SambaÉdu : 20 ans d’expérience !

De Se3 à Se4

Au fil des années et des différentes versions, ce logiciel libre comme sa communauté a su s’adapter ou évoluer tout en conservant son indépendance et son objectif principal : répondre au mieux aux besoins des utilisateurs des établissements scolaires.

Ainsi, les choses s’accélèrent pour SambaÉdu et son écosystème. Les développements se poursuivent sans faiblir et de nouvelles perspectives s’ouvrent, comme en témoignent le compte rendu de la dernière réunion de développements de décembre 2019 ou encore l’article sur Linuxfr.

Tout ce travail, et l’expérience acquise, a permis au projet d’évoluer de façon majeure pour qu’aujourd’hui Se3 laisse sa place à Se4 AD (Active Directory).

 

Qu’est-ce que Se4 AD ?

Il s’agit d’une solution qui reprend les fondements de son prédécesseur tout en le modernisant. Se4 s’appuie désormais sur Samba 4 AD, implémentation libre de Microsoft Active Directory. Se4 n’a donc rien à envier aux serveurs Windows qui utilisent ce même service d’annuaire.

Se4 s’appuie également sur une infrastructure autonome et qui est propre au projet SambaÉdu. Cette autonomie est en partie possible grâce au partenariat lié avec la société Néofutur basée en Île-de-France .

 

Qu’est-ce que cela change concrètement ?

Se4 utilise Debian Buster, la dernière version stable de la distribution Debian, réputée pour sa robustesse et sa fiabilité. Comparativement à Wheezy, utilisée par Se3, version de la distribution dont le suivi n’est plus assuré depuis 2018, Buster présente un bond de trois versions de distribution supérieures ! Et le suivi de cette nouvelle version est assuré pour une durée de 5 ans.

Debian Buster apporte notamment :

  • Des mises à jour de sécurité garanties pour plusieurs années,
  • Une version de Samba (AD) récente (4.9),
  • Une parfaite compatibilité avec les machines Windows et une mise au domaine selon la méthode classique Microsoft, sans aucune modification ni dégradation préalable de la station de travail,
  • Pour les utilisateurs, le gain est double : ils conservent leurs habitudes mais bénéficient de temps de connexion considérablement réduits.

 

Pourquoi SambaÉdu 4 est une mise à jour nécessaire ?

 

La problématique Windows 10

L’arrivée de Windows 10 et ses versions majeures régulières a constitué une des raisons majeures du développement de Se4.

Rappelons simplement que l’intégration d’un Windows 10 sur Se3 impliquait de lourdes dégradations de performances et de sécurité en obligeant l’utilisation du protocole historique SMB1 de Windows XP, obsolète et dangereux, au détriment de SMB3, et ce uniquement à des fins de pseudo compatibilité.

Cela avait pour effet de créer des problèmes et générait des dysfonctionnements d’autant plus marquants que le nombre de Windows 10 sur le réseau augmentait.

Ci-dessous un récapitulatif du comportement de Windows 10 selon le type de domaine :

Se3
Se4 (comme Windows® Server)
Type de domaine
NT
Active Directory
Protocole
SMB1 sur W10 / SMB2 sur W7
SMB3 sur W10 / SMB2 sur W7
Temps de connexion
Min
Moyen
Max
Min
Moyen
Max
$30 \, s$
$50 \, s$ [1]
$ \color{red} {> 5 \, min}$
$10 \, s$
$20 \, à \, 30 \, s$
$2 \, min$ [2]

 

Problèmes constatés sur Se3

Parmi les problèmes qui sont constatés sur un Se3 en production, citons les suivants lorsqu’on utilise des clients-windows [3] :

  • Détérioration des comptes locaux
     
  • Corruption des profils errants
     
  • Apparition de dysfonctionnements, en particulier sur W10 [4]
     
    • Des ouverture de sessions utilisateurs > 5 min, voire interminables
       
    • Un menu démarrer ou un bureau incomplet
       
    • Des lecteurs réseaux manquants
       
    • Des problèmes de synchronisation des profils [5]
       
    • Un risque de sécurité avéré à continuer d’utiliser SMB1, puisque ce protocole est connu pour ses failles

Il serait donc totalement illusoire de penser pouvoir conserver ce mode de fonctionnement contraint : le passage de Se3 à Se4 s’impose.

