Gestion des salles de cours informatiques à Géopolis

par Guillaume Lefebvre, coordinateur de support informatique, Ci-UNIL

Présentation des deux solutions logicielles choisies pour le déploiement et la sécurisation des nouvelles salles informatiques à Géopolis.

08_geopolis
© michelangelus – Fotolia.com

Les salles informatiques

Géopolis accueille cinq nouvelles salles informatiques, pour un total de 200 ordinateurs, gérées par les facultés SSP et GSE et le Ci. La volonté, outre de remplacer les salles Géolab de l’Amphipôle et Renevier de l’Anthropole, est de proposer de plus grandes salles avec plus d’ordinateurs, afin de répondre à l’augmentation du nombre d’étudiants fréquentant les cours nécessitant des ressources informatiques.

Gérer des salles de cours informatiques impose souvent des contraintes particulières, très différentes de celles rencontrées pour les ordinateurs de bureau :

  • reconfigurer tous les ordinateurs peu avant le début de chaque semestre, ceci afin d’ajouter ou supprimer des programmes selon la demande des enseignants
  • garantir que les ordinateurs soient le plus stable possible durant chaque semestre et donc limiter au maximum toute modification
  • le point précédent implique que nous ne faisons aucune mise à jour durant le semestre et donc que nous devons faire les mises à jour lors de la reconfiguration des ordinateurs
  • les salles étant en libre accès hors des périodes de cours, et l’accès aux ordinateurs étant réservé aux membres de la communauté universitaire, il est nécessaire de mettre en place un mécanisme permettant d’authentifier les utilisateurs
  • les salles étant en libre accès et utilisées par de nombreuses personnes différentes, il est nécessaire de mettre en place des protections contre les malveillances.

Deux logiciels ont été choisis pour répondre à ces contraintes :

  • FOG, projet libre et open-source afin assurer le déploiement massif d’ordinateurs
  • Drive, programme propriétaire, permettant de protéger les ordinateurs contre tout type de modification.

Un peu de technique

Déploiement ? késako ?

Le déploiement massif d’ordinateurs repose généralement sur la technologie du clonage des disques durs. De manière simplifiée, le clonage consiste à copier chaque information présente sur un disque dur dans un fichier, sans se soucier de son contenu ni de sa structure. Le fichier ainsi créé est généralement nommé image disque ou plus simplement image.

Cette technologie prend tout son sens dans le cas d’un déploiement massif d’ordinateurs. Il suffit en effet de configurer un seul ordinateur, souvent appelé master, puis de créer une image disque de cet ordinateur et de recopier cette image sur n autres ordinateurs. Ainsi, ces derniers auront exactement les mêmes données, logiciels, systèmes que l’ordinateur master.

Le déploiement par clonage permet ainsi de réduire considérablement le temps de configuration de chaque ordinateur.

Le point sur le réseau

Puisque nous allons parler réseau, il nous paraît indispensable d’expliciter les trois modes de transmission de données les plus utilisés :

  • L’unicast, ou point à point : sans doute la technologie la plus « visible » par les utilisateurs. Elle est par exemple utilisée pour l’accès aux sites web : un ordinateur établit une connexion vers un serveur web, demande une page. Le serveur répond, envoie le contenu de la page à l’ordinateur. Ce mode de transport de l’information sur les réseaux permet à plusieurs utilisateurs d’accéder à des contenus différents sur un même serveur : pour n utilisateurs, il y aura n connexions au serveur avec n contenus différents.
    La limite de ce mode de transport est que chaque connexion supplémentaire grignote la bande passante à disposition du serveur et que fatalement, lorsque le nombre de connexions simultanées devient trop important, la bande passante est saturée.
  • Le broadcast, ou point à multipoint : généralement utilisée sur des réseaux locaux par un ordinateur ou une imprimante pour dire « je suis là, je partage des fichiers » ou « je suis là, j’offre un service d’impression ».
    Le problème lié à ce mode de transmission est que tous les ordinateurs qui sont sur le même réseau reçoivent des données, même s’ils ne les ont pas demandées. Il a donc tendance générer beaucoup de « bruit » sur le réseau.
  • Le multicast, ou point à multipoint avec abonnement : fonctionne de manière similaire au broadcast, à la seule différence que les données ne sont reçues que par les ordinateurs qui les ont explicitement demandées.
    Cette technologie est typiquement utilisée par les opérateurs de télévision par Internet : on envoie un seul flux (une chaîne), à n ordinateurs (téléspectateurs) qui ont choisi de regarder cette chaîne en particulier. Le gros avantage par rapport à l’unicast, est qu’un serveur n’enverra qu’un seul flux de données ce qui va à la fois décharger le serveur et le réseau.

