# Medulla - FAQ
# FAQ - SaaS
# Pré-requis réseau pour Medulla SaaS
**Medulla / Version All / SaaS / Infrastructure**
### **1. Y a-t-il des prérequis techniques pour utiliser Medulla en mode SaaS ?**
Pour l’offre **SaaS mutualisé**, aucun prérequis matériel ou logiciel n’est nécessaire.
La seule condition est d’autoriser **deux flux réseau sortants** depuis vos postes de travail vers la plateforme Medulla.
---
### **2. Quels ports doivent être ouverts sur Internet ?**
#### **SaaS mutualisé**
Seuls deux ports doivent être autorisés **Postes → Serveur Medulla** :
- **TCP 2002** : communication principale entre l’agent Medulla et le serveur
- **TCP 5222** : canal XMPP permettant d’orchestrer les actions et d’établir les tunnels sécurisés
Aucun autre port ne doit être ouvert sur Internet.
---
### **3. Pourquoi uniquement deux ports ?**
Parce que :
- Toutes les opérations nécessitant des ports additionnels (VNC, RDP, WinRM, inventaire, déploiements de package) passent **automatiquement dans un tunnel OpenSSH** établi entre le serveur Medulla et l’agent du poste.
- Ce tunnel est initié et géré par le service XMPP.
Vous n’avez donc **pas** à exposer des ports sensibles sur Internet.
### **4. Quels ports sont nécessaires pour l’offre SaaS dédié ?**
En plus des ports nécessaires au SaaS mutualisé :
- **TCP 55415** : utilisé pour les fonctions de sauvegarde (Backup)
Tous les autres ports continuent de transiter via le **tunnel OpenSSH** et n’ont pas besoin d’être ouverts.
### **5. Pourquoi certains ports (UDP 67, 69, 111, 2049) ne sont plus mentionnés en mode SaaS ?**
Parce qu’ils ne sont **pas utilisés** en mode SaaS :
- Pas de PXE et DHCP sur Internet → **UDP 67 / 69 inutiles**
- Pas de NFS exposé → **111 / 2049 inutiles**
- Aucun service bas-niveau n’est exposé dans le cloud Medulla
### **6. Dois-je ouvrir des ports entrants sur mon firewall ?**
Non.
**Aucun flux entrant** n’est requis dans le mode SaaS Medulla.
Votre firewall doit simplement **autoriser les flux sortants** suivants pour que les agents communiquent :
- TCP **2002**
- TCP **5222**
(+ TCP **55415** si SaaS dédié)
### **7. Résumé rapide**
| **Offre**
| **Flux nécessaires Postes → Serveur**
| **Remarques**
|
|---|
| **SaaS mutualisé**
| TCP **2002**, TCP **5222**
| Tous les autres ports passent par le tunnel OpenSSH
|
| **SaaS dédié**
| TCP **2002**, TCP **5222**, TCP **55415**
| Backup activé en option
|
| **Flux entrants**
| Aucun
| Tout est initié par le poste
|
# Postes Clients (état & visibilité)
##### **Pourquoi certains postes apparaissent hors ligne alors qu’ils sont allumés ?**
- Vérifiez le service medullaagent et medullanetnotify sur les postes hors ligne, si les services sont bien "running" mais que le poste apparait hors ligne sur l'interface (poste grisé) alors merci de prendre contacte avec le service Support ou votre Administrateur.
- Si présence d'erreur dans les logs de l'agent (sur le poste) "C:\\Program Files\\Medulla\\var\\log\\xmpp-agent-machine.log", reportez les au service Support ou votre Administrateur.
##### **Pourquoi les inventaires ou informations remontées sont incomplets ou erronés.**
- Assurez vous que l'adresse MAC du poste qui ne remonte pas sont inventaire n'est pas déjà utilisé, pour voir si un poste a des difficultés à remonter son inventaire, il est impossible de déployer sur le poste, même s'il parait en ligne sur l'interface (icone de l'ordinateur bleu), l'icône de déploiement du poste dans les "actions" apparaitra grisé.
# Déploiement (télédiffusion)
##### **Pourquoi mes déploiements restent bloqués en Pending ?**
- Le status Pending, montre que les déploiements vont bientôt être pris en compte, si le blocage persiste, merci de prendre contact avec le service Support ou votre Administrateur.
##### **Pourquoi mes déploiements restent bloqués en Deployment Start ?**
- Le status Deployment Start, montre que les déploiements vont bientôt être pris en compte, si le blocage persiste, merci de prendre contact avec le service Support ou votre Administrateur.
##### **Que faire en cas d’erreur de déploiement : Abort Package Execution ?**
- Vous devez vérifier le script lié au package, l'erreur indique qu'il ne s'exécute pas correctement. Vous pouvez tester d'exécuter le script à la main sur votre machine.
- Vérifiez le retour donné par l'audit du déploiement, celui ci peut donner des indices sur la raison de l'erreur.
##### **Que faire en cas d'erreur de déploiement : Transfer Failed ?**
- Votre ordinateur n'arrive pas à récupérer le package à cause de Rsync. Veuillez vérifier les droits de Rsync sur plusieurs dossier pour l'utilisateur pulseuser, les droits doivent être placés comme cela :
```bash
C:\Progra~1\Pulse\var\tmp\packages BUILTIN\Users:(OI)(CI)(F)
NT SERVICE\TrustedInstaller:(I)(F)
NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(RX)
BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX)
APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
C:\Users\pulseuser\.ssh NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(F)
NOM_MACHINE\pulseuser:(I)(OI)(CI)(F)
C:\Users\pulseuser\.ssh\authorized_keys NOM_MACHINE\pulseuser:(F)
NT AUTHORITY\SYSTEM:(F)
```
##### **Pourquoi mes télédiffusions ne démarrent pas ou son long à démarrer ?**
- Si vos déploiements mettent du temps à démarrer, il est possible que votre déploiement placé en file d'attente soit ralenti par la charge actuelle de la plateforme SaaS.
- Si vos déploiements restent bloquer, veuillez prendre contact avec le service Support ou votre Administrateur.
##### **Comment arrêter un déploiement ?**
- Vous disposez d'un bouton "Stop Deploy" dans l'audit d'un déploiement pour arrêter le déploiement en cours.
##### **Comment voir le résultat de mon déploiement ?**
- Dans la vue "Audit" vous pouvez retrouver la liste de tout vos déploiements. Cliquez sur le bouton action  "Affichez les détails du déploiement" pour voir votre déploiement.
##### **Comment relancer un déploiement ?**
- Dans la vue "Audit", retrouver la ligne correspondant au déploiement que vous souhaitez relancer, puis cliquez sur le bouton action  pour relancer le déploiement.
# Packages
##### **Je n'arrive pas à ajouter un fichier dans mon package.**
- Une fois que vous avez ajouter un fichier à votre package, il est en attente, il ne faut pas oublier de cliquer sur "Transmettre le package en attente".
##### **J'ai créé un package mais il n'est pas disponible au déploiement, pourquoi ?**
- Si votre package n'est pas visible dans la liste des packages, ou visible lorsque vous souhaitez le déployer, alors il est en attente de synchronisation sur les relais, patientez quelques instant avant de le voir apparaitre dans la "Liste des packages".
##### **Pourquoi mon package n'est pas disponible dans la page d'ajout de package au Kiosk ?**
- Votre package doit avoir un inventaire d'associé afin d'être visible dans la liste des packages disponible pour le Kiosk.
# Télémaintenance & Prise en main
##### **Que faire si la prise en main à distance (VNC/RDP/PMAD) ne fonctionne pas ?**
- Vérifiez le service TightVNC sur les postes posant problème.
- La prise en main à distance n'est pas accessible si l'ordinateur apparait comme hors ligne : grisé, si c'est le cas vérifier l'état du service medullaagent sur la machine.
