Un domaine Olfeo est un groupe de machines Olfeo partageant une même configuration (liste des utilisateurs, politiques de filtrage, règles du moteur, authentification, pages de blocage personnalisées...). Un domaine Olfeo sert à :
- partager une même configuration sur plusieurs machines Olfeo, afin d'éviter de devoir refaire plusieurs fois la même configuration, ou de faire les mêmes modifications plusieurs fois
- d'avoir un log centralisé du trafic reçu par toutes les machines du domaine.
- assurer l'homogénéité des configurations, ce qui est nécessaire dans le cadre de la
haute disponibilité.
Fonctionnement
Un domaine Olfeo est un système maître-esclave :
- Le domaine comprend une seule machine maître active, et peut contenir autant d'esclaves
que vous le souhaitez.
- Par défaut, un Olfeo nouvellement installé est maître : il est le seul membre de son domaine. Contrairement à la v5 d'Olfeo, il n'y a pas d'étape de création du domaine.
- Les logs et les statistiques sont disponibles uniquement sur la machine maître.
- Le statut maître/esclave est indiqué en bas à gauche de l'interface d'administration,
ainsi que l'identifiant de la ou des machine(s) esclave(s).
- La configuration locale des esclaves est stockée sur le maître.
- Seuls les comptes administrateur de la machine maître sont conservés
- Le domaine comprend une seule hiérarchie : une machine maître ne peut pas être esclave d'un autre maître.
- Une machine esclave dimentionnée comme une machine maître peut être désignée comme
maître de secours. En cas de difficulté du maître, le maître de secours prendra sa
place.
- Dans l’extracteur de logs, si vos Olfeos sont intégrés en mode proxy, le champ proxy_id indique la machine ayant reçu le flux. Dans les autres modes d'intégration, il n'est pas possible de connaître la machine.
Le maître de secours
La machine maître étant responsable de la centralisation des logs de navigation pendant 366
jours glissants, il est important qu’elle soit disponible en permanence. En cas
d’indisponibilité de la machine maitre, le fonctionnement du domaine Olfeo est dégradé et
certaines opérations deviennent impossibles :
- synchronisation des utilisateurs de l’annuaire (utilisateurs ajoutés, modification des
groupes),
- modification des politiques de filtrage, des règles du moteur, des messages de
blocage,
- sauvegarde des logs de navigation reçus par toutes les machines membres, etc.
Dans cette situation la navigation sur Internet et le filtrage des utilisateurs,
avec les politiques et règles en vigueur, restent fonctionnelles tant que les machines
esclaves ne sont pas redémarrées. Toutefois, cette situation n’est pas pérenne et il convient
de mettre en place une solution de redondance de la machine maitre. Une machine maitre de
secours peut être désignée parmi les machines esclaves du domaine Olfeo :
Remarque : Attention, la machine désignée en tant que maitre de secours doit disposer d’un
dimensionnement équivalent (CPU, mémoire, espace disque) à la machine maître en
production, et elle doit être dans le même réseau.
Lorsque ce rôle est donné à une machine, les opérations suivantes ont lieu :
- tous les logs de trafic (URL, fichier, applicatif) sont synchronisés entre le maitre
«principal» et le maitre de secours,
- tous les services Olfeo sont redémarrés sur cette machine,
- une fois l’opération terminée, le statut des différentes machines membres du domaine
Olfeo est actualisé
Le maître de secours interroge le maitre toutes les secondes et prendra le relai s’il
n’obtient aucune réponse au bout de 5 secondes. En définitive, la bascule du rôle maître
entre les 2 machines pourra prendre jusqu’à 20 secondes. En revanche, le temps
d’indisponibilité des services de remontées de logs des esclaves vers le maître est au plus
de 10 secondes.
Une bascule manuelle du rôle maitre vers le maitre de secours est
également possible depuis le maitre à l’aide du bouton Basculer maintenant, ou depuis le
maître de secours à l’aide du bouton
Forcer la bascule. Après le transfert du rôle
maitre vers le maitre de secours, l’ancien maitre devient automatiquement esclave du domaine
Olfeo. Pour réaffecter les rôles maitre et maitre de secours comme à l’état initial, il faut
désigner l’ancien maitre comme maitre de secours puis forcer la bascule.
Schéma de fonctionnement du maître de secours
Jonction au domaine Windows
- Si la jonction au domaine Windows a été faite sur la machine esclave avant que celle-ci ne soit intégrée au domaine Olfeo, cet élément de configuration n'est pas écrasé par celui de la machine maître.
- Chaque machine du domaine Olfeo peut être jointe
à une infrastructure Active Directory différente. Si vous gérez plusieurs infrastructures Active Directory au sein d'un même domaine Olfeo, il faut déclarer les différentes infrastructures AD sur l'Olfeo maître, puis joindre chaque esclave au contrôleur de l'AD correspondant.
- Si vous gérez plusieurs sites
appartenant à une même infrastructure Active Directory, joignez chaque esclave au contrôleur de domaine le plus
proche. Filtrez uniquement les utilisateurs concernés par un contrôleur de domaine avec la machine jointe à ce contrôleur.
- La jonction au domaine Windows n'est nécessaire que si vous réalisez une authentification forte (NTLM, Kerberos).
Superviser le domaine
Vous pouvez voir l'état des machines esclaves dans l'écran Domaine Olfeo de la machine maître. Celui-ci liste toutes les machines esclaves et indique leur état (En ligne, Hors ligne). Une infobulle sur le libellé En ligne/Hors ligne vous donne l'heure où la machine maître a "vu en dernier" la machine esclave (la connexion entre maître et esclave est testée toutes les 10 secondes).
La configuration locale des esclaves étant stockée sur le maître, il est facile de remplacer une machine esclave : donnez à la nouvelle machine la même adresse IP et joignez-la au domaine en utilisant le même ID de membre.
Sauvegarder la configuration du maître sauvegarde également la configuration locale de toutes les machines esclaves, celles-ci étant enregistrées sur la machine maître.