Déployer scenari-server dans un lycée

sur l’étroit chemin du référent numérique vers scenari

Voilà un petit article pour raconter l’installation de scenari sur le réseau
pédagogique d’un établissement.

Tout a commencé il y a plus de deux ans quand j’ai découvert l’existence de
scenarichain. Après des essais individuels, je me suis proposé de faire
découvrir cette solution logicielle à mes collègues. En effet, en tant que
référent numérique du lycée, je dois assurer une veille sur les ressources
numériques (mission 1). Les possibilités de scénari pour la co-édition de
contenu semble bienvenue pour le travail en équipes pédagogiques.

Le réseau est info-géré par un prestataire et je ne dispose que d’une machine
virtuelle (sous windows) pour tenter l’aventure… c’est parti.

L’info-gérance impose une contrainte forte: pas de déploiement en masse
possible du client: on se limite donc à une installation manuelle en salle des
profs. Cela représente une dizaine de postes.

Problème: le fonctionnement du prestataire impose un profil générique pour
toutes les connexions à un poste; cela empêche de sauvegarder les paramètres de
connexion au serveur scenari. Solution temporaire: après accord de la
direction, nous ouvrons une demande de service au prestataire: activer le
fonctionnement par profil local sur les postes de salle des profs. Cela
implique d’avoir fixé au préalable leurs adresses IP sur le réseau. Après
escalade de la demande vers le support N3 du prestataire, la demande aboutit
(compter un bon mois).

Nous pouvons continuer à affiner les réglages pour le client scenari: désormais
les paramètres de connexion restent dans vos paramètres sur le poste.
…malheureusement, nous venons de créer un souci supplémentaire: avec une
centaine de collègues dans l’établissement, les profils locaux s’accumulent sur
chaque machine de salle des profs et menacent de saturer le disque.

À charge pour le référent numérique de mettre en place un script de purge
localement: il s’agit essentiellement de deux lignes de powershell à exécuter
chaque soir pour purger les caches de navigation internet.
Point de déploiement par GPO ici, le référent numérique ayant uniquement des
droits d’administration locale sur les postes, mais pas sur le domaine (AD).

Ceci réglé, on peut de nouveau se reconcentrer sur le serveur scenari: après
quelques créations de comptes manuelles, il apparaît illusoire de pouvoir
proposer le service tel quel à la communauté pédagogique (qui rappelons-le est
de l’ordre d’une centaine de personnes).

Un an s’est déjà écoulé; la solution propre à l’inscription des gens est toute
trouvée: configurer correctement l’identification LDAP via le serveur AD. Pour
cela il faut un compte de lecture LDAP: nous voilà partis pour une nouvelle
demande de service au prestataire. D’autres préoccupations — réception de
dotation informatique — aidant, la demande traîne et se retrouve lancée en
avril 2020, en plein confinement!

Étrangement, la réponse du prestataire se fait attendre, le ticket de demande
se retrouve clôturé fin juin 2020. Je tente une réouverture fin aout mais la
demande semble alors illisible ou inacessible: entre temps, la région et le
prestataire ont changé de système de tickets. Insistons: je réouvre une demande
de compte LDAP en septembre 2020; cette fois c’est la bonne, le prestataire est
aux petits soins et me communique toutes les données techniques.

Ya plus qu’à, sauf que d’autres préoccupations aidants — réception de dotation
informatique — le projet scenari est reporté sine die.

Pendant ce temps-là, un autre réglage important doit être fait: l’organisation
de l’atelier. Pour autant de personnes, il est nécessaire de cloisonner les
choses et de structurer l’atelier.

Je me propose donc de construire la recette idoine pour l’outil ScenariBatch.

  • création des comptes dans scenari: il s’agit de créer des groupes de
    personnes par matière, de créer les comptes individuels avec identification
    LDAP.

  • création de dossiers dans l’atelier scenari: dossiers par matière avec droit
    reader pour tout le monde, droit de type author pour les gens de chaque
    matière.

    Le 1er point a nécessité la jointure de données:

    • extraction d’un listing trié des comptes profs sur le domaine (malheureusement
      pas de matière renseignée), il contient leur identifiant réseau
    • extraction d’un listing trié des profs sur logiciel d’emploi du temps pour
      avoir les matières
    • jointure avec join sous linux
    • script python pour générer les commandes ant de création de compte
      (notamment avec le module lxml)

    Le 2e point était bloquant à cause de subtilités de syntaxe pour renseigner
    le code de l’atelier mais le sympathique anp de l’équipe de codeurs de
    scenari m’a gentiment sorti d’affaire un 31 décembre sur le forum
    scenari

    À la fin des vacances de noël 2020, les recettes Batch sont donc fin prêtes
    pour peupler le serveur.