# FAQ - OnPremise
# Déploiement (télédiffusion)
##### **Pourquoi mes déploiements restent bloqués en Pending ?**
- Le status Pending, montre que les déploiements vont bientôt être pris en compte, si le blocage persiste, merci de prendre contact avec le service Support ou votre Administrateur.
##### **Pourquoi mes déploiements restent bloqués en Deployment Start ?**
- Le status Deployment Start, montre que les déploiements vont bientôt être pris en compte, si le blocage persiste, merci de prendre contact avec le service Support ou votre Administrateur.
##### **Que faire en cas d’erreur de déploiement : Abort Package Execution ?**
- Vous devez vérifier le script lié au package, l'erreur indique qu'il ne s'exécute pas correctement. Vous pouvez tester d'exécuter le script à la main sur votre machine.
- Vérifiez le retour donné par l'audit du déploiement, celui ci peut donner des indices sur la raison de l'erreur.
##### **Que faire en cas d'erreur de déploiement : Transfer Failed ?**
- Votre ordinateur n'arrive pas à récupérer le package à cause de Rsync. Veuillez vérifier les droits de Rsync sur plusieurs dossier pour l'utilisateur pulseuser, les droits doivent être placés comme cela :
```bash
C:\Progra~1\Pulse\var\tmp\packages BUILTIN\Users:(OI)(CI)(F)
NT SERVICE\TrustedInstaller:(I)(F)
NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(RX)
BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX)
APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
C:\Users\pulseuser\.ssh NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(F)
NOM_MACHINE\pulseuser:(I)(OI)(CI)(F)
C:\Users\pulseuser\.ssh\authorized_keys NOM_MACHINE\pulseuser:(F)
NT AUTHORITY\SYSTEM:(F)
```
##### **Pourquoi mes télédiffusions ne démarrent pas ou son long à démarrer ?**
- Si vos déploiements mettent du temps à démarrer, il est possible que votre déploiement placé en file d'attente soit ralenti par la charge actuelle de la plateforme SaaS.
- Si vos déploiements restent bloquer, veuillez prendre contact avec le service Support ou votre Administrateur.
##### **Comment arrêter un déploiement ?**
- Vous disposez d'un bouton "Stop Deploy" dans l'audit d'un déploiement pour arrêter le déploiement en cours.
##### **Comment voir le résultat de mon déploiement ?**
- Dans la vue "Audit" vous pouvez retrouver la liste de tout vos déploiements. Cliquez sur le bouton action  "Affichez les détails du déploiement" pour voir votre déploiement.
##### **Comment relancer un déploiement ?**
- Dans la vue "Audit", retrouver la ligne correspondant au déploiement que vous souhaitez relancer, puis cliquez sur le bouton action  pour relancer le déploiement.
# Télémaintenance & Prise en main
##### **Que faire si la prise en main à distance (VNC/RDP/PMAD) ne fonctionne pas ?**
- Vérifiez le service TightVNC sur les postes posant problème.
- La prise en main à distance n'est pas accessible si l'ordinateur apparait comme hors ligne : grisé, si c'est le cas vérifier l'état du service medullaagent sur la machine.
- Si votre port SSH par défaut n'est pas 22, assurez vous que le fichiers suivant reprenne bien votre IP ainsi que le port SSH que vous utilisez : **C:\\Program Files\\Medulla\\bin\\reversessh.bat** Si ce n'est pas le cas, alors une modification doit être faite sur votre serveur, dans le fichier : **/etc/pulse-xmpp-agent/reverse\_ssh\_on.ini.local
**Il est nécessaire de faire un redémarrage du service pulse-xmpp-agent-relay.service
- Si votre infrastructure dispose d’une adresse IP publique et que le serveur ne parvient pas à joindre les postes via une adresse IP privée ou un VPN, la connexion s’effectue alors en **reverse** depuis le poste vers le serveur.
Pour vérifier le bon fonctionnement de cette connexion, exécutez manuellement le script suivant :
`C:\Program Files\Medulla\bin\reversessh.bat`
Cela vous permettra d’identifier d’éventuelles erreurs de connexion.
# Test de FLUX
Avant toute installation de **Medulla**, il est **essentiel** de vérifier les échanges entre :
- Votre **serveur Medulla**,
- Votre **relais** (le cas échéant),
- Vos **machines clientes**.
Pour ce faire, nous mettons à votre disposition une **procédure de test** incluant des scripts dédiés. **Tous les flux doivent être validés avec succès** afin de garantir un déploiement fluide et un fonctionnement optimal de Medulla.
N’hésitez pas à nous solliciter pour toute assistance ou clarification concernant ces tests.
**Les scripts sont disponibles en téléchargement ici :**
[https://dl.medulla-tech.io/nc/listen\_ports\_debian.sh](https://dl.medulla-tech.io/nc/listen_ports_debian.sh)
[https://dl.medulla-tech.io/nc/listen\_ports\_windows.ps1](https://dl.medulla-tech.io/nc/listen_ports_windows.ps1 "https://dl.medulla-tech.io/nc/listen_ports_windows.ps1")
[https://dl.medulla-tech.io/nc/medulla\_connection\_check.sh](https://dl.medulla-tech.io/nc/medulla_connection_check.sh "https://dl.medulla-tech.io/nc/medulla_connection_check.sh")
[https://dl.medulla-tech.io/nc/medulla\_relay\_connection\_check.sh](https://dl.medulla-tech.io/nc/medulla_relay_connection_check.sh "https://dl.medulla-tech.io/nc/medulla_relay_connection_check.sh")
[https://dl.medulla-tech.io/nc/windows\_connection\_check\_signed.ps1](https://dl.medulla-tech.io/nc/windows_connection_check_signed.ps1)
[https://dl.medulla-tech.io/nc/check\_connection\_ldap.sh](https://dl.medulla-tech.io/nc/check_connection_ldap.sh "https://dl.medulla-tech.io/nc/check_connection_ldap.sh")
[https://dl.medulla-tech.io/nc/check\_connection\_glpi.sh](https://dl.medulla-tech.io/nc/check_connection_glpi.sh "https://dl.medulla-tech.io/nc/check_connection_glpi.sh")
(clique droit sur les liens ci-dessous, puis cliquez sur **"Enregister le lien sous..."**)
**-----------------------------------------------------------**
### Prérequis aux tests
Avant de commencer, assurez-vous d'avoir récupéré les scripts de test fournis ci-dessus et de préparer les machines :
1. **Sur les serveurs Linux (Medulla & Relai) :**
- Installez l'outil nécessaire : `sudo apt update && sudo apt install netcat-openbsd
mariadb-client ldap-utils`
- Rendez les scripts exécutables :
```
chmod +x listen_ports_debian.sh medulla_connection_check.sh medulla_relay_connection_check.sh
dos2unix *.sh # Si nécessaire
```
2. **Sur le poste client Windows possédant l’agent Medulla :**
- Faire un clic droit sur le script cliquer sur propriétés, cocher la case débloquer l'execution du script et valider.
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-01/6Gs5mDYikDrAhhUU-image.png)
- Autorisez l’exécution des scripts PowerShell :
`Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy RemoteSigned`
> \# Répondre "Oui pour tous" (A ou T) si demandé
#### Pour powershell v7.5.4 :
Il n'y a pas besoin de débloquer le script. Il faut lancez la commande vu précédemment.
Il vous demandera si on veut autoriser l'editeur qui publie le script il suffit de valider en cliquant sur R ou A.
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-01/vJOscUwLGmSGzsEU-image.png)
- **A. Sur le Serveur Relai (Destination) :** Lancez l'écoute des ports. **
(Ne pas faire cette étape si Medulla est déjà installée ou si vous êtes en SaaS)**
```
./listen_ports_debian.sh -r
```
- **B. Sur le Serveur Medulla (Source) :** Lancez le test de connexion.
