Mise à jour version 4.16 serveurs SambaÉdu en version Debian Bookworm

Version stable 4.16

La version stable 4.16 a été publiée le 28 février 2025. Elle est disponible pour les serveurs en version Debian Bookworm (voir cet article pour la procédure de migration depuis Bullseye). Les nouvelles installations doivent être directement faites en Bookworm (Debian 12).

Vous trouverez ci-dessous les principales modifications et évolutions depuis la dernière version stable.

À noter la procédure à suivre pour mener à bien cette mise à jour : en cas de problème, n’hésitez pas à utiliser nos salons à votre disposition sur Tchap, ou un des autres moyens de communication.

 

Points d’attention

Délégation des droits
La refonte du système de délégation des droits nécessitera de remettre en place ces délégations avec le nouveau système après la mise à jour si vous souhaitez redonner des droits particuliers à certains utilisateurs ou groupes d’utilisateurs. Cela n’a pas d’impact sur l’usage courant, mais il sera nécessaire de redéfinir les rôles et délégations le cas échéant : https://doc.sambaedu.org/utiliser-se4/guide-administration/droits.
 
Gestion des profils et GPO
D’autre part, la modification du système de gestion des profils peut nécessiter une modification de la GPO Redirections, afin d’en supprimer le cache et améliorer nettement la fiabilité des profils, au détriment d’un délai d’ouverture de session très légèrement plus long. Il peut être alors nécessaire de surveiller que certaines applications déployées ne remplissent pas exagérément les profils, voire mettre en place des exclusions à partir de l’interface admin (rubrique Clients et applications, Gestion des GPOs et statistiques profils itinérants, Statistiques sur la taille des dossiers des profils itinérants et exclusion de dossiers de ceux-ci).
 
En cas d’erreurs liées aux GPO lors de la mise à jour des GPO depuis l’interface, ou dans un mail de rapport suite à la mise à jour, il faut lancer sur le SE4AD (après sa mise à jour) depuis le compte root : samba-tool ntacl sysvolreset --use-kerberos=required.
 
Version des clients Windows
La seule version de Windows pouvant être téléchargée est maintenant Windows 11 24H2. Le téléchargement automatique est fonctionnel, mais ne peut être tenté qu’une seule et unique fois par 24h. En cas de problème, inutile de tenter de nouveau avant ce délai minimum ! Il est toujours possible de déposer dans le dossier iso une image téléchargée autrement, puis de lancer la mise en place depuis l’interface. L’installation d’autres versions de Windows, et en particulier Windows 10 reste possible, mais n’est plus supportée, et ne fera plus l’objet de vérifications lors de développements futurs. On rappelle que Windows 11 24H2 déployé via SambaÉdu est compatible avec tous les PC de moins de 10 ans, voire même plus !
 
Support de WinGet
Le support de WinGet pour l’installation n’est pas activé par défaut. Il reste encore des choses à faire évoluer, notamment la possibilité de créer un dépôt local pour éviter de charger les applications directement depuis internet., et également pour pouvoir avoir des recettes d’installation spécifiques.

 

Procédure de mise à jour

Nota bene : Bien entendu, nous vous recommandons une sauvegarde ou au moins un snapshot sur le SE4FS et le SE4AD avant de réaliser cette opération de mise à jour.

 
Pour la réalisation de cette mise à jour, veuillez respecter la procédure suivante :
 

  • commencer, sur le serveur SE4FS, par sa mise à jour avec la commande :
    apt update && apt full-upgrade
  • une fois terminée, réaliser la mise à jour sur le SE4AD :
    apt update && apt full-upgrade

 

Avertissement :
Si une mise à jour des fichiers de configuration des paquets est proposée, bien vérifier que l’option par défaut est "Garder la version actuellement installée" !

 

Remerciements

Nous tenons à remercier les personnes suivantes pour leur contributions au projet pour cette release : Denis, Tom, Éric, Laurent, Laurent, Marc, Gilles, Valentin, Emmanuel, Rachel, Nour, Oriane et Jean-Matthieu.

Nous remercions également la société Irundo (pour plus d’informations sur Irundo) pour ses contributions concernant le mode multi-établissements et en particulier l’interface de centralisation pour celui-ci.