Dans le cas du déploiement d’ordinateurs, la problématique est similaire : on doit déployer à travers le réseau une image disque identique sur de nombreux ordinateurs. Voici quelques estimations qui permettent de mettre en évidence le gain de temps en utilisant la technologie multicast pour déployer 200 ordinateurs :

  • 50 heures pour un déploiement manuel : on passe sur chaque ordinateur avec un disque dur et on copie manuellement l’image.
  • 22 heures pour un déploiement unicast.
  • 30 minutes pour un déploiement multicast.

FOG

FOG est un système centralisé de déploiement par clonage qui repose avant tout sur la copie des fichiers images par le réseau. FOG s’articule autour des concepts suivants :

  • client ou ordinateur : il s’agit un ordinateur qui est référencé dans le système FOG et qui peut recevoir une image disque lors d’un déploiement
  • groupe : il s’agit d’un groupe d’ordinateurs. Les groupes permettent d’appliquer des mêmes réglages à un ensemble d’ordinateurs
  • image : il s’agit d’une image disque selon le concept de clonage. Une image peut être attribuée à un ordinateur ou un groupe d’ordinateurs
  • tâche : Une tâche est l’ordre donné au système de procéder au déploiement des images sur un groupe d’ordinateurs.

Architecture

Pour des raisons de sécurité et de performances, le réseau informatique de l’UNIL est segmenté en plusieurs sous-réseaux, souvent un sous-réseau par faculté ou service. Cette segmentation empêche certaines informations de passer d’un sous-réseau à l’autre, notamment le broadcast et le multicast. Pour déployer des images par multicast, il est donc nécessaire d’avoir un serveur par sous-réseau. Heureusement, FOG gère parfaitement une architecture de ce type. Il est en effet possible d’organiser FOG sur deux niveaux.

Le premier niveau autour d’un serveur central fournissant les services suivants et accessibles depuis l’ensemble du réseau universitaire :

  • une interface web pour la gestion
  • une base de donnée contenant la définition des ordinateurs, groupes, images et tâches
  • un espace de stockage contenant une copie de chaque image disque
  • le service proposant un démarrage sur le réseau
  • le déploiement d’images par unicast
  • communication avec les nœuds de stockage.

Au second niveau se situent les nœuds de stockage, dans le jargon de FOG. Un nœud est simplement un serveur présent dans un sous-réseau et fournissant les services suivants :

  • un espace de stockage contenant les images disques utilisées sur le sous-réseau
  • le déploiement d’images par multicast
  • le déploiement d’images par unicast.

08_geopolis_fog

En résumé, toute la gestion et l’administration du déploiement se fait au travers du serveur principal, qui s’occupe ensuite de déléguer, le cas échéant, des tâches à l’un ou l’autre nœud. Et pour chaque sous-réseau où l’on souhaite faire du déploiement multicast, il est nécessaire d’y installer un nœud.

Par ailleurs, un système de réplication automatique garantit que chaque image qui est créée sur un nœud de stockage est automatiquement copiée sur le serveur principal, ce qui permet de disposer d’une sauvegarde de chaque image.

Multi-systèmes

Un autre avantage de FOG est la possibilité de déployer d’autres systèmes que Windows. Il lui est notamment possible de déployer des images contenant le système Linux, et il semble aussi possible de l’utiliser pour déployer des systèmes Apple (variante pas encore testée). De plus, il permet aussi de déployer des images contenant plusieurs systèmes, notamment Windows et Linux.