```
./medulla_connection_check.sh -r
```
- **C. Sur le Serveur Medulla (Destination) :** Lancez l'écoute des ports. **
(Ne pas faire cette étape si Medulla est déjà installée ou si vous êtes en SaaS)**
```
./listen_ports_debian.sh -m
```
- **D. Sur le Serveur Relai (Source) :** Lancez le test de connexion.
```
./medulla_relay_connection_check.sh -m
```
---
### 2. Test Medulla Serveur <-> Poste Client Windows
*Vérification de la communication directe entre le serveur et les postes clients.*
**Sens : Serveur vers Poste Client**
- **A. Sur le Poste Client (Destination) :** Lancez l'écoute.
```
.\listen_ports_windows.ps1
```
- **B. Sur le Serveur Medulla (Source) :** Lancez le test vers l'IP du poste.
```
./medulla_connection_check.sh -c client.example.com
```
- **C. Sur le Serveur Medulla (Destination) :** Lancez l'écoute. **
(Ne pas faire cette étape si Medulla est déjà installée ou si vous êtes en SaaS)**
```
./listen_ports_debian.sh -m
```
- **D. Sur le Poste Client (Source) :** Lancez le test vers l'IP du serveur.
```
.\windows_connection_check_signed.ps1 -Target
-Mode pulse
```
- **A. Sur le Poste Client (Destination) :** Lancez l'écoute.
```
.\listen_ports_windows.ps1
```
- **B. Sur le Serveur Relai (Source) :** Lancez le test vers l'IP du poste.
```
./medulla_relay_connection_check.sh -c client.example.com
```
- **C. Sur le Serveur Relai (Destination) :** Lancez l'écoute. **
(Ne pas faire cette étape si Medulla est déjà installée ou si vous êtes en SaaS)**
```
./listen_ports_debian.sh -r
```
- **D. Sur le Poste Client (Source) :** Lancez le test vers l'IP du relai.
```
.\windows_connection_check_signed.ps1 -Target
-Mode relay
```
- **A. Sur le Serveur Medulla DMZ (Destination) :** Lancez l'écoute. **(Ne pas faire cette étape si Medulla est déjà installée ou si vous êtes en SaaS)**
```
./listen_ports_debian.sh -r
```
- **B. Sur le Poste Client NOMADE (Source) :** Lancez le test vers l'IP du serveur.
```
.\windows_connection_check_signed.ps1 -Target -Mode relay
```
### 5. Test Serveur destiné à Medulla -> Votre serveur GLPI
*Vérification de la communication directe entre le serveur et votre serveur GLPI.*
**(Nécessite le package mariadb-client : *apt install mariadb-client*)**
- **A. Sur le serveur Medulla :** Lancez le test vers la base de donnée GLPI externe.
```
./check_connection_glpi.sh DB_FQDN DB_USERNAME DB_PASSWORD DB_NAME_GLPI
```
- **A. Sur le serveur Medulla :** Lancez le test vers le serveur LDAP externe.
```
./check_connection_ldap.sh HOST PORT 'BIND_DN' 'PASSWORD' 'BASE_DN'
```
| **Liaison** | **Ports Utilisés (DEST)** | **Remarques** |
| **Votre poste administrateur Interne ➡️ Serveur Medulla** | 139/445
8384
| Trafic initié par le **poste admin Interne** vers **Medulla**. |
#### 1. Sans Serveur Relais
| **Liaison** | **Ports Utilisés (DEST)** | **Remarques** |
| **Poste interne ➡️ Serveur Medulla** | 22 (SSH)
67/69 (UDP)
80/443
111/2049 (TCP & UDP)
5222
8443
9990
9999,
22067
55415
| Trafic initié par le **poste interne** vers **Medulla**. |
| **Serveur Medulla ➡️ Poste interne** | 9
22 (SSH)
3389
5900
5985/5986
35621
35623
| Trafic initié par le **serveur Medulla** vers **les postes internes**. |
#### 2. Avec Serveur Relais Classique
| **Liaison** | **Ports Utilisés (DEST)** | **Remarques** |
| **Poste interne ➡️ Serveurs Medulla** | 22 (SSH)
67/69 (UDP)
80/443
111/2049 (TCP & UDP)
5222
8443
9990
9999,
22067
55415
| Trafic initié par le **poste interne** vers **Medulla**. |
| **Serveurs Medulla ➡️ Poste interne** | 9
22 (SSH)
3389
5900
5985/5986
35621
35623
| Trafic initié par le **serveur Medulla** vers **les postes internes**. |
| --- | --- | --- |
| **Serveur Medulla ➡️ Serveur Relais** | 22 (SSH)
5269
8081
9990
22000
| Trafic initié par **Medulla** vers le **Serveur DMZ**. |
| **Serveur Relais ➡️ Serveur Medulla** | 22 (SSH)
5269
7080
8443
9999
22067
22000
| Trafic initié par le **Serveur DMZ** vers **Medulla**. |
| --- |
|
|
| **Poste interne ➡️ Serveur Relais** | 22
69/69 (UDP)
80/443
111/2049 (TCP & UDP)
5222
9990
| Trafic initié par le **poste interne** vers le **Serveur Relais**. |
| **Serveur Relais ➡️ Poste interne** | 9
22
3389
5900
| Trafic initié par le **Serveur Relais vers le **poste interne**. |
#### 3. Avec Serveur Relais DMZ
| **Liaison** | **Ports Utilisés (DEST)** | **Remarques** |
| **Poste interne ➡️ Serveur Medulla** | 22 (SSH)
67/69 (UDP)
80/443
111/2049 (TCP & UDP)
5222
8443
9990
9999,
22067
55415
| Trafic initié par le **poste interne** vers **Medulla**. |
| **Serveur Medulla ➡️ Poste interne** | 9
22 (SSH)
3389
5900
5985/5986
35621
35623
| Trafic initié par le **serveur Medulla** vers **les postes internes**. |
| --- | --- | --- |
| **Serveur Medulla ➡️ Serveur Relais DMZ** | 22 (SSH)
4369
4370 à 4380
5269
8081
22000
| Trafic initié par **Medulla** vers le **Serveur DMZ**. |
| **Serveur Relais DMZ ➡️ Serveur Medulla** | 22 (SSH)
4369
4370 à 4380
5269
7080
8443
9999
22067
22000
| Trafic initié par le **Serveur DMZ** vers **Medulla**. |
| --- | --- | --- |
| **Poste extérieur ➡️ Serveur DMZ** | 22 (SSH)
5222 | Trafic initié par le **poste extérieur** vers le **Serveur DMZ**.
|
#### Description de ports
Port 9 : utilisé pour le Wake on LAN (WOL) afin de réveiller un poste à distance.
Port 22 (SSH) : port SSH utilisé par Medulla pour les opérations distantes, l’exécution de commandes et l’administration des agents.
Ports 67 et 69 (UDP) : utilisés pour DHCP et TFTP, notamment lors du démarrage PXE ou pour le chargement d’images de déploiement.
Ports 80 et 443 : HTTP et HTTPS, utilisés pour l’accès web et les échanges sécurisés avec les services Medulla.
Port 111 (TCP et UDP) : utilisé par Portmapper / RPCbind, nécessaire pour les services NFS et certains appels réseau internes.
Port 3389 : utilisé pour RDP afin de se connecter à distance aux postes Windows.
Port 4369 : utilisé pour un cluster ejabberd si vous possédez un relai DMZ
Port 4370 à 4380 : utilisé pour un cluster ejabberd si vous possédez un relai DMZ
Port 5222 : utilisé par XMPP pour la communication entre les agents Medulla et le serveur.
Port 5269 : utilisé par XMPP pour la communication serveur à serveur, notamment entre Medulla et le serveur relais en DMZ.
Port 5900 : utilisé par VNC pour la prise de contrôle à distance.
Ports 5985 et 5986 : utilisés par WinRM (HTTP et HTTPS) pour les commandes distantes sur Windows.
Ports 7080 et 8081 : utilisés par des services internes ou des API de gestion nécessaires au serveur relais ou aux composants Medulla.
Port 8443 : HTTPS utilisé par l’interface ou les API sécurisées de Medulla.
Port 9990 : utilisé par un service interne Medulla pour la gestion et la supervision.
Port 9999 : utilisé comme port interne de synchronisation ou d’échange entre le serveur Medulla et des composants comme le relais.
Port 22000 : utilisé par Syncthing comme canal principal pour la synchronisation de données (packages, artefacts, inventaires).
Port 22067 : utilisé par Syncthing comme canal relayé, utile pour les postes nomades ou situés derrière un NAT.
Ports 35621, 35623 et 55415 : ports dynamiques utilisés par les agents Medulla pour la communication en temps réel, l’inventaire, la synchronisation ou l’exécution de tâches.
# OIDC
#### Lister mes configurations OIDC
Rendez vous sur la vue Admin > Gérer les providers.
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/m8hUXvE5dh2rZV26-image.png)
Vous avez ici la liste des OIDC déjà configuré qu'il est possible de modifier.
#### Créer une configuration OIDC
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/HxOYYjzUOcZEDUk3-image.png)
"Nom du provider" sera le titre qui s'affichera sur la page d'accueil.
"URL du logo" correspond au lien internet pour configurer un logo au bouton de login OIDC.
"URL de l'émetteur" correspond au lien internet qui redirige vers votre OIDC.
"ID Client" correspond à l'identifiant de votre OIDC.
"Secret Client" correspond au mot de passe de votre OIDC.
- (Optionnel)
"LDAP uid" correspond au mappage de l'uid par votre OIDC
"LDAP givenName" correspond au mappage du givenName de votre OIDC
"LDAP sn" correspond au mappage du sn de votre OIDC
"LDAP mail" correspond au mappage du mail de votre OIDC
Appuyez ensuite sur le bouton **"Créer le provider"** pour avoir le possibilité de vous connecter via un OIDC sur votre plateforme.
# Vues DNS et Relai Medulla en DMZ
Dans une architecture Medulla, un **relai peut être positionné en DMZ** afin de permettre aux postes externes d’accéder à la plateforme sans exposer directement le serveur Medulla interne si vous ne possédez pas de VPN.La configuration des agents Medulla étant unique pour l'ensemble du parc, elle ne supporte qu'un seul nom de domaine. Pour permettre aux machines de joindre le serveur aussi bien depuis le réseau privé que depuis l'extérieur via cette adresse unique, l'utilisation d'un nom de domaine unique couplé à des **vues DNS (Split-Horizon)** ou d'un **Round-Robin** est nécessaire.
#### Vues DNS
### Principe
Une vue DNS permet de fournir **des réponses différentes pour un même nom** selon l’origine de la requête.
- Postes internes → serveur Medulla interne
- Postes externes → relai Medulla en DMZ
### Avantages
- Un seul nom DNS à configurer
- Aucune différence de configuration côté postes
- Le serveur Medulla interne n’est pas exposé
- Architecture claire et sécurisée
### À retenir
Les vues DNS permettent d’orienter automatiquement les postes vers le bon point d’accès Medulla, en conservant un nom unique et une configuration simple.
Article de référence sur Bind9 : [https://kb.isc.org/docs/aa-00851](https://kb.isc.org/docs/aa-00851)
#### Round-Robin
Egalement, si vous ne souhaitez pas configurer de Vues DNS, il est possible d’opter pour une solution alternative en mettant en place un mécanisme de ***Round-Robin***. Ce dernier permet de répartir les requêtes entre plusieurs adresses IP associées à un même nom de domaine, garantissant ainsi une répartition équilibrée des connexions.
Pour cela, il est nécessaire de procéder en deux étapes :
1. Définir l’adresse IP interne du serveur principal Medulla.
2. Définir l’adresse IP publique du serveur relais DMZ.
# Filtre les types de machines via ID GLPI
Pour le filtre, dans la section main de /etc/mmc/plugins/glpi.ini.local il faut ajouter :
filter\_on = <le\_critère>
> \#Display only computers that match one of these filters:
> \* state
> \* type
> \* entity
> \* autoupdatesystems\_id
>
> \#Each filter may contain a list of values separated by pipe
> \#Filters are ids separated by spaces
>
> i.e. state=1 type=2|3|7 entity=2|5
> filter\_on = state=3
# Votre GLPI avec Utilisateur Read-Only
Medulla nécessite la création de vues spécifiques dans la base de données **GLPI** pour fonctionner correctement.
##### GLPI Read-Only
Si vous nous fournissez un utilisateur qui a des droits en lecture seul sur votre base GLPI, vous devrez appliquer manuellement un fichier SQL avant l'installation de Medulla. Ce fichier contient les requêtes nécessaires pour créer les vues requises.
Voici le liens du fichier SQL :
[https://dl.medulla-tech.io/nc/glpi-100.sql](https://dl.medulla-tech.io/nc/glpi-100.sql)
##### GLPI accès en écriture
Si vous autorisez l'accès en **écriture** à votre base de données GLPI, Medulla appliquera automatiquement les vues nécessaires lors de l'installation.
---
> *Ces vues sont obligatoires pour le fonctionnement de Medulla.*
# Désactiver la convergence du package Extract drivers
Allez sur le serveur Medulla.
Editez les fichiers :
- /etc/pulse-xmpp-agent-substitute/registeryagent.ini
- /etc/pulse-xmpp-agent-substitute/registeryagent.ini.local
Modifiez le paramètre concerné :
```
[extractdrivers]
# Add the possibility to enable or disable the extraction drivers mecanic
# valeurs acceptées 0, false, False
# valeurs acceptées 1, true, True
activate=0
```
Enregistrer les fichiers.
Relancer le service :
```bash
systemctl restart pulse-xmpp-master-substitute-registration.service
```
# Guide de Configuration : Authentification OIDC et Synchronisation des Utilisateurs
Si vous utilisez une infrastructure **On-Premise**, et que vous choisissez l'authentification via le protocole **OIDC (OpenID Connect)**. Il est essentiel de comprendre comment les comptes utilisateurs sont acheminés et gérés entre votre fournisseur d'identité et l'interface GLPI, si celui-ci est vide d'utilisateur (fraichement installé en même temps que Medulla).
### 1. Comprendre le flux d'authentification
Dans cette architecture, la gestion des accès suit un parcours spécifique :
1. **Stockage :** Vos utilisateurs OIDC sont provisionnés dans le **LDAP local** du serveur Medulla.
2. **Autorisations (ACL) :** Bien que l'authentification soit gérée par l'OIDC, les droits d'accès et les permissions (profils) sont pilotés directement au sein de GLPI.
> **Symptôme d'une absence de synchronisation :** Si, après votre connexion via OIDC, vous arrivez sur une page GLPI vide ou sans menus, cela signifie que votre compte n'a pas encore été importé dans la base de données GLPI. Sans cette étape, le système ne peut pas vous attribuer de profil ni de droits d'accès.
