Ouvrir une session avec un identifiant différent du user

bonsoir,
Je suis en train d’installé plusieurs écoles avec le distribution skolelinux (debian-edu) pour remplacer des XP.
Les utilisateurs se connectent depuis des stations de travail et leur $HOME est situé sur un serveur tjener via ldap.

Mais j’ai un probleme particulier pour les activités de loisirs ( cad hors cadre scolaire).
Dans la période XP, les élèves disposaient d’un nom d’utilisateur commun ( exemple user:cel passwd:foo )
Chaque participant obtenait une session avec un environnement standard (bureau, dossier de partage, application)
ils avaient sur leur PC un espace individuel
Les utilisateurs ultérieurs de la même machine retrouvaient l’espace commun du PC concerné.

Donc je voudrais retrouver ce principe de session, cad chaque ordinateur à un profile particulier sur le serveur:

• exemple dans skolelinux $HOME=/skolelinux/tjener/home0/datadeceldupcnumero4/ dans lequel seront identifiés les desktops disponibles, config du webbrowser, etc
  mais l’utilisateur à la connexion sera identifié comme user:activ_cel et un mot de passe ( commun à tous :[ ce n’est pas important)

La même station pourra servir dans le cadre scolaire avec un nom d’utilisateur propre user:clementfoo passwd:specifique et dans ce cas
son $HOME sera /skolelinux/tjener/home0/clementfoo qui correspondra à sa classe scolaire avec un instit défini.

Donc j’ai besoin de modifier son nom identifiant de connexion dans le cas de l’activité cel avec un identifiant dédié à la machine, GDM est-il mon ami ?

(le gestionnaire de connexion avec skolelinux wheezy est en principe LDM, mais en installant les packages gnome on se retrouve avec GDM,
peu m’importe du gestionnaire ldm, gdm ou kde)

Je pourrais bien entendu utiliser simplement le principe de timedlogin avec un identifiant par machine,
mais cela peut perturber les élèves et ouvrir à des confusions si ceux -ci utilisaient l’identifiant d’autres machines.

Peut être auriez-vous une idée, Merci

Configurer un utilisateur toto avec les droits restreints à leurs besoins devrait suffire. La commande adduser permet d’ajouter un utilisateur: [mono]# adduser toto[/mono] Le répertoire de toto est automatiquement créé ([mono]/home/toto[/mono]) et son compte est pré-configuré, ensuite taper son mot de passe. Mais je ne sais pas si plusieurs postes peuvent se connecter simultanément sur toto

L’utilisateur unique n’est pas viable, le repertoire $HOME est sur le serveur et donc commun à tous les users toto connectés à ce moment là et donc problemes de fichiers identiques ouverts par plusieurs users simultanément , comme cela ça ne gaze pas !!

Alors, il ne te reste que l’ajout d’utilisateurs différents [mono]# adduser[/mono] comme il t’a été dit plus haut.
Évidemment, ton /home doit être suffisamment gros pour les absorber tous s’ils sont nombreux (combien ).
Il faudrait réduire les droits ‘user’ et privilégier les droits ‘group’ et ne placer dans le groupe le plus permissif que les utilisateurs sur lesquels ta confiance est totale.

La doc dit[quote]Tous les services sont accessibles avec les mêmes nom d’utilisateur et mot de passe, grâce à la base de données d’utilisateurs centralisée gérant l’authentification et les autorisations. [/quote]

maintainer.skolelinux.org/debian … ain_server

La doc dit[quote]Tous les services sont accessibles avec les mêmes nom d’utilisateur et mot de passe, grâce à la base de données d’utilisateurs centralisée gérant l’authentification et les autorisations. [/quote]

maintainer.skolelinux.org/debian … ain_server[/quote]

Dans cette phrase il n’y a pas indiqué “simultanément”, c’est vrai que quelque soit la machine client, les utilisateurs ont accès à l’environnement qui leur est fourni, mais après essais, si 2 machines connectées avec le même nom d’utilisateur, l’accès par exemple au browser est bloqué par le premier qui l’utilise. Les problemes d’accès concurrents à un même fichier ne peuvent être réglés dans une telle configuration.

[quote=“ricardo”]Alors, il ne te reste que l’ajout d’utilisateurs différents # adduser comme il t’a été dit plus haut.
Évidemment, ton /home doit être suffisamment gros pour les absorber tous s’ils sont nombreux (combien ).
Il faudrait réduire les droits ‘user’ et privilégier les droits ‘group’ et ne placer dans le groupe le plus permissif que les utilisateurs sur lesquels ta confiance est totale.[/quote]

L’ajout de tous les utilisateurs est déjà effectif (150 à 250 suivant les écoles), ce n’est pas le problème d’avoir autant d’utilisateurs.