 

Nouvelles fonctionnalités

Utilisateur

  • Création de comptes temporaires (activable via temp_users = "1" dans /etc/sambaedu/sambaedu.conf par exemple).
  • Automatisation des montages cloud : nuages.apps, cloud IDF, établissement... (et tout stockage compatible avec https://rclone.org/#providers).
  • Association matière enseignée / classe ou groupe pour les partages (en mode cloud établissement uniquement).
  • Interface de gestion des devoirs (en mode cloud établissement uniquement).
  • Meilleure gestion des profils windows et préférences d’application pour l’utilisateur.
  • Possibilité de déployer des applications depuis l’interface utilisateur.

 

Administrateur

  • Déploiement Windows 11 24H2.
  • Gestion fine des profils de droits et délégations.
  • Mode Référent Numérique.
  • Mode supervision globale dans Veyon.
  • Nettoyage des environnements utilisateur Windows.
  • Système souple de définition des redirections de profil par application.
  • Système simplifié de définition des applications par défaut.
  • Améliorations multiples des imports de comptes automatisés.
  • Prise en compte des fonctions, matières, groupes lors des imports.
  • Déploiement d’applications WPKG en self-service avec gestion des profils et délégations.
  • Installation et mise à jour d’applications via WinGet en complément de WPKG (expérimental, non activé par défaut)
  • Mode multi-établissements avec console de gestion centralisée spécifique.

 