>
> L'ajout dans le GLPI des utilisateurs lors de la connexion via l'OIDC est maintenant automatique si :
>
> - Le GLPI est installé par défaut avec Medulla
> - Votre GLPI est accessible en read-write
---
### 2. Procédure de synchronisation manuelle
Pour rendre vos utilisateurs actifs dans GLPI, vous devez effectuer une liaison avec l'annuaire LDAP local. Voici la marche à suivre :
#### Étape A : Accéder à l'interface de liaison
1. Connectez vous à GLPI avec un compte administrateur local.
2. Allez dans le menu **Administration** > **Utilisateurs**.
3. Cliquez sur le bouton **Liaison annuaire LDAP**.
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-01/NxP9d5b7MOiN6bTI-image.png)
#### Étape B : Importer les comptes
1. Cliquez sur le lien **Importation de nouveaux utilisateurs**.
2. Cliquez sur le bouton **Rechercher** pour lister les utilisateurs présents dans le LDAP de Medulla.
3. Sélectionnez les utilisateurs souhaités (ou l'intégralité) et validez la synchronisation.
# Augmenter le timeout de la connexion à l'interface
Rendez vous sur le fichier /etc/mmc/mmi.ini
Modifier la valeur **sessiontimeout**. (Celui-ci est en secondes)
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-01/4HdPtXnZmQeareo2-image.png)
# Activation Support / WSUS / CVE
**S'applique à:** Medulla – Support / WSUS / CVE
**Version:** 5.4.3 ou ultérieure
**Environnement:** On-Premise
**Categorie:** Support
Après la mise à jour de votre installation Medulla, une action complémentaire est nécessaire pour activer le support.
Veuillez récupérer le fichier suivant sur votre serveur :
```
/etc/mmc/plugins/security.ini.local
```
Ce fichier doit ensuite être transmis à votre interlocuteur commercial.
Cette étape permet d’activer votre accès au support ainsi que les services associés.
# Changer le FQDN du serveur
Récupérer le script à ce lien :
[https://dl.medulla-tech.io/nc/rename\_fqdn\_and\_protocol.py](https://dl.medulla-tech.io/nc/rename_fqdn_and_protocol.py)
`chmod +x rename_fqdn_and_protocol.py`
Pour voir les options du script :
`./rename_fqdn_and_protocol --help `
##### Modifier le FQDN du serveur
Pour modifier medulla.mondomaine.lan en medulla.mondomaine.fr voici l'exemple d'utilisation de la commande :
`./rename_fqdn_and_protocol --old-fqdn medulla.mondomaine.lan --new-fqdn medulla.mondomaine.fr`
##### Modifier le protocol
Il est également possible de changer le procotol http à https dans les URL en même temps :
`./rename_fqdn_and_protocol --old-fqdn medulla.mondomaine.lan --new-fqdn medulla.mondomaine.fr --new-protocol https`
##### Re-générer l'agent
Si les postes doivent également communiquer directement vers les nouveau FQDN, il est possible de re-générer l'agent avec le nouveau FQDN :
`./rename_fqdn_and_protocol --old-fqdn medulla.mondomaine.lan --new-fqdn medulla.mondomaine.fr --update-agent-conf`
Pour plus d'informations et que vous possédez un contrat de support Medulla, contactez support@medulla-tech.io
# Changer le port SSH entre Serveur - Poste
Récupérer les scripts à ces liens :
[https://dl.medulla-tech.io/nc/change\_ssh\_port\_on\_agent.py](https://dl.medulla-tech.io/nc/change_ssh_port_on_agent.py)
[https://dl.medulla-tech.io/nc/change\_ssh\_port\_on\_server.py](https://dl.medulla-tech.io/nc/change_ssh_port_on_server.py)
`chmod +x change_ssh_port_on_agent.py`
`chmod +x change_ssh_port_on_server.py`
Pour voir les options du script :
`./change_ssh_port_on_agent.py --help`
`./change_ssh_port_on_server.py --help`
Il est obligatoire de modifier le port avec les deux script
Le port doit être le même sur les deux script
##### Modifier le port sur le serveur
Pour modifier le port 22 pour le port 2002 voici l'exemple d'utilisation de la commande :
`./change_ssh_port_on_agent.py --new-ssh-port 2002`
`./change_ssh_port_on_server.py --new-ssh-port 2002`
L'agent sera regénéré suite à l'exécution du script **"change\_ssh\_port\_on\_agent.py"**, il faut alors re déployer l'agent sur vos postes.
# GLPI - Connecter un GLPI externe
**S'applique à**: Medulla/GLPI
**Version de Medulla**: toutes
**Version de GLPI**: 10.0.x
**Environnement**: On-Premise
**Categorie**: Medulla
#### Prérequis
Avant de configurer l’intégration entre Medulla et GLPI, assurez-vous que les éléments suivants sont disponibles et correctement configurés.
Télécharger le script ici : [https://dl.medulla-tech.io/ma/change\_itsm\_parameters.py](https://dl.medulla-tech.io/ma/change_itsm_parameters.py)
##### 1. Accès base de données GLPI
Créer un utilisateur MySQL/MariaDB dédié pour Medulla avec les permissions suivantes :
\- Lecture seule (`READ ONLY`) ou lecture/écriture selon les besoins
\- Accès à l’ensemble de la base de données GLPI
##### 2. Connectivité réseau
Autoriser la communication entre le serveur Medulla et le serveur de base de données GLPI :
- Port `3306` ouvert (ou port personnalisé selon votre configuration)
##### 3. Création d’un utilisateur API GLPI
Créer un utilisateur GLPI dédié aux appels API nommé comme vous le souhaitez :
Sur GLPI dans `Administration > Utilisateurs`
- Type : utilisateur standard (nom d'utilisateur / mot de passe)
\- Profil recommandé :
\- `Read-Only` ou `Super-Admin`
\- Affectation :
\- Entité racine
\- Mode récursif activé
Générer ensuite un jeton API utilisateur (`user\_token`)
##### 4. Création d’un client API GLPI
Créer un client API nommé `MMC`.
Sur GLPI dans `Configuration > Générale > API`
Générer ensuite le jeton d’application (`app\_token`)
##### 5. Importer des vues SQL sur votre base de donnée GLPI
Dans votre base de donnée GLPI vous devez importez le fichier téléchargé ici :
[https://dl.medulla-tech.io/nc/glpi-100.sql](https://dl.medulla-tech.io/nc/glpi-100.sql)
\---
#### Utilisation du script
##### Commande d’aide
> ./change\_itsm\_parameters.py --help
>
> usage: change\_itsm\_parameters.py \[-h\] --url URL --db-host DB\_HOST \[--db-port DB\_PORT\] --db-name DB\_NAME --db-user DB\_USER --db-pass DB\_PASS --api-url API\_URL \[--api-user API\_USER\] \[--api-pass API\_PASS\] \[--readonly READONLY\] \[--crypt-key CRYPT\_KEY\] \[--inv-forward INV\_FORWARD\] \[--inv-forward-url INV\_FORWARD\_URL\] \[--inv-plugin INV\_PLUGIN\] \[--inv-agent INV\_AGENT\] \[--inv-agent-disabled INV\_AGENT\_DISABLED\]
>
> Update ITSM parameters
>
> options:
> -h, --help show this help message and exit
> \--url URL ITSM provider URL
> \--db-host DB\_HOST ITSM provider database host
> \--db-port DB\_PORT ITSM provider database port
> \--db-name DB\_NAME ITSM provider database name
> \--db-user DB\_USER ITSM provider database user
> \--db-pass DB\_PASS ITSM provider database password
> \--api-url API\_URL ITSM provider API URL
> \--api-user API\_USER ITSM provider API user
> \--api-pass API\_PASS ITSM provider API password
> \--readonly READONLY Whether ITSM provider database is read-only for Medulla (optional)
> \--crypt-key CRYPT\_KEY
> Decoded GLPI crypt key file - base64 /etc/glpi/glpicrypt.key (optional)
> \--inv-forward INV\_FORWARD
> Whether to forward inventory data to ITSM provider (optional)
> \--inv-forward-url INV\_FORWARD\_URL
> URL to forward inventory data to (optional)
> \--inv-plugin INV\_PLUGIN
> Inventory plugin to use - glpiinventory or fusioninventory(optional)
> \--inv-agent INV\_AGENT
> Inventory agent to use on client machine - glpiagent or fusioninventory (optional, required if --inv-forward is true)
> \--inv-agent-disabled INV\_AGENT\_DISABLED
> Whether to include inventory agent in Medulla agent (optional)
##### Exemples d'utilisation :
> ./change\_itsm\_parameters.py \\
> \--url https://glpi.mon-domaine.fr/ \\
> \--db-host 10.10.0.101 \\
> --db-port 3306 \\
> \--db-name GLPI \\
> --db-user medulla\_glpi \\
> --db-pass yJxI40UzO8Jn7dd7K5Yaml \\
> \--api-url https://glpi.mon-domaine.fr/apirest.php/ \\
> --api-user medulla\_APIUSER \\
> --api-pass fLN1Zomh877obPhk \\
# FAQ - SaaS Privé
# Pré-requis réseau pour Medulla SaaS Privé
Se reporter à :
[https://docs.medulla-tech.io/books/medulla-faq/page/faq-pre-requis-reseau-pour-medulla-saas](https://docs.medulla-tech.io/books/medulla-faq/page/pre-requis-reseau-pour-medulla-saas)
# Postes Clients (état & visibilité)
##### **Pourquoi certains postes apparaissent hors ligne alors qu’ils sont allumés ?**
- Vérifiez le service medullaagent et medullanetnotify sur les postes hors ligne, si les services sont bien "running" mais que le poste apparait hors ligne sur l'interface (poste grisé) alors merci de prendre contacte avec le service Support ou votre Administrateur.