Vu la demande des facultés de pouvoir aussi utiliser le système Linux dans les salles informatiques, cela nous permettra d’utiliser la même infrastructure pour déployer Windows et Linux.

Authentification centralisée

L’université dispose d’un système centralisé d’authentification. C’est à dire que le couple « nom d’utilisateur – mot de passe » de chaque membre de l’université est stocké de manière unique et que tous les services informatiques de l’université y sont reliés. C’est ainsi qu’on peut accéder avec le même nom d’utilisateur et mot de passe au mail à MyUNIL, aux applications administratives, etc.

Tant pour des raisons de sécurité que pour faciliter l’accès à certains services (PrintUNIL et DocUNIL), nous avons décidé que chaque personne souhaitant utiliser les ordinateurs des salles informatiques doit s’authentifier. FOG permet justement, après de déploiement, de connecter chaque ordinateur au service d’authentification de l’université.

Drive

Drive est un logiciel permettant de protéger un ordinateur utilisant le système Windows contre toute modification. Concrètement on peut régler la protection pour que l’ordinateur « oublie » toute modification à une fréquence définie : au redémarrage, chaque jour, chaque semaine, etc. Drive force un ordinateur à oublier toutes les modifications qu’il a subi précédemment.

Fonctionnement

Techniquement, Drive fonctionne à un très bas niveau, c’est-à-dire proche du niveau matériel. Même le système d’exploitation (Windows 7 dans notre cas), qui est pourtant la première brique logicielle entre le matériel et l’utilisateur, ne « voit » pas cette protection.

Le logiciel Drive s’intercale entre Windows et le disque dur. Lorsqu’on lit un fichier ou qu’on le modifie, Drive fait croire à Windows qu’il accède directement au disque dur, alors que ce n’est pas le cas.

Deux cas de figure se présentent :

  • modification ou écriture : lorsqu’un utilisateur (ou Windows lui-même) modifie un fichier, Drive empêche Windows de modifier ce fichier sur le disque et stocke les modifications dans un fichier spécial
  • lecture : lorsqu’un utilisateur (ou Windows lui-même) veut lire un fichier, Drive vérifie si ce fichier a été préalablement modifié. Si c’est le cas, il fournit la version qui a été stockée dans le fichier spécial. Si ce n’est pas le cas, il fournit le fichier original, stocké sur le disque dur.

Ainsi, pour oublier toute modification, il suffit à Drive d’effacer ce fichier spécial où toutes les modifications sont stockées.

08_geopolis_drive

Avantages

Ce type de protection de très bas niveau présente les avantages suivants :

  • protection très forte contre les virus : peu de virus doivent connaître et prendre en considération Drive. Ainsi, la plupart des virus seront effacés après le redémarrage de l’ordinateur
  • toute modification du système, des réglages ou mise à jour est perdue au redémarrage. L’ordinateur a ainsi après chaque redémarrage la même configuration qu’il avait lors de son installation
  • toute donnée stockée par les utilisateurs, quelle que soit sa taille, est perdue au redémarrage. Cela évite tout encombrement du disque dur par de nombreux fichiers, très vite obsolètes.

Outre cette très bonne protection, Drive à l’avantage de pouvoir être géré de manière centralisée et l’on peut donc activer ou désactiver simultanément la protection sur un ensemble d’ordinateurs.

Conclusion

Ces deux logiciels répondent donc parfaitement aux contraintes d’exploitation de salles de cours informatiques. La mise en place de ces salles à l’aide de ces deux logiciels consistant en quelque sorte un projet pilote, leur utilisation pourrait être étendue à d’autres salles informatiques du campus. De plus, dans le futur, il pourrait être envisageable d’utiliser et d’adapter le logiciel FOG pour déployer les postes de travail. Dans ce cas, un travail exploratoire reste encore à faire.

Pour en savoir plus :