Re: [Admin-ml] Argumentaire Mac-PC (c'est pas un troll, désolé)

Pierre Malard plm at teledetection.fr
Jeu 20 Déc 14:30:20 CET 2012


Bonjour,

Là, tout dépend de la volonté de l'équipe d'administration, son "ouverture" et des besoins réellement exprimés. Nous nous occupons d'un milieu de recherche et enseignement supérieur avec beaucoup de mouvements de personnel. Ce n'est pas forcément votre cas.

J'aurais tendance, comme évoqué, à conseiller une gestion depuis un serveur *nix qui est, par essence, bien plus multi-os que n'importe quel solution "constructeur". Elles ont par trop tendance à tordre les normes sans le dire, ce qui provoque souvent bien des problèmes. L'avantage de la solution *nix, c'est qu'elle n'est ni Microsoft, ni Apple. Elle est basée sur un véritable LDAP ouvert et Samba interfacé LDAP pour les services Microsoft. La dernière version sait même intégrer AD en serveur.

Pour ce qui est du différentiel d'investissement, tout dépend de ce qu'on entend par "service". Si c'est le moindre coût qui convient, la solution "je ne veux voir qu'une tête" est très certainement la meilleure; mais peut-on encore réellement parler de service ? N'est-on pas bien plus près du modèle FAI classique que d'un véritable service ?
Le seul cas où ce schéma a du sens, c'est le cas du terminal mono-applicatif du type bancaire ou bureau de comptabilité. Est-ce ça votre modèle ? Dans ce cas, il ne faut pas accepter d'autre chose qu'un OS et, mieux, qu'un set logiciel avec un seul type de communication. Un peu comme le modèle de la Ford T, l'utilisateur a le choix de la couleur pourvu que ce soit le noir… Ce modèle est très certainement celui qui coûte le moins tant en terme monétaire qu'intellectuel.

Sinon, un autre solution est basée sur une offre souple, contraignant les moyens de connexions et d'échanges basée strictement sur les normes en vigueur. Là, on doit oublier les petites particularités constructeurs. Ce modèle demande une bonne expertise et ouverture. Le principal est de déterminer les normes acceptées sans trop remonter dans l'applicatif (OS compris). Ce modèle, demandant plus de compétences, est certainement plus onéreux que le premier mais répond assurément mieux à une notion de service.

Après, on peut définir un niveau de service intégré inversement proportionnel au "niveau de liberté" demandée. Je veux dire par là que l'utilisateur qui ne veut pas s'investir sur son poste se moque le plus souvent du type de poste qu'il utilise. Par contre, souvent, celui qui souhaite un type de logiciel est près à s'investir sur l'administration de son poste. La vision d'administration peut se dessiner en couche. La priorité est donnée à la sécurisation des accès réseau, des accès aux services et des accès aux données. L'authentification est basée sur LDAP. Tous nos serveurs tournent sous Linux. C'est aux OS clients de s'adapter, pas aux serveurs.
Chez nous, nous avons défini 2 sets de base, bureautique et scientifique, déclinés sur 3 OS (un Linux, Windows 7 et Mac OS X), prioritairement équipés de solutions logicielles "OpenSource". Nous définissons également N niveaux de service (au moins 2) qui va du "tout compris" au service "jusqu'à la prise réseau"; c'est un service "libre choix" pour le poste. Cela signifie également que, pour un service "libre poste", les accès aux ressources communes ne sont pas aussi automatiques que dans le cas d'un service "tout compris".
L'utilisateur "tout compris" n'est certainement pas administrateur de son poste ni des services auquel il a accès. Il est très contingenté mais a accès à des solutions bien encadrées et complètes (montages automatiques, mises à jour automatisées et prise en main au besoin). C'est un peu "zezette épouse X" mais ça convient notamment à tous service administratif. De plus, comme les interventions sont finalement de très bas niveau, il est très aisé d'externaliser cette gestion.

Ceci étant, l'efficience du service dépend évidement de l'hétérogénéité du public, du nombre d'utilisateur, du nombre d'administrateurs et du niveau de compétence des intervenants. Si on arrive pas à définir un set logiciel répondant efficacement à l'ensemble des besoins, on est mal barré ! Dans le cas de la recherche, nous sommes dans un monde extrêmement hétérogène et donc, il est préférable de pouvoir gérer par unité ce type de service.

