Superviser les ordinateurs de votre salle de cours avec Veyon

Veyon est le successeur officiel d'iTALC, dont j'avais fait quelques articles précédemment et qui n'est plus maintenu.

J'ai été surpris de voir que le développement avait repris et qu'il mène à un produit bien sympa.

À quoi ça sert ?

Une fois le client Veyon installé sur le poste de vos étudiants, vous pouvez voir les écrans de vos ouailles avec le Veyon Master (pour savoir s'ils glandent ou travaillent).

Pour l'aspect moral, légal et politique, je m'auto-réfère à mon article sur iTALC : mon avis n'a pas changé.

Image honteusement pompée du site Veyon.io

Mais encore ?

  • voir les écrans des élèves
  • verrouiller les écrans des élèves
  • envoyer votre écran sur celui des élèves
  • contrôler les ordinateurs des élèves
  • allumer / redémarrer / déconnecter l'utilisateur ou éteindre l'ordinateur (pratique en début et fin de séance)
  • envoyer un message texte sur les écrans des élèves
  • ouvrir une page internet
  • lancer un programme
  • il manque pour l'instant la connexion directe qu'on avait sur iTALC à un moment

Et le petit plus : ça marche sur Windows et Linux, car ça utilise simplement VNC.

Ha... et c'est bien sûr open source, disponible sur github, et gratuit...

Mais c'est comme iTALC ?

Ben, oui mais non, y'a des trucs qui sont revenus, d'autres disparus, et un petit plus génial que je vous réserve pour plus tard (suspens...).

Comment ça marche ?

Très simple d'utilisation pour le professeur, un peu plus complexe dans la configuration... d’où ce petit tuto.

Au jour d'aujourd'hui (Sylvain, si tu me lis...) seule la doc allemande est assez complète, pour la doc anglaise on utilise Google translate : Veyon in English, et pour le français : on oublie.

Installation

Contexte

Je suis sur une structure basée sur des serveurs Windows© (pour ce qui nous intéresse ici) et des clients sous Windows© 7 et 10.

Pour mes essais, je ne toucherais que quelques salles de cours et que quelques postes... (même si j'ai réussi l'exploit d'emmerder quasiment tout le lycée...)

Fin du suspens : la grosse évolution de Veyon est la gestion des salles de cours automatique par lecture du LDAP. Fini les fichiers de configuration manuels à se taper pour créer les salles... et ça c'est vraiment un plus.

Dans l'illustration qui va suivre, mes salles sont en fait des OU de mon LDAP sous Active Directory. Vous voyez par exemple que je vais jouer à partir de l'OU Pedago contenue dans l'OU Win 10...

Les ordinateurs de la salle E407 de l'OU Deployed / Win 10 / Pedago / BTS

Pour préparer mon travail, j'ai créé un dossier partagé dans un coin de serveur : \\serv-fichiers\veyon$

J'y place le fichier d'install, le répertoire qui contiendra les clés publiques et un répertoire pour le fichier de config (unique pour tout l'établissement).

J'y applique les droits de modif qui vont bien : lecture pour tout le monde et écriture seulement pour moi.

Installation du poste maitre

Rien de particulier dans l'intall, c'est la partie configuration qui est intéressante. Je simplifie la suite en ne montrant que ce qui est particulier.

Dans l'onglet service, je coche « Cacher l'icône de la barre » des taches.

 

Onglet Maître est intéressant car plein de nouvelles options :

  • charge automatiquement la salle courante au démarrage de Veyon
  • et afficher seulement la salle ou je suis
  • ajuste la taille des écrans automatiquement
  • une fenêtre de dialogue quand vous faites des trucs craignos (redémarrage...)
  • masque le poste professeur

On pourrait même limiter les outils accessibles, mais pas nécessaire en ce qui me concerne.

 

Concernant l'authentification, je conserve l'utilisation d'un fichier clé, mais pas par un identifiant (il y a mieux ensuite, et les élèves ne peuvent pas se loguer sur les postes profs).

Je donne le chemin d'accès des clés publiques en utilisant mon répertoire partagé.

J'en profite pour générer la clé privé / publique : la clé privée est stockée dans C:/ProgramData/Veyon, et la clé publique est automatiquement créée au bon endroit (j'en fais une copie immédiatement).

 

Le contrôle d'accès est un vrai régal : qui peut voir mon écran ?

On pourrait simplement utiliser les groupes (seulement les professeurs peuvent voir les écrans élèves), mais il y a plus fin avec les règles de contrôle d'accès. Ici, je n'autorise la lecture de l'écran que :

  • à un utilisateur faisant partie du groupe professeur et étant dans la même salle de cours que moi → mon prof et seulement lui
  • à un utilisateur du service informatique, ou qu'il soit → pour de la prise en main à distance

 

Le gros morceau : la partie configuration LDAP.

Je vous rappelle que je suis sous MS© Active Directory, donc nous n'aurons pas forcément les même paramètres si vous êtes sous un autre LDAP.

Pour m'aider dans cette tache, j'ai utilisé le logiciel LDAP Browser.

Bref, dans le premier écran j'ai configurer l'accès au LDAP : ou il est et un compte pour y accéder (plein de boutons test, c'est plutôt pas mal).

 

Dans le second, on décrit plus précisément où et comment chercher les informations.

Depuis cette image, j'ai placé manuellement les adresses MAC dans l'attribut « pager », en attendant de le compléter automatiquement dans macAddress.

 

Une troisième partie pour faire le tri : ne pas remonter tous les utilisateurs...

C'est ici que j'indique que je veux gérer les groupe classe comme OU. J'aurais aussi pu prendre l'option de groupe d'ordinateur ou un attribut particulier (« location » par exemple).

 

Enfin plein de petits outils pour tester la config...

Pour tester, il faut cliquer sur « Appliquer » pour relancer le service.

Quand tout est ok, on fait un Fichier > Enregistrer la configuration et on place le fichier config.json dans le répertoire partagé.

Installation des clients

Il suffit de décocher la partie maitre lors de l'installation, puis de charger le fichier de configuration.

Facile à faire dans une image, plus chiant en passant derrière tous les postes.

Automatisation

Du coup, j'ai créé un petit script qui supprime iTALC et installe Veyon tout seul comme un grand.

Je le déploie par GPO : tout se fait en quelques instants à la connexion d'un premier utilisateur : le script est dispo ici.

Il me reste à installer manuellement mes postes maitres.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *