PAR RECIA.FR

Accueil

Présentation d’ESCOLAN

Résumé du cahier des charges

 

Constitution d'un réseau
Détails

Le réseau est constitué :

  • D’un ensemble de services typiquement réseau :
    • un serveur DHCP configuré, capable de gérer les vlans
    • un serveur DNS dynamique, lié au service de DHCP
    • un annuaire d’authentification unique
    • des filtres permettant d’assurer la sécurité et la traçabilité des usagers.
  • D’un ensemble de services plutôt orienté utilisateurs :
    • Service de partage de fichiers personnel et collectif
    • Service de « Dossiers web » personnel et collectif
    • Service de base de données client/serveur
    • Outils de travail collaboratif ( Gestion de devoirs, de partages spécialisés, … )
    • Panoplie d’outils divers (Publication, enseignement assisté, documentation rapide, …)
  • D’une infrastructure réseau sécurisée et évolutive :
    • Vlan, avec possibilité de vlan dynamique
    • Technologie intégrant le wifi sécurisé ( matériel spécifique obligatoire pour assurer la sécurité du réseau )

Ces différents ensembles sont très étroitement liés, et bon nombre de fonctionnalités réseau sont limités de part les choix technologiques et les choix de configurations fait à différents niveaux. Ces choix ont toujours été faits dans un but d’améliorer la sécurité et de diminuer la probabilité de DOS sur le réseau.

Authentification Unique
Détails

L’une des principales caractéristiques de Escolan est de proposer une authentification unique et centralisée sur l’ensemble des services réseaux. Cette authentification est utilisée à la fois lors de l’authentification sur les services de partage de fichiers, sur les accès aux web, à l’interface d’administration, aux espaces de travail collaboratif, sur les vlan dynamiques, …

Tout service et/ou programme capable d’utiliser le standard d’authentification LDAP pourra bénéficier de l’authentification unique.

De plus, le standard d’authentification unix (PAM) est capable d’utiliser l’authentification LDAP. Tout les services/programmes capables d’utiliser ce standard pourront eux aussi bénéficier de l’authentification unique.

Enfin, puisque l’authentification LDAP est aussi utilisée sur les serveurs de fichiers, les standards lanmanger et NTLM de Microsoft pourront être mise en oeuvre.

Remarque : authentification unique ne veux pas dire «Single Sign On ». Les services web peuvent re-demander l’authentification si nécessaire. La base d’authentification est unique.

La mise en place d’un SSO complet est à l’étude.

Décomposition des communautés d'utilisateurs
Détails

Le cahier des charges d’Escolan met l’accent sur l’existence de différentes communautés dans un établissement scolaire. Ces communautés ont chacune leurs spécificités, et de ces spécificités découlent les droits qu’elles ont sur d’autres communautés.

Par exemple, les élèves, comme les professeurs doivent pouvoir accéder aux serveurs de fichiers ou ils stockent leurs documents personnels. Par contre, un professeur doit pouvoir accéder au logiciel de gestion de notes, alors que les élèves ne doivent pas pouvoir le faire.

Confier cette tache aux serveurs rends l’ensemble du réseau vulnérable à la moindre faille sur système d’exploitation des serveurs.

Afin de limiter au maximum ce risque, Escolan s’appuie une technologie vlan. Deux modes de fonctionnement sont possibles :

  • statique : une prise = un point d’entrée dans un vlan donné.
  • Dynamique : une authentification très sécurisée permet de basculer dynamiquement la station dans un vlan en fonction des droits associés que compte de l’usager connecté.
Décomposition des communautés d'utilisateurs
Détails

Un plan d’adressage standardisé est proposé à l’ensemble des établissements. Ce plan d’adressage inclus un certain nombre de contraintes liées entre autre aux vlans, aux besoins de télémaintenance, aux contraintes de fonctionnement du réseau coté administratif fixés par la DPMA dans le cas des lycées, aux contraintes fixées par les hôpitaux dans les cas des EFSS, ….

Ce plan d’adressage est fourni lors de l’installation, et est disponible dans l’interface d’administration. Il est aussi possible d’en demander un copie à la télémaintenance.