Un domaine Olfeo est un groupe de machines Olfeo partageant une même configuration (liste des utilisateurs, politiques de filtrage, règles du moteur, authentification, pages de blocage personnalisées, script de proxy, règles ACL…). Un domaine Olfeo garanti :
- Une homogénéité de la configuration : elle est partagée de manière synchrone et les modifications sont répliquées automatiquement sur tous les membres du domaine Olfeo
- Un point central de récupération des logs et d'exploitation statistique (sauf dans le cas d’un esclave isolé, où les logs seront conservés localement).
Fonctionnement
Un domaine Olfeo est un système maître-esclave :
- Par défaut, un Olfeo nouvellement installé est maître : il est le seul membre de son domaine.
- Les logs et les statistiques sont disponibles uniquement sur la machine maître.
- Le statut maître/esclave est indiqué en bas à gauche de l’interface d’administration, ainsi que l’identifiant de la ou des machine(s) esclave(s).
- La configuration locale (configuration des différents services partagés entre maître et esclaves) des esclaves est stockée sur le maître et répliquée sur les autres esclaves.
- Seuls les comptes administrateur de la machine maître sont conservés.
- Le domaine comprend une seule hiérarchie : une machine maître ne peut pas être esclave d'un autre maître.
- Dans l’extracteur de logs, si vos Olfeos sont intégrés en mode proxy, le champ proxy_id indique la machine ayant reçu le flux. Dans les autres modes d'intégration, il n'est pas possible de connaître la machine.
Maître injoignable / Situation d'esclave isolé
La machine maître étant responsable de la centralisation des logs de navigation pendant 366 jours glissants, il est important qu’elle soit disponible en permanence. En cas d’indisponibilité de la machine maître, le fonctionnement du domaine Olfeo est dégradé et certaines opérations deviennent impossibles :
- Synchronisation des utilisateurs de l’annuaire (utilisateurs ajoutés, modification des groupes),
- Modification des politiques de filtrage, des règles du moteur, des messages de sensibilisation,
- Sauvegarde des logs de navigation reçus par toutes les machines membres, etc.
Dans cette situation la navigation sur Internet et le filtrage des utilisateurs, avec les politiques et règles en vigueur, restent fonctionnelles. Toutefois, cette situation n’est pas pérenne. Les contraintes suivantes s'appliquent :
- Les logs sont perdus.
- Impossible de signer une charte ou de valider un quota.
- Impossible d'accéder à l'interface d'administration des machines esclaves.
Jonction au domaine Windows
- Si la jonction au domaine Windows a été faite sur la machine esclave avant que celle-ci ne soit intégrée au domaine Olfeo, cet élément de configuration n'est pas écrasé par celui de la machine maître.
- Chaque machine du domaine Olfeo peut être jointe à une infrastructure Active Directory différente. Si vous gérez plusieurs infrastructures Active Directory au sein d'un même domaine Olfeo, il faut déclarer les différentes infrastructures AD sur l'Olfeo maître, puis joindre chaque esclave au contrôleur de l'AD correspondant.
- Si vous gérez plusieurs sites appartenant à une même infrastructure Active Directory, joignez chaque esclave au contrôleur de domaine le plus proche. Filtrez uniquement les utilisateurs concernés par un contrôleur de domaine avec la machine jointe à ce contrôleur.
- La jonction au domaine Windows n'est nécessaire que si vous réalisez une authentification (NTLM, Kerberos).
Contraintes
- Toutes les machines doivent avoir la même version de la solution Olfeo. Si vous devez faire une mise à jour, mettez à jour toutes les machines à la suite, en commençant par le maître.
- Toutes les machines doivent avoir la même base d'URLs (base France, Belgique...). Ne joignez pas un esclave ayant une base avec un maître ayant une autre base.
- Les éventuels firewalls situés entre le maître et les esclaves doivent permettre les connexions TCP sur les ports indiqués dans la matrice de flux disponible ici.
- Tous les types d'intégration sont compatibles avec les domaines Olfeo. Vous pouvez utiliser des versions box et logiciel. Un domaine peut comprendre des Olfeo box et/ou logiciels, avec un mélange de modes d'intégration. Tous les paramétrages propres aux différents modes d'intégration devront être faits sur le maître (connecteurs, configuration du proxy...). Vous pouvez utiliser des appliances physiques, virtuelles ou faire des installations logicielles. Un domaine Olfeo peut être composé de différents formats et donc être hybride (appliances physiques et virtuelles…).
- L'ensemble du domaine est couvert par une seule licence (la licence du maître écrase celle de l'esclave lors de la jonction).
Superviser le domaine
Vous pouvez voir l'état des machines esclaves dans l'écran Domaine Olfeo de la machine maître. Celui-ci liste toutes les machines esclaves et indique leur état (En ligne, Hors ligne).
La configuration locale des esclaves étant stockée sur le maître, il est facile de remplacer une machine esclave : donnez à la nouvelle machine la même adresse IP et joignez-la au domaine en utilisant le même ID de membre.
Sauvegarder la configuration du maître sauvegarde également la configuration locale de toutes les machines esclaves, celles-ci étant enregistrées sur la machine maître.