Informations sur les nouveautés de la mise à jour 4.16

  • Passage en Samba 4.21, correction des appels des fonctions net rpc shutdown, smbclient, samba-tool, rpcclient et smbcacls .
  • Refonte de l’interface admin (exit les frameset, début d’un gros chantier de modernisation du code), refonte de la barre du haut et du menu de gauche (Bootstrap + CSS), refactorisation du code, bordure sur les tableaux
  • Nombreuses correction et optimisations diverses, amélioration de la gestion du cache et de la sécurité
  • Mise à jour des bibliothèques composer
  • Refonte de la gestion des droits, refonte des pages de délégations et droits, délégation droit administrateur local du poste pour une durée limitée, corrections et adaptations pages et menus pour délégations droits, ajout du droit refnum
  • Amélioration de l’importation, annulation de l’importation en cas d’erreur de connexion à l’ENT, ajout de fonctions dans l’annuaire (AED, Direction, VieScol, Secretariat, Documentaliste, AESH), rétablissement de la date de naissance des utilisateurs avec chiffrement, prise en compte des matières dans l’importation ENT, bascule des matières à la racine (attention, les anciennes matières sont supprimées), ajout de l’OpenENT Corse, amélioration des messages d’importation, limitation à un seul mail par 24h pour la MFA à l’ENT, option de configuration pour l’importation du email interne ENT (ent_email_domain = "monlycee.net" par exemple, dans /etc/sambaedu/sambaedu.conf.d/ent.conf), optimisation du cache, correction de la modification des alias en mode OpenENT (le - n’est plus valide), correction en cas d’absence de DATE_SORTIE lors l’importation Siecle, amélioration de la mise en correspondance des utilisateurs lors de l’importation, correction du sujet du mail sans UAI, correspondances strictes dans le cas d’imports automatisés, correction des élèves pouvant être mis parfois dans plusieurs classes, vidage du cache en fin d’importation, correction renommage de l’utilisateur AD lors de l’importation, message lors de la détection d’un utilisateur similaire à un autre (suspicion de doublon) avec un lien vers la modification, réécriture de l’importation des groupes ENT, correction et optimisation de la mise en correspondance par ID, ajout possibilité importation de compte ENT «  Invité  »
  • Mode cloud : clarification des messages concernant les montages cloud, optimisations concernant l’activation des comptes, gestion du dossier mesdocuments, gestion des raccourcis dans l’explorateur pour dossiers cloud, raccourci pour la réparation des accès cloud pour les utilisateurs, fixation quota utilisateur NextCloud, améliorations des appels API NextCloud, gestion dossiers echange, mise à jour des Id NC non bloquante en cas d’erreur, interface d’assignation matières/groupes, gestion de la distribution et récupération de devoirs et cours par classe et matières
  • Correction de la gestion de sessions Guacamole, correction de la génération de configuration Guacamole
  • Correction de la lecture de la configuration
  • Correction d’un warning si le nom complet de l’utilisateur n’existe pas
  • Améliorations iPXE : ajout d’une erreur Notice dans le log en cas uuid BIOS différent sur le poste et dans l’AD, affichage de l’UUID de machine sur la page de boot et passage de celui-ci en minuscule sans espace, pas d’enregistrement DNS en cas d’action par défaut, protection nom de machine vide au boot
  • Correction et nettoyage des enregistrements DNS en cas de changement d’IP, affichage des informations correctes concernant l’IP et l’enregistrement DNS, correction d’une erreur de suppression PTR, passage de l’update DNS, en asynchrone, via le DHCP, dossiers DHCP en mode apparmor complain
  • Désinstallation de OneDrive sur les clients Windows, suppression lien OneDrive
  • Filtrage des sous-groupes de classes lors de l’importation
  • Corrections et amélioration de la gestion des fonds d’écran et de l’affichage du nom d’utilisateur connecté
  • Obfuscation des mots de passes et secrets dans les notifications mail en cas de modification des fichiers de configuration
  • Support du cloud drive RIDF, ajout du montage via rclone, possibilité de migration de Docs vers le drive RIDF, ajout script logon pour drive RIDF
  • Corrections diverses concernant les changements de mot de passe ENT
  • Amélioration de la détection de l’état des clients Linux
  • Optimisations concernant les répertoires en mode cloud, pas de suppressions des répertoires avec des partages qui changent
  • Correction d’un warning lors du WOL
  • Grand ménage de pages obsolètes et de code, suppression de la page UPS
  • Correction du mot de passe machine pour les clinux qui pouvait être non-conforme, amélioration de la configuration réseau (Wi-Fi WPA ou 802.1X, 802.1X filaire) avec du Wake On LAN activé
  • Corrections de bugs d’icônes et de montage overlay wine
  • Améliorations des listings des groupes avec mot de passe
  • Génération d’un CSV/PDF lors de la réinit des mot de passe
  • Corrections DHCP extra_option VLAN, support (uniquement dans la configuration /etc/sambaedu/sambaedu.conf.d/dhcp.conf) de plages supplémentaires dans un même sous-réseau
  • Correction de cas limite causant le blocage du boot iPXE
  • Correction de l’affichage pour l’importation de machines par CSV
  • Nettoyage des clients windows : suppression des dossiers inutiles, affichage feeds et fonctions IA, désactivation Expériences connectées Office & Copilot & Recall (conformément aux indications de l’ANSSI et du RSSI de l’Académie de Versailles), rétablissement du fonctionnement des appx pour les utilisateurs
