Retour page précédente

imprimer cette page

IACA est multidomaines

Auteur A. SAYER

Ce document concerne la version 9 de IACA


Depuis la version 4 de IACA, il est possible d'utiliser plusieurs domaines.
Il n'est pas nécessaire de disposer de la version Pro de IACA si vous n'avez qu'un seul serveur IACA par domaine.


Principe

Un domaine contient une liste d'utilisateurs et une liste d'ordinateurs.

A condition d'établir des relations d'approbation entre les domaines, il est possible à un utilisateur de venir travailler sur un ordinateur d'un autre domaine.

Pour que les clients IACA puissent profiter de ces relations d'approbation, vous devez indiquer dans IACA les domaines avec lesquels vous avez établi une relation d'approbation.

Avec Modèles, il sera alors possible de placer dans "Concernés" les utilisateurs ou groupes d'un autre domaine afin de permettre à ces utilisateurs d'ouvrir une session et obtenir un modèle sur vos stations.

Chaque station appartient à un seul domaine.
Chaque station est inscrite dans un domaine. Ce domaine est appelé dans IACA le domaine du parc, Il contient les sous-parcs dans le répertoire Parciaca. L'administrateur de modèles pour chaque sous-pac détermine les personnes ou groupes autorisés à venir ouvrir une session sur ses ordinateurs.

Chaque utilisateur appartient à un seul domaine.
Chaque utilisateur est créé dans un domaine. Ce domaine est appelé dans IACA le domaine de session. Le répertoire de l'utilisateur est sur un serveur de ce domaine.

Bien qu'il soit possible de créer un compte pour Dupond dans plusieurs domaines, cela ne me semble pas être une bonne solution. En effet, Dupond aurait un mot de passe certainement différent dans chaque domaine, il possèderait un répertoire personnel par domaine. La gestion serait alourdie inutilement.

Un utilisateur peut travailler sur un ordinateur d'un autre domaine.
Un utilisateur créé dans un domaine peut naturellement travailler sur les stations appartenant à son domaine suivant les droits que l'administrateur de modèles lui a donné. Il pourra, également travailler sur un ordinateur appartenant à un autre domaine suivant les droits que l'administrateur de modèles de cet autre domaine aura bien voulu lui donner.

Choix des domaines

Si vous décidez d'utiliser plusieurs domaines dans votre établissement, vous aurez à choisir les ordinateurs et les utilisateurs pour chacun des domaines et vous répartirez de préférence, les utilisateurs en fonction des ordinateurs qu'ils utilisent le plus souvent :

- Si votre établissement est réparti sur deux ou trois bâtiments, vous souhaiterez peut-être un domaine par bâtiment.
- Si votre établissement comporte une partie lycée professionnel et une partie lycée général, vous souhaiterez peut-être un domaine pour chaque partie.
- On peut également effectuer une répartition en fonction du niveau. On peut alors imaginer que les élèves de secondes sont gérés par IACA sur ServA-1, que les élèves de premières sont sur ServB-1 et que les élèves de terminale et les professeurs sont sur ServC-1.

Relations d'approbation

Pour qu'un utilisateur d'un domaine ait le droit d'accéder à un serveur d'un autre domaine, vous devrez établir des relations d'approbation entre les domaines. Ce travail est indépendant de IACA.

Avant de commencer

- Vérifiez que les serveurs sont à la même heure, au même fuseau horaire et au même choix de l'heure d'été.
- Ajoutez dans chaque domaine, une zone de recherche secondaire DNS avec le nom de l'autre domaine.

NT4 Serveur

Vocabulaire :
DomX approuve DomY signifie que DomX accepte que les utilisateurs de DomY utilisent les ressources des serveurs de DomX.

Le but est d'arriver à ceci :

Sur un serveur du domaine DomA :


Fig 1

Sur un serveur du domaine DomB :


Fig 2

Sur un serveur du domaine DomC :


Fig 3

Voici comment procéder

1) Vous, administrateur NT du domaine DomA, faites "Démarrer", "Programmes", "Outils d'administration" et "Gest. des utilisateurs pour les domaines" sur un des serveurs du domaine DomA.
Ouvrez "Stratégie" et "Relation d'approbation". Ajoutez DomB dans la liste des "Domaines autorisés à approuver". Donnez un mot de passe quelconque et confirmez-le.

2) Donnez à l'administrateur NT du domaine DomB le mot de passe que vous venez de taper lorsque vous avez ajouté DomB.
Cet administrateur peut ajouter DomA dans la liste des "Domaines approuvés" et doit pour cela taper le mot de passe que vous venez de lui donner.

A partir de maintenant, un utilisateur de DomA est approuvé par le domaine DomB (l'utilisateur peut donc avoir le droit d'accéder aux ressources des serveurs de DomB). Cela signifie pour nous, qu'il peut ouvrir une session sur un ordinateur de DomB. Le client IACA trouvera le répertoire personnel sur le serveur IACA de DomA et les paramètres du sous-parc sur le serveur IACA de DomB.

Mais attention, pour l'instant, si un utilisateur de DomB vient sur un ordinateur en Windows 9x de DomA, le client IACA ne pourra pas accéder aux paramètres du sous-parc sur le serveur IACA de DomA. Le client IACA ne démarrera pas et les restrictions sur le poste seront celles du dernier utilisateur. Cet utilisateur pourra cependant accéder à son répertoire personnel en passant pas le voisinage réseau (le lecteur U: n'ayant pas pu être connecté).
Le problème ne se pose pas pour les Windows NT Workstation qui ne permettent pas dans ce cas d'ouvrir une session.

