Forum Linux.général Gestion centralisée d'un parc de postes de travail (300 postes)

Posté par  . Licence CC By‑SA.
Étiquettes :
7
27
août
2017

Bonjour

Je souhaiterais migrer environ 1/3 d'un parc de postes de travail munis de Windows+Word/Excel vers une solution Linux+OpenOffice.

Sur les postes concernés, au niveau des outils bureautiques il n'y a pas de soucis particulier à part une 're-formation' des utilisateurs.

Mais il me reste à étudier comment faciliter l'administration de ces machines (installation des patchs, des outils…) pour prouver la validité de ce modèle par rapport à un modèle payant Microsoft.

En effet, aujourd'hui:
- les utilisateurs sont gérés par AD avec leur documents importants sur un partage réseau.
- et surtout les machines sont pilotées par les GPO windows (installation de logiciels, mises à jours;..)

Je voudrais trouver un equivalent sous linux et même aller plus loin avec la possibilité de déployer de nouveaux postes de travail lors du renouvellement des machines avec le minimum d'intervention humaine.

Avez vous des idées ?

Merci

  • # expérience dans un labo

    Posté par  . Évalué à 5.

    Sur un parc un peu plus petit, nous nous reposons largement sur le système de paquets Debian : nous avons un dépôt local au labo. Ce dépôt contient des paquets de configuration (paramétrage de la sauvegarde, LDAP, des dépôts, personnalisation de KDE/Gnome, etc), que nous installons au paramétrage des postes.

    L'avantage est que l'architecture est simple, et on reste dans un schéma tout à fait classique de distrib Linux, ce qui est un avantage pour les utilisateurs qui connaissent déjà Linux. Et c'est très évolutif : il suffit de modifier nos paquets de configuration, qui sont automatiquement propagés comme les mises à jour de sécurité, et nos postes récupèrent la nouvelle config.
    L'inconvénient: il faut savoir packager, mais ça s'apprend assez bien pour un admin sys.

    Une méthode similaire pour paramétrer Gnome a été présentée à la mini-debconf 2015 de Lyon, utilisé sur plus d'un milliers de poste à EDF : 
    http://meetings-archive.debian.net/pub/debian-meetings/2015/mini-debconf-lyon/slides/GNOME%20for%20system%20administrators%20-%20jessie%20edition.pdf

    Il existe également des outils de gestion de parc, mais d'autres ici pourrons en parler mieux.

    • [^] # Re: expérience dans un labo

      Posté par  . Évalué à 2.

      On fait pareil ici, et avec notre contexte légèrement différent ça peut vite devenir l'enfer. Il faut une bonne maîtrise de son parc pour que ça fonctionne sans soucis:

      • Il faut fournir une jolie interface aux utilisateurs sinon ils ne comprennent pas comment MAJ leur mot de passe, et ils ne comprennent pas que c'est décorrélé de leur mot de passe AD.
      • Si une machine ne met pas ses paquets à jour correctement (e.g: un admin d'une autre équipe a décidé de virer la tâche cron correspondante) c'est frustant d'avoir des tickets aussi *** à traiter.

      Après, je suis d'accord sur l'aspect simplicité, surtout que la création de tels paquets peut facilement s'automatiser.

  • # FreeIPA

    Posté par  . Évalué à -2. Dernière modification le 27 août 2017 à 09:08.

    Je suis en train de tester avec un ami l'intégration de postes GNU/Linux dans un domaine Windows, avec VirtualBox. Ce n'est pas gagné et je suis intéressé par des retours aussi.
    http://www.numopen.fr/Integrer-un-ordinateur-avec-Linux-Mint-MATE-dans-un-domaine-Windows
    Un serveur FreeIPA et des outils de déploiement Linux (Puppet etc.) pourrait t'aider.
    Pour LibreOffice, utilise les dernières versions bêta car même dans ces versions, il y a de petits bugs gênants (sélection dans filtre auto ne marche pas avec les dates, ça rame quand il y a trop de fonctions recherchev()…) dans Calc, qui seront corrigés dans la version de développement (6.0).
    Pour un tel projet, je pense qu'il faut te faire accompagner par une SSLL avec un support qui tient la route.

    • [^] # Re: FreeIPA

      Posté par  . Évalué à 5.

      Pour un tel projet, je pense qu'il faut te faire accompagner par une SSLL avec un support qui tient la route.

      Hum ….

      • [^] # Re: FreeIPA

        Posté par  . Évalué à 2.

        Il ne donne pas le contexte ni le budget. Si c'est une association ou une administration, il a peut-être 0€ de budget de fonctionnement, donc faire appel à une boîte…

        • [^] # Re: FreeIPA

          Posté par  . Évalué à 2.

          D'autant plus qu'il faut se méfier des prestataires pour ce genre de projet.

          • [^] # Re: FreeIPA

            Posté par  . Évalué à 5.

            Il ne faut pas se méfier des prestataires de manière générale? :-)

            Après, c'est comme tout, j'imagine. Quand tu fais appel à un électricien, tu peux tomber sur un pro qui sait ce qui fait et en plus qui est efficace, et tu peux tomber sur un guignol pas sérieux qui se forme sur le tas. Je n'y connais absolument rien à ce milieu, mais d'après ce que je lis parfois sur ce site, ça fait quand même peur…

  • # Tirer partie de l'expérience des autres...