  • Ajout d’une condition de non-appartenance aux groupes dans les scripts applications
  • Correction d’un warning concernant la suppression d’un fichier de log WPKG inexistant
  • Désactivation de la publicité pour VPN dans Firefox
  • Ajout d’un point d’entrée pour la nouvelle API
  • Recherche globale des fonctions des utilisateurs, refonte des pages de création et modification utilisateur, avec prise en compte de la fonction, amélioration de l’affectation des fonctions refnum et perdir
  • Amélioration de lisibilité et d’accessibilité aux éléments de la liste avec le clavier et uniformisation des pages
    « Listes des parcs » et « Actions sur les parcs », suppression de l’affichage du nom de l’établissement en mode mono-etab
  • Augmentation de la memory_limit PHP
  • Automatisation du planning de vacances scolaires (pour l’allumage automatique des postes) via l’OpenData
  • Améliorations de l’interface user
  • Amélioration des messages pour la réinitialisation des mots de passe, gestion de la complexité du code ENT sur les pages
  • Sécurisation de la réinitialisation des mots de passe
  • Optimisations recherche des groupes
  • Amélioration des requêtes LDAP, éradication des * dans les requêtes LDAP prédéfinies
  • Ajout d’un paramètre pour SSO Educonnect, afin de ne pas afficher de notion d’identifiant ENT (ent_educonnect = "1" dans /etc/sambaedu/sambaedu.conf.d/ent.conf)
  • Amélioration de la gestion des raccourcis, corrections de bug d’icônes pour les clinux, correction des raccourcis windows qui ne prenaient pas en compte $user
  • Correction téléchargement ISO Windows pour support W11 24H2
  • Corrections affichage délégations
  • Amélioration de l’envoi du mot de passe dans iPXE
  • Corrections recherche utilisateur
  • La suppression des home «  orphelins  » supprime aussi les profils itinérants associés
  • Suppression classes vides ou avec juste un prof
  • Pages ACL : correction du bug en cas d’espace dans le nom dans les pages ACL et de la recherche * pour les groupes
  • Ajout des différents ID sur la page de modification d’un utilisateur
  • Correction récupération depuis la corbeille
  • Corrections rapports WPKG
  • Amélioration recherche dans l’annuaire, utilisateur groupe et classes
  • Ajout et gestion des comptes et classes temporaires, gestion des comptes invités
  • Adaptation du JSON pour Veyon 4.9, correction des paramètres de découverte réseau
  • Corrections bugs scripts applications
  • Passage de scripts Windows en Powershell 7
  • Migration des pages de l’interface vers annu2, page parcs2, bascule gestion des parc par api2
  • Raccourcis conditionnels à la présence d’une appli WPKG
  • Correction en cas de dossier netinst local inexistant
  • Redirections de profils pour les applications qui enregistrent dans local : Edge, OnlyOffice et OpenBoard, possibilité de choisir le type de redirections pour les profils, possibilité de mettre les profils en mode serveur (non roam), bascule Firefox et Thunderbird vers le mécanisme de redirections standard
  • Gestion, et ajout d’une case à cocher dans «  Intégration ENT ou CSV  », pour l’authentification à OpenID via KeyCloak (RIDF)
  • Correction chemin rclone
  • Refonte de la lecture des politiques dans les GPO
  • Corrections affichage des listes de salons BBB ouverts
  • Ajout mail utilisateurs appartenant à un profil
  • Définition des applications par défaut au niveau de l’utilisateur
  • Ajout de la gestion des associations par défaut pour les applis préinstallées
  • Corrections de sécurité page du.php
  • Ajout d’une vue hiérarchique des parcs dans Veyon-master (depuis les postes qui ne sont pas dans une salle)
  • Accès à distance : mode de supervision des parcs de l’étab directement depuis un navigateur web
  • Réparation des montages cloud sur les clinux
  • Ajout page appli users en libre service
  • Ajout liste applis wpkg déployables en libre service
  • Ajout extension Firefox Pix Companion par défaut
  • Stockage des GPO au format JSON sur le gitlab
  • Automatisation de la mise à jour des GPO depuis le GitLab
  • Amélioration de la présentation de la page des GPO
  • Correction et mise à jour de la GPO redirection
  • Patch Samba pour sysvolreset
  • Encore expérimental WinGet (via winget = "1" dans /etc/sambaedu/sambaedu.conf) : amélioration de la mise en place, corrections de syntaxe et formatage des scripts, installation et utilisation de cmdlet Powershell 7 (en boucle le temps que ça soit correctement en place),
  • Mode multi-établissements / interface de centralisation (contributions Irundo) : correction de l’installation de l’AD pour un site, possibilité de changement des logos et textes de l’interface, correction configuration Kerberos, amélioration de l’importation GPEI, synchronisation des SYSVOL via rsync (et modification uniquement sur l’AD central pour éviter le problème de synchronisation), répartition de charge multiserveur import GPEI, correction de la possibilité de blocage de la mise-à-jour de certains utilisateurs, tri des établissements par UAI, autocomplétion du choix de l’établissement à administrer, ajout fonction mot de passe oublié, statistiques d’activation comptes, amélioration de la gestion ASM, meilleure compatibilité de l’interface centrale avec Chrome, autoconfiguration du DHCP en cas de modification de l’IP AD.

 

Publié le

(mis à jour le 4 mai 2025)

Auteur(s)

Denis Bonnenfant, Laurent Joëts, Tom Ricci

Mots-clés

Autres articles