serveur DHCP. Pour le serveur SE3, cela correspond au paramètre "Nom de domaine" dans la page de configuration du serveur DHCP.

Remarque : Le fichier WPAD contient une fonction qui renvoie les paramètres du proxy en fonction de certains éléments. Par exemple, dans le fichier ci-dessous : - le serveur lui-même reçoit comme information d’accéder directement à internet (sans proxy) - les machines du réseau administratif recevront un proxy en 10.95.70.246:3128 - toutes les autres machines (notamment du réseau pédagogique) recevront un proxy en 192.168.1.1:3128.

Contenu du fichier wpad.dat

   function FindProxyForURL(url, host) {
    if ( isInNet(host, "127.0.0.1", "255.255.255.255") ) { return "DIRECT"; }
    if ( isInNet(myIpAddress(), "10.95.70.0", "255.255.255.0") ) { return "PROXY 10.95.70.246:3128"; }
    return "PROXY 192.168.1.1:3128";
   }

Paramètrage du SE3

  • Le nom de domaine configuré dans le DHCP du SE3 est par défaut le nom du domaine local, donc dans le cas d'un Slis : "intranet.local".

Le changement du nom de domaine par défaut dans le module DHCP du SE3 est imposé, entre autre, pour permettre l'accès à l'interface web d'administration du SE3 une fois derrière le pare-feu AMON.

Se3 dhcp.jpg

  • Il convient donc de modifier le paramètre "nom de domaine" du DHCP, en indiquant l’adresse du serveur AMON, par exemple "RNE.in.ac-versailles.fr". Pour cela, arrêter le DHCP avec le bouton de l'interface, remplacer "intranet.local" par "RNE.in.ac-versailles.fr", enregistrer la modification puis relancer le DHCP.

Accès depuis l’intranet à l’interface d’administration du filtrage

  • Comme SLIS, le serveur AMON permet d’interdire/autoriser l’accès à certains sites web.
  • Sur simple demande, il sera remis au chef d’établissement l’adresse, l’identifiant et le mot de passe permettant d’accéder à l’interface d’administration du filtrage, pour le réseau pédagogique uniquement.
  • Ne pas oublier de définir les règles de filtrage des sites car pas défaut tout est ouvert.

Accès à distance à l’interface du serveur SambaEdu

  • Il est également possible de demander à la DSI un accès distant à l’interface de gestion du serveur SambaEdu.

À Vérifier

Quelques repères pour bien vérifier que tout est paramètre correctement : Changements SE3 :

  • Le technicien de la DSI doit donner à la "patte" du AMON reliée au réseau pédagogique la même IP que celle de votre ancien SLIS. Le fait que cela ne soit pas possible pour cause de plan d'adressage incohérent, est un cas particulier (voir la procédure avec le script chg_ip_se3.sh).
  • Si IP de l'AMON = IP du SLIS, modifier seulement l’entrée DNS dans l'interface web du SE3 : se3.RNE.in.ac-versailles.fr
  • Si IP de l'AMON ≠ IP du SLIS, lancer (sans option) le script chg_ip_se3.sh en modifiant uniquement, quand cela vous sera demandé, la nouvelle adresse IP de la passerelle (AMON) et modifier cette adresse IP dans la page de configuration du serveur DHCP. Amon *doit* avoir l'adresse de Slis.
  • Modifier les exceptions sur le proxy déployé : se3,se3.RNE.in.ac-versailles.fr,172.20.0.0/16 ou 192.168.1.0/24
  • Changer si nécessaire, le domaine d’expédition des messages dans l'interface d'administration du SE3 : RNE.in.ac-versailles.fr
  • Si Pronote est hébergé localement dans votre établissement, il n'est plus possible d'y accéder depuis un poste du réseau pédagogique en entrant dans un navigateur web l'url http://IP_PUBLIC_WAN_AMON/pronote en raison des règles de filtrage du AMON. Il faut passer par l'IP de la DMZ publique du AMON : http://192.168.2.1/pronote