Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Projet Migration

Vault-Tec

Bonjour à tous!

Voilà, je suis administrateur dans une entité publique qui comporte environ 250 machines. Toutes ou presque en Windows 7. Mais ce dernier n'étant plus maintenu... Microsoft nous force à passer sous W10...et je me prépare à vivre l'enfer.

Ce système est tout bonnement amateur, pas professionnel, et je perd un temps monstrueux à désinstaller toutes les "applications" à la c** de type candycrush ou bing news (et ce malgré le script powershell de malekal ou les clones PC qui fonctionnent une fois sur deux). A cela j'ajoute les nombreux problèmes de confidentialité, de plantage de mise à jour (sérieusement, c'est une vrai bande de **** à la silicon valley), bref, windows 10 est pour moi LA bête noire.

Et je voudrais ne jamais l'intégrer. Donc l'idée, c'est de passer toutes les machines W7 possibles en Ubuntu (ou Mint, ou peu importe). A la clé, économies de dingues avec OO, virer l'O365 en locatif (râââââh oui que c'est bon) avec ses activations de clé kimarchpa.

Ma formation linux datant un peu, je me replonge tranquillement dedans.

Mon environnement: que des serveurs virtualisés sur des HP Proliant sous VSA (adieu datacore). Nous avons terminé cette année le passage de presque tous les progiciels métiers en mode SaaS, donc plus de problème de compatibilité avec Unix (allelujah!).

Mes indispensables:

1) Je veux conserver mon système AD (W2008) pour les utilisateurs qui ne passeront pas sous ubuntu. Le système doit donc être hybride, et permettre la connexion des utilisateurs AD sur Ubuntu.
2) Je veux conserver le système de sauvegarde actuelle des profils: rediriger le répertoire personnel sur un serveur de fichiers.
3) Permettre les mises à jour automatiques aux utilisateurs logués sans les passer en sudoers (je ne veux pas qu'ils puissent bricoler les fichiers de conf)
4) Monter les accès réseau indispensable au démarrage via le login session AD

Ce que j'ai fait jusqu'ici:

- Je suis parvenu après plusieurs tentatives infructueuses à intégrer mes Ubuntus dans mon domaine via un paquet providentiel sorti de nulle part: pbis-open. Ca fonctionne super bien, j'ai documenté tout ça, parfait.
- Je suis également parvenu à monter les lecteurs réseaux nécessaires

Ce qu'il me manque

- Automatiser le montage des lecteurs réseaux. Pour le moment j'utilise l'outil de base d'ubuntu "connexion à un serveur", mais ce dernier ne me connecte pas automatiquement. De plus, pour résoudre le point 2), j'aimerai faire une copie du /home de l'utilisateur vers un //serveur_bakcup/profils/nom_user et ça, je ne sais pas faire. J'ai imaginé des solutions via fstab et rsync, mais j'ignore comment faire en sorte que le montage du lecteur réseau se fasse avec le login/mot de passe de l'utilisateur AD connecté.

Exemple: je me logue avec un utilisateur "test" dont le mot de passe est "toto": il faudrait que le lecteur réseau récupère les chaînes "test" et "toto" pour les passer en paramètres d'un script permettant donc la connexion automatique via //serveur_fichiers/fichiers et //serveur_backup/profils/nom_user. Mais je ne sais pas comment faire sans les entrer à la main dans un fichier (ce qui va poser problème, tant en terme de confidentialité qu'autre chose).

- A partir de là il me sera facile de faire une copie journalisée du /home vers la sauvegarde via crontab

- Permettre les mises à jour sans être sudo. J'ai vu qu'il existait des paquets pour cela, je vais poursuivre mes tests et essayer.

Voilà! J'espère vraiment parvenir à un résultat opérationnel, car j'ai à coeur de rabattre le caquet de mes collègues d'autres entreprises qui ne jurent que par leurs saletés de W10 toumoisi.

Merci à vous pour votre aide, je continue mes essais mais le bash n'est pas mon fort.

Cordialement,

HPIR40

Bonjour

Pour le montage des disques reseaux automatiquement à l'ouverture de session et le demontage à la fermeture, utilise pam_mount.

Pour les mises à jour auto il y a unattended-upgrades qui est fourni déja en standard dans la 18.04LTS, il suffit juste ensuite de le configurer comme il faut.

Vault-Tec

Bonjour,

Merci de votre réponse!