3) Demandez à l'administrateur de DomB d'ajouter DomA dans la liste de ses "Domaines autorisés à approuver" et demandez-lui quel mot de passe il a utilisé.
Ajoutez alors DomB dans votre liste des "Domaines approuvés".

Pour l'instant, vous devez avoir DomB écrit deux fois et l'administrateur du domaine DomB doit voir sur son serveur DomA écrit deux fois. La relation d'approbation est maintenant bi-directionnelle.

4) Recommencez 1), 2) et 3) avec DomC.

5) Recommencez 1), 2) et 3) pour établir les relations d'approbation entre DomB et DomC.

Remarque : Vous pouvez "casser" les relations d'approbation à condition de le faire des deux côtés. Vous pouvez ensuite les recréer. C'est d'ailleurs la solution à adopter si vous avez fait une erreur ou si ces relations ne fonctionnent pas correctement.

Windows 2000 ou 2003 Serveur

Si les domaines appartiennent à la même forêt ou sont dans la même arborescence de domaine, la relation d'approbation existe déjà (rien à faire par exemple avec domaines info.lycee.priv, cdi.lycee.priv et lycee.priv).

Si vos domaines sont indépendants, vous pouvez créer les relations d'approbation comme avec NT4. Il est même possible d'établir des relations d'approbation entre un domaine géré par Windows 2000 ou 2003 et un domaine géré par NT4.

Sur Windows 2000 ou 2003 Serveur, ouvrez "domaines et approbations Active Directory". Faites un clic droit sur votre domaine et choisissez "Propriétés". Dans le volet "Approbations" vous retrouvez une présentation similaire à celle décrite pour NT4 Serveur.

Remarque : Si vous ajoutez un domaine dans la liste des "Domaines qui approuvent ce domaine", ne cherchez pas à vérifier la relation d'approbation tout de suite, vous devez faire la partie correspondante dans l'autre domaine avant de pouvoir effectuer cette vérification.
Les relations ne sont pas transitives mais en créant une relation dans chaque sens vous obtenez comme avec NT4 une relation bidirectionnelle.

Paramétrage dans IACA

Sur le serveur, avec IACA vous avez votre domaine avec le ou les serveurs et leurs rôles.

Avec le menu "Action" (ou avec un clic droit de souris), ajoutez un autre domaine. Le paramétrage de cet autre domaine étant fait sur un serveur de cet autre domaine, vous n'avez besoin que de rapatrier ce paramétrage. Pour cela indiquez le nom ou l'adresse IP

Il n'est pas nécessaire de cliquer sur "Récupérer les paramètres maintenant", ceci se fera automatiquement à intervalles réguliers. Si vous ne voulez pas attendre, cliquez sur ce bouton.

Le paramétrage de cet autre domaine s'affichera mais vous ne pourrez pas le modifier (la modification doit se faire sur cet autre domaine et se répercutera automatiquement ici).

Programme Modeles.exe

Depuis la version 4 de IACA, la fenêtre "Liste" du programme Modeles.exe permet de choisir le domaine et de faire glisser dans les zones "Concernés" des utilisateurs ou des groupes de votre domaine ou des utilisateurs ou des groupes des autres domaines.

Sur la copie d'écran précédente, Modeles.exe est exécuté sur une station appartenant au domaine DomA. SECRETAIRE est un groupe d'utilisateurs du domaine DomA. Dans la zone "Sont concernés par ce modèle", on constate que SECRETAIRE est écrit sans être précédé d'un nom de domaine alors que DESSIN est écrit DomB\DESSIN et COMPTA est écrit DomC\COMPTA.

Pour mettre le groupe DESSIN, on a été amené à choisir le domaine DomB dans la fenêtre "Liste" et à glisser le groupe DESSIN. Lorsque DESSIN a été glissé de la fenêtre "Liste" vers la zone "Groupes", DESSIN à automatiquement été précédé de DomB pour préciser qu'il s'agit d'un groupe du domaine DomB.

Un utilisateur du groupe DESSIN de DomB pourra venir travailler sur un ordinateur de ce sous-parc du domaine DomA et se voir appliqué ce modèle.

Donc, si une personne ou un groupe fait partie du même domaine que celui de la station, celui-ci est écrit sans indiquer le domaine.
Si une personne ou un groupe fait partie d'un autre domaine que celui contenant la station, son nom est précédé du nom de cet autre domaine.

Avec cette notation, deux domaines peuvent contenir le même nom de groupe ou le même nom d'utilisateur sans qu'il y ait risque de confusion.

Ouverture de session

Un utilisateur est caractérisé par :
- Son nom
- Son mot de passe
- Son domaine.

Si l'utilisateur appartient au même domaine que la station :

Un serveur de ce domaine valide l'ouverture de session.
Le répertoire Parciaca d'un serveur de ce domaine est utilisé pour appliquer le modèle.
Le répertoire personnel est sur un serveur de ce domaine.

Si l'utilisateur n'appartient pas au même domaine que la station :

Un serveur du domaine de session (celui qui contient l'utilisateur) valide l'ouverture de session.
Un serveur du domaine du parc (celui qui contient la station) contient le répertoire Parciaca et permet d'appliquer le modèle à la station.
Le répertoire personnel est sur un serveur du domaine de session.

Retour page précédente

imprimer cette page