Pour ce qui est du problème de cryptage disque, nous n'y sommes pas favorable pour des raisons de performance et de réel plus de sécurité. J'aurais la même question : "pourquoi faire ?". Par trop souvent, la seule motivation c'est le "chic". Car, pour être sérieux, un espace disque dont l'accès est protégé est largement suffisant pour protéger des données RH ou les notes des étudiants. Le seul cas où, éventuellement, mais ça demande à être vérifié, ça peut être utile c'est le cas d'un portable. Dans ce cas, le cryptage du disque interne suffit. Encore que, connaissant les habitudes des utilisateurs, il ne doit pas être très compliqué de contourner cette difficulté. Parce que, dans le fond, dire qu'on a besoin de crypter un espace disque commun pour des raisons de confidentialité, c'est remettre en cause aussi la sécurisation des accès à ces espaces, non ? Quant à la sécurisation des notes données aux étudiants, ils ont un accès direct à la base de notation vos étudiants ? Ils sont sur le même réseau ?

En espérant ne pas être trop hors sujet et que cela peut vous aider...

Le 20 déc. 2012 à 12:37, Nicolas Alex Alex Michel <nicolas-michel at bluewin.ch> a écrit :

> Hello
> 
> 
> On 20 déc. 2012, at 09:01, Frédéric Goudal wrote:
> 
>> Encryption des disques ? Pourquoi faire ? Protéger les notes des étudiants ?
> 
> Le service en question est celui qui gère la direction et les RH, ils ont déjà de l'encryption côté windows avec une clef pgp.
> 
>> Pour le backup, on n'a pas de vraie bonne solution pour l'instant sur notre site, les fichiers importants sont stockés sur une baie NAS et l'administration bosse sur les disques réseau (ce qui permet en plus le partage au sein d'un service). Donc question sauvegarde sur les postes clients, il reste... les favoris réseau, et les fichiers persos.
> 
> Tu as délocalisé les data ?
> ça se passe bien ?
> 
> Ici j'ai installé CrashPlan PROe, c'est assez satisfaisant. 
> Il y a des limites, mais elles sont raisonnables.
> (typiquement des utilisateurs nomades qui viennent une fois par semaine et qui se connectent une heure, le backup n'a pas forcément le temps de tourner.
> ouvrir le système pour que ça se fasse depuis la maison risque de faire exploser les facture de téléphone avec le tethering depuis l'étranger, donc j'ai pas envisagé cette solution)
> 
>> Ben après... tout dépend s'ils sont curieux ou pas, de leur charge de travail. Mon expérience personnelle c'est que le multi-os c'est une culture et une façon de penser les choses a priori, de choisir à chaque fois pas forcément l'architecture qui semble la plus évidente, mais celle qui est le plus interopérable, et une certaine souplesse (on a par exemple été obligé de passer du php au perl pour notre site web d'administration à cause d'une particularité d'AD pour les changements de mot de passe).
>> 
>> Donc si ton système n'est pas pensé mutli-os ça peut être plus désagréable. Sinon honnêtement c'est pas très lourd.
> 
> Comme tu le dis, il faut adapter l'architecture.
> Quand tu as un lourd passif Unix, c'est plus facile que lorsque tu es formaté M$ :
> Ils ont la fâcheuse tendance à choisir des "solutions d'entreprise". Mais là on approche du troll donc je ne vais pas plus loin :)
> 
> 
> Merci !
> 
> 
> 
> 
> -- 
> Nicolas Michel
> Rivage 9, 1400 Yverdon,
> CH - Suisse
> Natel : 079 947 60 20
> 
> _______________________________________________
> Admin-ml mailing list
> Admin-ml at mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml

----
       «Mittler zwischen hirn und händen muss das hirz sein !»
       «La médiation entre le cerveau et les mains doit être le cœur !»
                    Fritz Lang - "Métropolis" - 1929
   |\      _,,,---,,_
   /,`.-'`'    -.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
 '---''(_/--'  `-'\_)

perl -e '$_=q#: 3|\ 5-,3-3,2-: 3/,`.'"'"'`'"'"' 5-.  ;-;;,-:  |,A-  ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(-/--'"'"'  `-'"'"'\-): 22PLM::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--




Plus d'informations sur la liste de diffusion Admin-ml