- Si présence d'erreur dans les logs de l'agent (sur le poste) "C:\\Program Files\\Medulla\\var\\log\\xmpp-agent-machine.log", reportez les au service Support ou votre Administrateur.
##### **Pourquoi les inventaires ou informations remontées sont incomplets ou erronés.**
- Assurez vous que l'adresse MAC du poste qui ne remonte pas sont inventaire n'est pas déjà utilisé, pour voir si un poste a des difficultés à remonter son inventaire, il est impossible de déployer sur le poste, même s'il parait en ligne sur l'interface (icone de l'ordinateur bleu), l'icône de déploiement du poste dans les "actions" apparaitra grisé.
# Déploiement (télédiffusion)
##### **Pourquoi mes déploiements restent bloqués en Pending ?**
- Le status Pending, montre que les déploiements vont bientôt être pris en compte, si le blocage persiste, merci de prendre contact avec le service Support ou votre Administrateur.
##### **Pourquoi mes déploiements restent bloqués en Deployment Start ?**
- Le status Deployment Start, montre que les déploiements vont bientôt être pris en compte, si le blocage persiste, merci de prendre contact avec le service Support ou votre Administrateur.
##### **Que faire en cas d’erreur de déploiement : Abort Package Execution ?**
- Vous devez vérifier le script lié au package, l'erreur indique qu'il ne s'exécute pas correctement. Vous pouvez tester d'exécuter le script à la main sur votre machine.
- Vérifiez le retour donné par l'audit du déploiement, celui ci peut donner des indices sur la raison de l'erreur.
##### **Que faire en cas d'erreur de déploiement : Transfer Failed ?**
- Votre ordinateur n'arrive pas à récupérer le package à cause de Rsync. Veuillez vérifier les droits de Rsync sur plusieurs dossier pour l'utilisateur pulseuser, les droits doivent être placés comme cela :
```bash
C:\Progra~1\Pulse\var\tmp\packages BUILTIN\Users:(OI)(CI)(F)
NT SERVICE\TrustedInstaller:(I)(F)
NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(RX)
BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX)
APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
C:\Users\pulseuser\.ssh NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(F)
NOM_MACHINE\pulseuser:(I)(OI)(CI)(F)
C:\Users\pulseuser\.ssh\authorized_keys NOM_MACHINE\pulseuser:(F)
NT AUTHORITY\SYSTEM:(F)
```
##### **Pourquoi mes télédiffusions ne démarrent pas ou son long à démarrer ?**
- Si vos déploiements mettent du temps à démarrer, il est possible que votre déploiement placé en file d'attente soit ralenti par la charge actuelle de la plateforme SaaS.
- Si vos déploiements restent bloquer, veuillez prendre contact avec le service Support ou votre Administrateur.
##### **Comment arrêter un déploiement ?**
- Vous disposez d'un bouton "Stop Deploy" dans l'audit d'un déploiement pour arrêter le déploiement en cours.
##### **Comment voir le résultat de mon déploiement ?**
- Dans la vue "Audit" vous pouvez retrouver la liste de tout vos déploiements. Cliquez sur le bouton action  "Affichez les détails du déploiement" pour voir votre déploiement.
##### **Comment relancer un déploiement ?**
- Dans la vue "Audit", retrouver la ligne correspondant au déploiement que vous souhaitez relancer, puis cliquez sur le bouton action  pour relancer le déploiement.
# Packages
##### **Je n'arrive pas à ajouter un fichier dans mon package.**
- Une fois que vous avez ajouter un fichier à votre package, il est en attente, il ne faut pas oublier de cliquer sur "Transmettre le package en attente".
##### **J'ai créé un package mais il n'est pas disponible au déploiement, pourquoi ?**
- Si votre package n'est pas visible dans la liste des packages, ou visible lorsque vous souhaitez le déployer, alors il est en attente de synchronisation sur les relais, patientez quelques instant avant de le voir apparaitre dans la "Liste des packages".
##### **Pourquoi mon package n'est pas disponible dans la page d'ajout de package au Kiosk ?**
- Votre package doit avoir un inventaire d'associé afin d'être visible dans la liste des packages disponible pour le Kiosk.
# Console & Administration
##### **Pourquoi la console est lente, instable ou inaccessible ?**
- Il est possible que la plateforme soit surchargé. Veuillez patientez quelques minutes le temps que nous résolvions le problème. Si le problème persiste, merci de prendre contacte avec le service Support ou votre Administrateur.
##### **Comment résoudre les problèmes de droits utilisateurs ?**
- Un utilisateur dispose d'un profile avec des droits prédéfini par Medulla. Si vous êtes Super-Admin, vous pouvez changer sont profile, rendez vous dans la vue "Admin" puis "Gestions des entités", cliquez sur le bouton  "Gérer les utilisateurs" sur la ligne de l'entité dans laquelle se trouve l'utilisateur. Cliquez sur le bouton  "Edition" pour l'utilisateur concerné pour modifier son profile.
##### **Pourquoi je n’ai pas accès à certains groupes, audits ou tâches planifiées ?**
- Si vous n'êtes pas Super-Admin, contacter une personne ayant le profile Super-Admin afin qu'il modifie votre "Profile".
##### **Que faire en cas de blocage sur la console ou d’erreurs XMPP ?**
- Essayer de vous déconnecter puis reconnecter, vous pouvez également tenter de supprimer le cache et les cookies de votre navigateur. Si le problème persiste, merci de prendre contact avec le service Support ou votre Administrateur, en expliquant votre situation avec un maximum de détail et de communiquer l'erreur qui vous a été affichée.
# Télémaintenance & Prise en main
##### **Que faire si la prise en main à distance (VNC/RDP/PMAD) ne fonctionne pas ?**
- Vérifiez le service TightVNC sur les postes posant problème.
- La prise en main à distance n'est pas accessible si l'ordinateur apparait comme hors ligne : grisé, si c'est le cas vérifier l'état du service medullaagent sur la machine.