 

Pourquoi en est-il autrement sous Se4 ?

Rappelons-le, Se4 s’appuie, quant à lui, sur un annuaire type Microsoft Active Directory. Il supporte nativement Windows 10 et son protocole d’origine SMB3 sans aucune modification.

Il en résulte :

  • Des performances bien meilleures et une réduction drastique des temps de connexion
  • Une sécurité accrue
  • Plus d’intérêt réel à utiliser Windows® Server et payer des licences pour ce dernier comme pour la connexion des clients au domaine

Outre le lycée parisien qui a permis de fiabiliser la solution, une quinzaine d’établissements ont déjà été mis à niveau en région Île-de-France dont certains de taille importante :

  • Un lycée dans le 95, 800 postes fixes, 650 tablettes, 1000 smartphones, 1000 élèves, 140 enseignants avec avec Radius relié au Se4 et un serveur Packetfence pour la gestion du matériel mobile.
  • Une cité scolaire EREA dans le 92, 400 machines, 400 élèves, 70 enseignants
  • Un lycée dans le 91, 360 machines, 1100 élèves, 80 enseignants avec Radius relié au Se4 pour ceux désirant connecter leur matériel au réseau pédagogique.

Une étude approfondie a par ailleurs été menée sur 4 autres établissements également de taille significative utilisant les deux solutions. La bascule a été faite de Se3 vers Se4 en production par la société Néofutur :

  • Un lycée dans le 78 avec 350 machines, 1000 tablettes, 900 élèves, 80 enseignants
  • Une cité scolaire à Paris, 330 postes, + 120 tablettes avec Radius relié au Se4, 1200 élèves, 120 enseignants
  • Un lycée dans le 78 avec 750 machines, 1800 élèves, 100 enseignants
  • Un lycée dans le 78, 400 machines, 700 élèves, 60 enseignants

Le constat est le suivant pour un parc de Windows 10 autour de 25% par rapport à W7 :

Temps de connexion en production
Se3 avant migration
Se4 après migration
Au minimum
$40 \, s$
$15 \, s$
En moyenne
$2 \, min \, 30$
$50 \, s$
Au maximum
$> 5 \, min$
$2 \, min$

 

De nouvelles fonctionnalités sur Se4

Parmi les nouvelles fonctionnalités, citons les suivantes :

  • Possibilité de créer les comptes via une synchronisation ENT
  • Gestion des stratégies des clients par GPO côté serveur à l’aide de l’interface Web
  • Possibilité de gérer des GPO personnalisées sur les postes Windows avec la console RSAT
  • Support avancé de l’IPXE avec prise en charge des bios UEFI
  • Enregistrement automatique des postes sur le DNS dynamiques avec réservation dhcp possible
  • Déploiement ou clonage de W10 d’une simplicité et d’une rapidité exceptionnelle (via l’interface ou devant le poste)
  • Déploiement des imprimantes par GPO
  • Installation totalement automatique de clients Linux Debian Buster avec intégration au domaine.
  • Utilisation de l’annuaire AD pour tous les services externes (SPIP, PacketFence, Nextcloud…)
  • Installation de Se4 conforme aux standards Debian
  • Changement de la version de la distribution conforme aux standards Debian [6]

Il est bien entendu préconisé de basculer sur cette version afin de bénéficier des évolutions et surtout pour éviter les dysfonctionnements voire les situations de blocage.