    Posté par  (site web personnel, Mastodon) . Évalué à 5.

  • # Quelques idées

    Posté par  (Mastodon) . Évalué à 3. Dernière modification le 28 août 2017 à 12:03.

    Le sujet est vaste.

    Déploiement / gestion de configuration

    Au niveau du déploiement/configuration de machines nous utilisons avec succès pour nos serveurs le couple The Foreman / Puppet. C'est la version "libre" de Redhat Satellite. Bien que ce soit conçu dans une optique serveur je ne vois pas ce qui pourrait bloquer un cas desktop.

    Gestion des mises à jours

    Pour les mises à jours il y'a plusieurs méthodes, il faudrait mieux connaître tes utilisateurs, leurs cas d'usage et types d'horaire de travail. Quelques méthodes:

    La méthode bête et méchante :

    Tu forces les maj tous les x temps avec un reboot imposé (par exemple tous les week-ends). Le corollaire c'est que :

    • Tes utilisateurs doivent être informés que s'ils laissent leur pc allumé tout document ouvert et pas sauvé sera perdu
    • Forcer le démarrage des machines via wakeonlan
    • Si des gens prennent leur laptop à la maison tu seras obligé de géré ce cas différemment

    L'avantage c'est que ça nécessite peu d'outillage. Juste de pouvoir faire éventuellement du wake-on-lan et le reste c'est de la crontab.

    La méthode souple:

    Tu éduques tes utilisateurs pour qu'ils lancent les maj depuis l'application dédiée sur leur desktop (celle qui annonce les maj) de temps en temps et tu forces les maj de temps en temps pour le reste du backlog (en gros les utilisateurs qui ne le feraient pas. Là il faut bien connaître ses utilisteurs et savoir s'ils sont prêt.

    De toute façon c'est plus où moins la même merde sous windows.

    Il existe un outil console nommé apt-dater qui permet de faciliter le check et les mises à jour de groupes de machines. Bien que son nom contient "apt" il sait maintenant gérer les distribs basées sur du redhat/suse. Dans le cas où tu utiliserais un outil comme Foreman, le plugin Katello permet aussi de gérer tout cela de façon un peu plus "enterprise friendly" (en gros c'est dans l'interface web), il peut te créer des rapports sur l'état des clients et pousser des jobs de mises à jour grouper.

    Le nerf de la guerre

    Vu que tu parles de ne migrer qu'1/3 du parc tu vas j'imagine garder ton AD. Ce n'est pas un problème en soit car on peut utiliser l'AD pour s'authentifier sur des machines linux. Par contre tu vas devoir gérer la cohabitation parc windows/parc linux correctement. Quid de la compatibilité des formats de fichiers ? Quid de la gestion des accès sur les partages réseaux ? Quand l'utilisateur X qui est encore sous windows envoie un lien vers un fichier de type K:\nomdesondepartement\biduletruc.doc par email à ton utilisateur Y comment celui-ci saura que K:\ correspond normalement au share Bidule sur le serveur Trucmuche ? Bref fonctionnez-vous avec des share réseaux ou utilisez-vous une GED ? Quid de la messagerie ? De mon côté je m'accomode du fonctionnement de Gnome Evolution (j'avais utilisé davmail avec kmail auparavant) pour l'accès à ma boite exchange mais il me crashe quand même régulièrement des messages comme quoi il perd la connection avec l'addressbook. Si moi je peux m'en accomoder je n'accèpterai pas ce genre de bricolage avec mes utilisateurs.

    Au niveau technique il y'a plein de solutions abouties pour gérer des linux en masse. Le principal challenge c'est de faire cohabiter deux mondes.

  • # Exemple en production

    Posté par  . Évalué à 4.

    Pour gérer un parque d'entreprise (un peu moins de postes que dans ton cas) nous utilisons:
    - Des kickstart personnalisés lors de l'installation des machines (partitionnement, etc)
    - Puppet pour la configuration des machines (nécessite une infra puppet en place, il existe plusieurs solutions assez facilement déployable)
    - Un dépot sur un de nos serveurs pour forcer certains logiciels
    - Un FreeIPA pour gérer les accès sur des services, mais peut très bien être utilisé comme un AD pour l'authentification des utilisateurs (via kerberos)

    Niveau interventions humaines il suffit de démarrer la machine sur le PXE, lancer la bonne image, revenir quand c'est bon, lancer puppet une fois et c'est bon. Moins de 10 minutes de travail effectif.

    Si tu ne sais pas demande, si tu sais partage !

  • # Merci

    Posté par  . Évalué à 1.

    Pour les reboot, cela ne m’inquiète pas trop ce sera comme pour windows => un forçage de reboot que nous faisons déjà.
    La messagerie étant du ZIMBRA via un navigateur, le problème ne se pose pas non plus.

    Ce seront effectivement les échanges de fichiers qui seront les plus compliqués à traiter.
    Probablement avec une revue des 'power users' générant des fichiers complexes on devrait pouvoir trouver une solution

    En tout cas merci pour votre aide

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.