Il y a beaucoup moins de machines (30 en moyenne: 15 dans une salle spécialement équipée plus 1 à 2 machines par classe).
Les éléves pour la validation du B2I informatique vont dans la salle spéciale avec leur professeur, et se connecte chacun avec leur identifiant, un environnement leur est fourni suivant le “désidérata” du professeur -dans ce modèle- pas de probleme.

Le probleme survient pour l’utilisation de la salle pour d’autres activités, comme par exemple le “CEL” (extra-activité loisir éducatif). A ce moment dans la salle se trouve des élèves de différents niveaux, de différentes classes et bien-sûr avec un environnement souhaité spécifique à cette activité.

Bien-sûr je pourrais créer autant de comptes supplémentaires que d’élèves, chaque élève ayant 2 identifiants à mémoriser.
A chaque type d’activité supplémentaire, création d’une nouvelle série d’identifiants … et entrainement mémoire supplémentaire pour l’élève

Donc je pense qu’il serait préférable que les participants à une activité extra-scolaire n’est pas à utiliser leur compte élève, afin de pouvoir partager dans le groupe de leur “extra-activité”. L’animateur prenant en charge cette extra-activité connaitrait l’identifiant de cette activité et un mot de passe (peu importe).
Pour ne pas se retrouver avec 15 comptes “cel” connectés simultanément, je pourrais faire un compte par machine par exemple, sur le serveur je retrouverai 15 comptes cel_01 à cel_15 pour l’activité “cel”, ainsi de suite pour l’activité extra-scolaire “langue_regionale” , etc…

Ce besoin est vite résolu si la gestion des utilisateurs est faite machine par machine en local, mais dans le cas de skolelinux, la gestion est centralisée et impossible de se connecter sur un compte local, il faudrait donc que la connexion pour une activité se fasse en machine locale, cette connexion refaisant une connexion classique de skolelinux sur le compte spécifique à la machine sur le serveur

ex: machine A -> connexion user:cel -> locale sur une machine -> ouverture de la session sur le serveur user:cel_01 -> reprise environnement groupe cel.
ex: machine B -> connexion user:cel -> locale sur une machine -> ouverture de la session sur le serveur user:cel_02 -> reprise environnement groupe cel.

ex: machine D -> connexion user:langueregionale -> locale sur une machine -> ouverture de la session sur le serveur user:regio_04 -> reprise environnement groupe regio
ex: machine G -> connexion user:langueregionale -> locale sur une machine -> ouverture de la session sur le serveur user:regio_07 -> reprise environnement groupe regio

voilà, j’espère être plus clair, merci de votre aide

(J’ai pas tout lu, si ma réponse n’est pas celui voulu, oublie le.)

Ajouter deux groupes:
groupe “cel”, utilisateur dans ce groupe: cel_1, cel_2, cel_3, …
groupe “reg”, utilisateur dans ce groupe: reg_1, reg_2, reg_3, …

Chacun à son propre espace et peuvent se connecté simultanément avec leur propre identifiant.
Tu peux même ouvrir un espace partagé pour que tous les utilisateurs d’un groupe ou de plusieurs groupe puisse y avoir accès. Même ajouter un autre group avec des utilisateurs précis pour leur propre espace partagé.

Oui je comprends bien ton problème, et je suis étonné que la distribution (qui n’est rien d’autre qu’une Debian pré-configurée) avec son orientation spécifique ne prévoit pas ce cas de figure. Il me faut un peu de temps (pas mal de taf) pour m’y pencher plus profondément.

courage

Et une session «invité» ? Il est normalement pas trop difficile de mettre ça en place et en général les droits sont relativement restreint, donc pas de catastrophe possible.

François devrait être à même de t’éclairer sur ce truc.
Ptet n’a-t-il pas lu ton post.
Je le contacte.

Ouf, je n’ai pas tout compris sur les besoins, en gros il faudrait de gérer des comptes individuels (un par élève) et des comptes dédiés à des activités précises et identifiés par les machines, comptes identifiés par un identifiant commun à toutes les machines dépendant juste de l’activité.

Sous quelle forme est l’importation des ressources: serveur NFS?
Il est possible de construire un répertoire home à la volée au moment d’une connexion. C’est ce que je fais pour les concours se déroulant avec ClefAgreg, mais piur cela il faut avoir u peu plus de renseignements. Le projet skolinux est assez peu bavard sur son site. C’est dommage que je m’absente ce week end, je vais regarder ça et je réponds Lundi ou Mardi plus précisemment

Merci déjà pour vos réponses,

Jusqu’à présent une des écoles avait été équipée avec un serveur KWARTZ et des PC XPpro, avec un profil itinérant de instit/classe.
Une directive du plan VIGIPIRATE recommande de ne plus utiliser XP sur des réseaux d’administration (mairie en l’occurence),
donc je suis chargé de mettre en oeuvre une autre solution avec un OS soutenu SANS changer le matériel et sans buget pour racheter des licences

Il y a 3 ans, “libriste” convaincu, j’avais déjà, pour les activités extra-scolaire, essayé plusieurs solutions (edubuntu, skolelinux, asri, eole -de l’éduc nationale- ) et finalement choisi ASRI (base puppy linux), vite mise en oeuvre et très bien adapté aux petites machines.
Inconvénient pas vraiment prévu pour un réseau en école.