 

Un processus de montée de version vers Se4 simplifié

Avec la dernière version stable de Se3, la 3.0.9, le paquet sambaedu-config sera installé automatiquement par dépendance. Il a été conçu afin de mettre à disposition une gamme d’outils spécifiques destinés à simplifier la migration et permettre son exécution rapide.

La migration repose sur les principes suivants :

  • L’installation de Se4 est effectuée à partir d’un Se3 en production. Elle se configure à partir de ce dernier et elle est totalement automatisée (utilisation du Se3 ou d’une image d’installation Linux, au choix).
  • L’annuaire (comptes utilisateurs et machines) est récupéré automatiquement du Se3 afin d’être réinjecté dans l’annuaire AD du Se4. Toutefois celui du Se3 n’est pas modifié ou altéré au cas où la migration de l’annuaire poserait problème (pas de risque à tenter la migration).
  • Les postes clients Windows migrent automatiquement du domaine Se3 vers le Se4 AD sans intervention humaine. Le simple fait de démarrer les bons services côté serveur Se4 suffit aux machines Windows de détecter qu’un annuaire AD est présent sur leur réseau. À partir de là, elles joignent automatiquement ce domaine AD. il n’y a pas besoin de réintégrer les postes au domaine.
  • La récupération des données utilisateurs de Se3 vers Se4 est également prise en charge de façon automatisée, correction des droits comprise.
  • L’ensemble de la migration est documenté

Il en résulte donc :

  • Une opération transparente pour les utilisateurs
  • Un temps de coupure du service très limité
  • Une conduite du changement simplifiée

Aucune autre solution ne propose ce type de migration simplifiée sans impact sur les postes clients.

Vous trouverez un article sur le site associatif avec des scénarios.

Pour plus de renseignements, voire de l’accompagnement, vous pouvez utiliser les différents canaux de communication à votre disposition.

 

L’entraide : un des grands principes du libre !

Si la communauté peut vous aider et vous accompagner dans votre démarche de migration vers SambeEdu4, vous pouvez également contribuer, de votre côté, simplement en adhérant à l’association !

Chaque adhésion compte, quel que soit son montant (qui, faut-il, le rappeler est libre) : vous pouvez adhérer en votre nom, mais nous vous encourageons également à faire adhérer votre établissement. C’est une manière de montrer votre attachement et votre soutien à la solution de serveur pédagogique libre SambaÉdu.

L’adhésion à l’association SambaÉdu est valable pour la durée d’une année scolaire.

Comme pour tout projet libre, vous pouvez participer en faisant remonter des dysfonctionnements, en aidant à la rédaction de documentation, en demandant des fonctionnalités et, bien sûr, en aidant au développement. Contribuer au projet SambaÉdu peut donc prendre différentes voies en fonction de vos possibilités :

  • Signaler un dysfonctionnement
  • Proposer une évolution
  • Écrire de la documentation
  • Participer au développement
  • Adhérer à l’association SambaÉdu

SambaÉdu, c’est une gestion de réseau pédagogique, par des enseignants pour les enseignants et les élèves.

 

Notes

[1Il varie en fonction du matériel (HDD / SDD) et des usages mais tend à s’allonger significativement au fur et à mesure de l’ajout de Windows 10 sur le réseau.

[2Ce délai a été observé sur de très gros établissements, quelques exemples sont donnés à la suite de ce document.

[3La plupart de ces problèmes ne sont pas constatés avec des clients-linux.

[4Ces difficultés deviennent croissantes lorsque le nombre de Windows 10 devient significatif. Avec l’arrêt du support de Windows 7, il est forcément destiné à augmenter rapidement.

[5La taille des profils W10 est en moyenne 5 fois supérieure à celle de W7 d’où une accumulation rapide des problèmes.

[6Ainsi nous sommes passés de Stretch à Buster par un simple « apt update && apt upgrade ».

Publié le

(mis à jour le 8 mai 2020)

Auteur(s)

Conseil Collégial

Mots-clés

Autres articles