Nous approchons de l’issue de cette histoire, la nouvelle année 2021
s’annonçant très propice pour la chose numérique. Il persiste quand même un
souci: on a beau lire et relire des documentations, régler réellement une
configuration LDAP c’est autre chose.

Après divers tests en powershell (cmdlet Get-ADUser) pour confirmer le compte
LDAP, il reste à trouver les bons chemins LDAP pour la requête: comprendre les
ou, les dc, la logique d’une requête… ce genre de chose.

Sous windows, c’est quasi mission impossible, heureusement avec une petite
machine linux sous le coude, on dispose de ldapsearch pour faire des
essais. Souvenez-vous, le parc est infogéré, c’est un domaine windows AD, (en
plus le prestataire refuse absolument d’y intégrer des postes linux). Mais pour
une requête LDAP, point besoin d’être sur le domaine, donc ça se passe bien et
je finis par tomber sur la bonne syntaxe des chemins (en l’occurence, le chemin
de l’utilisateur technique LDAP et des admin de domaine n’est pas le même que
celui des autres comptes).

Fin de l’histoire, début de l’aventure: à présent le service Scenarichain5 est
en place sur le réseau pédagogique de l’établissement. Il est peuplé avec
toutes les matières et tous les comptes des professeurs; il est accessible en
salle des profs. Des actions de présentation, de prise en main sont désormais
possibles! ouf.

4 J'aime

Quelle histoire semée d’embuches ! Bravo pour votre persévérance !
Question : avez-vous mis en place un système de sauvegarde ?

bonsoir Samuel, aïe je me fais pincé dès le début:
non pas encore de système de sauvegarde; j’essaie déjà d’inciter mes collègues à l’usage, or, ils ont beaucoup d’autres préoccupations par ailleurs vu les adaptations pédagogiques dues au covid, aux réformes en cours (grand oral du bac) etc.

je pense m’en sortir à terme avec des recettes ant hebdomadaires, quelque chose comme ça.
Bien cordialement,
Boris

Bonjour Bebop,

Merci pour ce retour d’expérience ! L’installation d’un nouvel outil (tel qu’il soit) dans un environnement informatique très cloisonné est toujours une aventure…

Concernant le sujet « clean des profils windows, lié aux profils locaux et les faibles capacités disque », qui me semble être le seul pb restant :

  • Il existe le concept de profil itinérant sous windows : les profils sont stockés sur le serveur, et chargés au moment de l’ouverture de la session windows sur le poste concerné. Je n’en connais pas les subtilités de mise en œuvre, mais, logiquement, ce mode doit gérer le clean des données locales du profil lors de la fermeture de la session…
  • ceci dit, si c’est vraiment l’app cliente scenari qui a justifié ce basculement vers ce type de profil windows, SCENARI5, et son accès « full-web » change la donne : un simple navigateur web compatible (ex : chrome uptodate) peut être le point d’entrée unique pour n utilisateurs (à conditions qu’ils sachent gérer la déconnection, toujours problématique dans le monde du web). Si il n’y avait pas de navigateur compatible, SCENARIclientNG pourrait jouer ce rôle.

Bien cordialement
Antoine
Kelis

Bonjour anp, j’ai en effet cerné ces difficultés:

  • en tant que référent numérique je n’ai pas de droits élevés sur l’AD, il m’est impossible (et je n’ai pas les compétences ) pour régler les profils: il m’a fallu déjà passer par une ouverture de ticket prestataire qui a été escaladée jusqu’en N3 (délai 3 à 4 semaines).
  • effectivement le client web serait très confortable… si on dispose d’un serveur correct et sous linux. Là encore: ce n’est pas à ma portée, je n’ai qu’une vm win server 2012. Sur l’installation actuelle, une tentative de connexion sous chrome m’indique rapidement une connexion instable.
    Bon week end, cordialement,

Alors :

  1. L’interface d’édition Web n’a absolument rien a avoir avec l’OS sur lequel tourne SCENARIchain-server. Bien que nous ne préconisons pas l’usage de Windows pour une installation serveur, cela n’impactera pas les possibilités fonctionnels de SCENARI.
  2. Une connexion instable : Ceci est sûrement dû à un problème réseau, l’interface Web de SCENARI utilise l’api WebSocket. Il ce peut que votre réseau est tellement bridé que cette relativement nouvelle technologie soit bloquée. Pour tester cela allez à la page https://websocketstest.com/ que vous dit votre navigateur ? Si il vous indique que WebSocket ne marche pas pour vous, il faudrait… Ouvrir un nouveau ticket…