# FAQ - Toute plateforme
# Postes Clients (état & visibilité)
**S'applique à:** Medulla – Agents
**Version:** 5.4.3 ou ultérieure
**Environnement:** On-Premise - SaaS mutualisés et SaaS privés
**Categorie:** Support
##### **Pourquoi certains postes apparaissent hors ligne alors qu’ils sont allumés ?**
- Vérifiez le service medullaagent et medullanetnotify sur les postes hors ligne, si les services sont bien "running" mais que le poste apparait hors ligne sur l'interface (poste grisé) alors merci de prendre contacte avec le service Support ou votre Administrateur.
- Si présence d'erreur dans les logs de l'agent (sur le poste) "C:\\Program Files\\Medulla\\var\\log\\xmpp-agent-machine.log", reportez les au service Support ou votre Administrateur.
##### **Pourquoi les inventaires ou informations remontées sont incomplets ou erronés.**
- Assurez vous que l'adresse MAC du poste qui ne remonte pas sont inventaire n'est pas déjà utilisé, pour voir si un poste a des difficultés à remonter son inventaire, il est impossible de déployer sur le poste, même s'il parait en ligne sur l'interface (icone de l'ordinateur bleu), l'icône de déploiement du poste dans les "actions" apparaitra grisé.
# Packages
**Medulla Modules Packages / Toutes versions / SaaS Public et privé et On premise / Maintenance**
##### **Je n'arrive pas à ajouter un fichier dans mon package.**
- Une fois que vous avez ajouter un fichier à votre package, il est en attente, il ne faut pas oublier de cliquer sur "Transmettre le package en attente".
##### **J'ai créé un package mais il n'est pas disponible au déploiement, pourquoi ?**
- Si votre package n'est pas visible dans la liste des packages, ou visible lorsque vous souhaitez le déployer, alors il est en attente de synchronisation sur les relais, patientez quelques instant avant de le voir apparaitre dans la "Liste des packages".
##### **Pourquoi mon package n'est pas disponible dans la page d'ajout de package au Kiosk ?**
- Votre package doit avoir un inventaire d'associé afin d'être visible dans la liste des packages disponible pour le Kiosk.
# Console & Administration
**Medulla / Toutes versions / SaaS Public et privé et On premise / Maintenance**
##### **Pourquoi la console est lente, instable ou inaccessible ?**
- Il est possible que la plateforme soit surchargé. Veuillez patientez quelques minutes le temps que nous résolvions le problème. Si le problème persiste, merci de prendre contacte avec le service Support ou votre Administrateur.
##### **Comment résoudre les problèmes de droits utilisateurs ?**
- Un utilisateur dispose d'un profile avec des droits prédéfini par Medulla. Si vous êtes Super-Admin, vous pouvez changer sont profile, rendez vous dans la vue "Admin" puis "Gestions des entités", cliquez sur le bouton  "Gérer les utilisateurs" sur la ligne de l'entité dans laquelle se trouve l'utilisateur. Cliquez sur le bouton  "Edition" pour l'utilisateur concerné pour modifier son profile.
##### **Pourquoi je n’ai pas accès à certains groupes, audits ou tâches planifiées ?**
- Si vous n'êtes pas Super-Admin, contacter une personne ayant le profile Super-Admin afin qu'il modifie votre "Profile".
##### **Que faire en cas de blocage sur la console ou d’erreurs XMPP ?**
- Essayer de vous déconnecter puis reconnecter, vous pouvez également tenter de supprimer le cache et les cookies de votre navigateur. Si le problème persiste, merci de prendre contact avec le service Support ou votre Administrateur, en expliquant votre situation avec un maximum de détail et de communiquer l'erreur qui vous a été affichée.
# Télémaintenance & Prise en main
**Medulla Modules Ordinateurs / Toutes versions / SaaS Public et privé et On premise / Maintenance**
##### **Que faire si la prise en main à distance (VNC/RDP/PMAD) ne fonctionne pas ?**
- Vérifiez le service TightVNC sur les postes posant problème.
- La prise en main à distance n'est pas accessible si l'ordinateur apparait comme hors ligne : grisé, si c'est le cas vérifier l'état du service medullaagent sur la machine.
# Mettre l'agent en Debug
**Medulla / Toutes versions / SaaS Public et privé et On premise / Maintenance**
Pour mettre l'agent en **DEBUG**, rien de plus simple.
Rendez vous sur le fichier **agentconf.ini** qui se trouve dans : **C:\\Program Files\\Medulla\\etc\\agentconf.ini**
Dans la section **\[global\]**
- Modifier la valeur **log\_level = INFO** pour **log\_level = DEBUG**
- Modifier la valeur **log\_level\_slixmpp = FATAL** pour **log\_level\_slixmpp = DEBUG**
# Problème d'agent Windows
**Medulla / Toutes versions / SaaS Public et privé et On premise / Maintenance**
Votre problème concerne une interaction entre **Medulla et un poste Windows** (agent qui ne remonte pas, actions non appliquées, poste invisible, etc.) ?
Afin de faciliter le diagnostic, Medulla met à disposition un **script de vérification** qui permet de contrôler la connectivité réseau, l’état de l’agent et la configuration du poste.
**Téléchargement du script :**
[https://dl.medulla-tech.io/nc/windows\_connection\_check\_signed.ps1](https://dl.medulla-tech.io/nc/windows_connection_check_signed.ps1)
(clique droit sur le lien ci-dessous, puis cliquez sur **"Enregister le lien sous..."**)
#### Prérequis aux tests
Avant de commencer, assurez-vous d’avoir récupéré le script ci-dessus et de préparer les machines.
**Sur le poste client Windows possédant l’agent Medulla :**
- Faire un clic droit sur le script cliquer sur propriétés, cocher la case débloquer l'execution du script et valider.
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-01/6Gs5mDYikDrAhhUU-image.png)
- Autorisez l’exécution des scripts PowerShell :
`Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy RemoteSigned`
> \# Répondre "Oui pour tous" (A ou T) si demandé
#### Pour powershell v7.5.4 :
Il n'y a pas besoin de débloquer le script. Il faut lancez la commande vu précédemment.
Il vous demandera si on veut autoriser l'editeur qui publie le script il suffit de valider en cliquant sur R ou A.
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-01/vJOscUwLGmSGzsEU-image.png)
#### Test Medulla Serveur <- Poste Client Windows
*Vérification de la communication directe entre le serveur et les postes clients.*
**Sur le Poste Client (Source) :** Lancez le test **vers le nom d’hôte** ou **l’IP du serveur**.
`.\windows_connection_check_signed.ps1 -Target -Mode pulse`
Un fichier de log est créé (à l’emplacement depuis lequel vous lancez le script) et résume les tests effectués : **LOG\_Test\_Flux.txt**
> *Si vous avez des erreurs de droits lors de la création du fichier de log, essayez de placer le script dans le dossier **Downloads** de l’utilisateur, ou donnez les droits au script **windows\_connection\_check.ps1** pour créer un fichier au même emplacement.*
#### Medulla On-Premise
Si vous avez un serveur Medulla On-Premise, vous avez également la possibilité de lancer un diagnostic du serveur vers le poste :
**Sur le Serveur Medulla (Source) :** Lancez le test vers le **nom d’hôte** ou **l’IP du poste**.
`./medulla_connection_check.sh -c client.example.com`
**Recommandation :** merci de joindre le fichier **LOG\_Test\_Flux.txt** lors de votre demande de support.
# FAQ - ACL
Gestion des ACL dans Medulla
# Introduction
##### Définitions :
**ACL :** Défini les accès à chacune des fonctionnalités de Medulla en fonction du profil de l’utilisateur connecté.
Les ACL évoluent à chaque release de Medulla au fur et à mesure de l’enrichissement des fonctionnalités
**Profil :** Défini dans l’outil d’ITSM et permet de définir les habilitations d’un utilisateur sur une entité.
3 profils sont définis: Super-Admin, Admin et Technician
**Restriction:** Pas de différentiation de couple profil/entité dans Medulla. Si un utilisateur a des profils différents dans différentes entités, ce sera toujours son profil le plus permissif qui sera appliqué sur toutes les entités permises.