Je viens de tester pam_mounts, mais je galère.

Déjà, j'ai activé le mode debug, mais je ne sais pas où il enregistre son fichier de log. Ensuite, je voulais voir pour passer les commandes à la main, mais je ne dois pas appeler la bonne.

J'ai modifié mon fichier pam_mount.conf.xml de façon à intégrer mon serveur:

<volume fstype="cifs" server="yavin" path="data" mountpoint="/media/data/" user="%(USER)" options="iocharset=utf8" />

Mais à la réouverture de session rien, pas un message.

J'ai tenté plusieurs choses (adresse IP, * à la place de la variable user, etc), qui n'ont rien donné. Je peux me connecter sans problème via l'outil "connexion à un serveur", mais pas moyen de le faire automatiquement.

Une erreur? Et surtout où est ce fichier de log???

HPIR40

voila un extrait de mon fichier pam_mount.conf.xml sous 18.04LTS (j'utilise aussi openpbis)

<volume
    fstype="cifs"
    server="172.16.0.225"
    path="data"
    mountpoint="/home/%(USER)/DisqueReseau"
    user="*" 
    sgrp="utilisa.^du^domaine"
    options="nodev,nosuid,dir_mode=0700,vers=2.1"
    />

Cela fait 4 ans que je l'utilise comme tel et cela fonctionne parfaitement

pour la ligne sgrp c'est comme cela que openpbis appelle le groupe des utilisateur du domaine AD.

Lancer également

pam-auth-update --force

et vérifier que pbis est bien coché dans la liste

Vault-Tec

Bonjour,

Je progresse par bribes sur mon projet faute de temps, mais je progresse.

Faute d'arriver à faire fonctionner pam-mount pour une raison inconnue, j'ai quand même trouvé ma solution via la petite appli "gigolo" qui m'apporte ce que je cherche: automatisation, interface graphique et simplicité. Donc, mes deux dossiers réseau sont montés et fonctionnent.

Il me reste donc à paramétrer crontab pour faire une copie de mon /home vers un des deux dossiers réseau monté, et à régler le problème de unnattended_upgrades. En fait je ne sais pas trop si ça fonctionne car au démarrage j'ai bien un affichage "unnattended upgrades: do not shut down your computer", mais quand je vérifie les mises à jour restante il y en a encore. Il faut que je creuse la question.

Après ces deux choses, je serai prêt à passer les machines en test production.

Vault-Tec

Voilà, j'ai paramétré cron pour ma sauvegarde. En revanche j'ai une question. 🙂

Mon dossier distant monté avec gigolo est du type

/run/user/1367895096/gvfs/smb-share:domain=mon_domaine.local,server=10.0.1.2,share=users,user=mon_user_active_directory/dossier_user_AD

Donc ma commande cp exécutée par cron ressemble à

cp -r /home/local/MON_DOMAINE/mon_user_active_directory/* /run/user/1367895096 /gvfs/smb-share:domain=mon_domaine.local,server=10.0.1.2,share=users,user=mon_user_active_directory/dossier_user_AD

Ca fonctionne parfaitement 😛. Mais j'ignore si la série de chiffres (1367895096) dans le chemin complet est amené à changer ou pas?

J'ai tenté deux redémarrage (chaud et froid) pour vérifier que ça fonctionnait encore après, ce qui était le cas, mais je voudrai en être sûr.

nam1962

Je suis ce fil 😉

Vault-Tec

Je mettrai ma solution finale documentée dès que j'aurai validé ces dernières choses 😉

J'espère sincèrement que ça permettra, au mieux, de démarrer un projet plus global et mieux ficelé d'hybridation Windows/Unix, de façon à sortir de l'étau Microsoft. Au pire, que les admins réseau qui le souhaitent puisse envisager de réduire le coûts et de passer sous Unix en ayant "juste" à recopier quelques étapes pas plus compliquées qu'une prépa de poste sous windows.

Vault-Tec

Personne?

Vault-Tec

J'ai terminé ma première machine physique.

Je vais en faire 4 et les mettre en production courant du mois. Le test grandeur nature sera fait sur un service volontaire qui servira à essuyer les premiers problèmes s'il y en a. Suite à cela je verrai pour faire une version parfaitement fiable avec les éventuelles fonctionnalités manquantes pour en déployer le plus grand nombre.

chrishagetlouts

Je suis ce fil moi aussi ! 🙂