Depuis la distro Skolelinux a bien avancé, plutôt adaptée à des spécifications pour lycée, j’ai opté pour cette solution dans les écoles primaires et sans aucun doute la mettre en oeuvre pour la bureautique municipale.

Le principe, tous les élèves ont un compte,
ils peuvent se logguer depuis des stations de travail, (kde préinstallé, mais aussi possible gnome et lxde)
ou depuis des stations de travail sans disque, ou meme avec des serveurs X sur des sous-réseaux de machines LTS
leur HOME étant sur un partage nfs,
un complément est prévu pour les stations mobiles avec un utilisateur particulier, dans ce cas le HOME est local, mais il dispose d’un HOME sur le partage NFS,
enfin l’install est aussi possible pour une machine hors-reseau skole.
L’accès depuis les machines windows est aussi prévu

Une base ldap permet de gérer tout ce monde, matériels, utilisateurs, groupes nfs et/ou samba,
enfin du bon travail, peu de participant en France (manque beaucoup de langue fr pour la partie education, sinon pour le reste c’est du Debian classique)

Ce qu’il manque vraiment :
[ul]- notion de groupe d’activité (objet de mes requetes ici)

• filtrage accès au NET (pas intégré du tout dans la distro, j’ai rajouté squidguard, mais il manque une interface de gestion dans GOSA - ldap )
• adaptation du bureau et application par les professeurs, on retrouve à l’issue de l’installation une multitude d’applis par forcement adaptées à l’activité prévue par le professeur.
• pour ma part j’ai rajouté une machine virtuelle XP pour des logiciels éducatifs windows, il est obligatoire pour faire accepter la solution libre que les instits puissent encore utiliser leurs applications, bien sur pas pour office et consorts, beaucoup de S2I ont produit des logiciels éducatifs et ne vont pas encore les porter sur du client/serveur…
  [/ul]

Le premier site démarre ce lundi midi, pour les instits : surprise, ,

Pour les activités extra-scolaires (2 pour cette école), un animateur a suivi la mise en oeuvre et donc les enfants se loggueront sur une machine avec un compte identifié par machine (cpt_cel_pc[n]) et un mot de passe commun, le HOME étant bien entendu sur le serveur. Les 2 activités utiliseront pour l’instant le meme profil.
Pour ne pas saturer le serveur, la machine virtuelle XP est installée sur chaque machine hors $HOME.

Si d’ici lundi une solution lumineuse me permettait, en se connectant sur la machine à partir d’un compte particulier à l’activité, l’enfant se retrouve sur un compte user/groupe normal du serveur, ce serait le pied…

Bon week-end …

hop là,

finalement c’est assez simple ce que je voudrais faire, c’est simplement
un fois la première connexion avec un user temporaire , faire su - vers_user_spécifique_machine-activité qui serait lui gerer avec Gosa

bon cela dit… interface graphique et tout et tout

Ne peux tu pas faire un montage d’un home dédiée via un sshfs identifiée par une clef, ou bien construire un HOME dédié en fonction des circonstances. J’ai cru comprendre que tu étais sous gdm. Dans e cas tu peux insérer un script de construction du home de la personne qui se connecte dans le fichier

par exemple tu y mets

su -c /usr/local/bin/constructionhome $USER en fonction de qui se connecte. Cela peut te permettre un environnement spécifique pour les élèves en fonction des circonstances.

constructionhome est juste un script qui construit le home de l’utilisateur donnée en argument, ses droits, il est exécuté en temps que USER ici.

bonsoir, bon j’ai abandonné la connexion graphique
J’ai créé un user par groupe d’activité sur lers machines clientes (sans passwd et limités)
à la connexion en mode console, celui ci se connecte par un su - user_activite_machine
cet utilisateur est défini dans le system skolelinux, c’est un utilisateur d’une actvité depuis une machine
ex: poterie_pc1
la connexion requiert un mot de passe, si la connexion est réussie, la session de cet utilisateur lance le serveur X avec son environnement.
l’enfant retrouve un environnement propre à l’activité et il enregistre ses documents sur un espace partagé par l’activité.
Il ne me reste plus qu’avoir une connexion plus lisible (fond d’écran, police…) en mode semi-graphique

Merci