##### Configuration :
Les ACL se configurent dans le fichier : **/etc/mmc/plugins/glpi.ini.local**
Les 3 paramètres sont: **profile\_acl\_Super-Admin**
**profile\_acl\_Admin**
**profile\_acl\_Technician**
##### Etapes de configuration :
1- Dans la liste lister les fonctionnalités voulues
2- Transformer les ACLs en une chaine continue et terminer par /
3- Reporter la chaine dans le fichier de configuration pour le profil voulu
4 - Redémarrer les services
# Les ACL
##### Dashboard :
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/inrdT7Z8JOc1JgmD-image.png)
##### Inventaire :
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/r6AZQyD1bbxCrsnu-image.png)
##### Packaging :
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/h5AqpWfqEJDO304S-image.png)
##### Package Deploiement :
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/ikJmhZ4KXAI5vnvl-image.png)
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/Xzzknp1X78jAUlyF-image.png)
# Les ACL suite
##### Imaging :
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/qhfdos09hNUp3rGF-image.png)
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/SzlmEvvqFIjRWlvO-image.png)
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/xrxNRxWLoKxr0tyQ-image.png)
##### Updates:
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/042VtpGndiggswns-image.png)
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/vuA8sfkE4XdKHTr2-image.png)
##### Admin On premise Super Admin Server Management :
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/GE42pd2EC95y7Kw0-image.png)
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/MgY7cuigWxZb9SEb-image.png)
# FAQ - Interface
# Console & Administration
**S'applique à: Medulla – Interface
Version: Toutes
Environnement: On-Premise / SaaS Privé / SaaS mutualisé
Categorie: Interface Medulla / support**
##### **Pourquoi la console est lente, instable ou inaccessible ?**
- Il est possible que la plateforme soit surchargé. Vous avez la possibilité de regarder si vous trouvez des erreurs dans les logs tel que "/var/log/mmc/mmc-agent" ou "/var/log/mmc/master-\*.log". Si vous êtes en Saas, merci de nous contacter.
##### **Comment résoudre les problèmes de droits utilisateurs ?**
- Un utilisateur dispose d'un profile avec des droits prédéfini par Medulla. Si vous êtes Super-Admin, vous pouvez changer sont profile, rendez vous dans la vue "Admin" puis "Gestions des entités", cliquez sur le bouton  "Gérer les utilisateurs" sur la ligne de l'entité dans laquelle se trouve l'utilisateur. Cliquez sur le bouton  "Edition" pour l'utilisateur concerné pour modifier son profile.
##### **Pourquoi je n’ai pas accès à certains groupes, audits ou tâches planifiées ?**
- Si vous n'êtes pas Super-Admin, contacter une personne ayant le profile Super-Admin afin qu'il modifie votre "Profile".
##### **Que faire en cas de blocage sur la console ou d’erreurs XMPP ?**
- Essayer de vous déconnecter puis reconnecter, vous pouvez également tenter de supprimer le cache et les cookies de votre navigateur. Si le problème persiste, merci de prendre contact avec le service Support ou votre Administrateur, en expliquant votre situation avec un maximum de détail et de communiquer l'erreur qui vous a été affichée.
# Augmenter le timeout des sessions Web (MMC / XMLRPC)
**S'applique à: Medulla – Server
Version:** **Medulla ≥ 5.2.2
Environnement: On-Premise
Categorie: Interface Web**
## Problème
Certaines actions longues dans Medulla peuvent provoquer :
- des déconnexions MMC,
- des erreurs de timeout XMLRPC,
- des coupures de session pendant des déploiements ou actions distantes.
Il est alors nécessaire d’augmenter les valeurs de `sessiontimeout`.
---
## 1. Timeout session PHP MMC
### Fichier à modifier
Sur le serveur Medulla :
```
/etc/mmc/mmc.ini.local
```
### Paramètre à ajouter ou modifier
```
[global]
sessiontimeout = 3600
```
Ce paramètre correspond au timeout des sessions PHP/MMC.
Les valeurs sont exprimées en secondes.
| Valeur | Durée |
|---|
| `900` | 15 minutes |
| `3600` | 1 heure |
| `7200` | 2 heures |
---
## 2. Timeout session XMLRPC / Agent
### Fichier à modifier
Sur le serveur Medulla :
```
/etc/mmc/agent/config.ini.local
```
### Paramètre à ajouter ou modifier
```
[main]
sessiontimeout = 3600
```
Ce paramètre correspond au timeout des sessions XMLRPC utilisées par les échanges MMC ↔ Agent.
Les valeurs sont exprimées en secondes.
| Valeur | Durée |
|---|
| `900` | 15 minutes |
| `3600` | 1 heure |
| `7200` | 2 heures |
---
## 3. Point important
Les deux valeurs doivent rester cohérentes entre elles :
| Composant | Fichier | Type de session |
|---|
| MMC / PHP | `/etc/mmc/mmc.ini.local` | Session PHP |
| Agent / XMLRPC | `/etc/mmc/agent/config.ini.local` | Session XMLRPC |
---
## 4. Valeurs par défaut
Les fichiers d’origine utilisent généralement les valeurs suivantes :
```
sessiontimeout = 7200
```
ou :
```
sessiontimeout = 900
```
Ces valeurs peuvent être insuffisantes pour :
- les gros déploiements,
- les actions VNC longues,
- les synchronisations,
- les opérations distantes prolongées.
# FAQ - Utilisation Medulla
# Déploiement (télédiffusion)
##### **Pourquoi mes déploiements restent bloqués en Pending ?**
- Le status Pending, montre que les déploiements vont bientôt être pris en compte, si le blocage persiste, merci de prendre contact avec le service Support ou votre Administrateur.
##### **Pourquoi mes déploiements restent bloqués en Deployment Start ?**
- Le status Deployment Start, montre que les déploiements vont bientôt être pris en compte, si le blocage persiste, merci de prendre contact avec le service Support ou votre Administrateur.
##### **Que faire en cas d’erreur de déploiement : Abort Package Execution ?**
- Vous devez vérifier le script lié au package, l'erreur indique qu'il ne s'exécute pas correctement. Vous pouvez tester d'exécuter le script à la main sur votre machine.
- Vérifiez le retour donné par l'audit du déploiement, celui ci peut donner des indices sur la raison de l'erreur.
##### **Que faire en cas d'erreur de déploiement : Transfer Failed ?**
- Votre ordinateur n'arrive pas à récupérer le package à cause de Rsync. Veuillez vérifier les droits de Rsync sur plusieurs dossier pour l'utilisateur pulseuser, les droits doivent être placés comme cela :
```bash
C:\Progra~1\Pulse\var\tmp\packages BUILTIN\Users:(OI)(CI)(F)
NT SERVICE\TrustedInstaller:(I)(F)
NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(RX)
BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX)
APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
C:\Users\pulseuser\.ssh NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(F)
NOM_MACHINE\pulseuser:(I)(OI)(CI)(F)
C:\Users\pulseuser\.ssh\authorized_keys NOM_MACHINE\pulseuser:(F)
NT AUTHORITY\SYSTEM:(F)
```
##### **Pourquoi mes télédiffusions ne démarrent pas ou son long à démarrer ?**
- Si vos déploiements mettent du temps à démarrer, il est possible que votre déploiement placé en file d'attente soit ralenti par la charge actuelle de la plateforme SaaS.
- Si vos déploiements restent bloquer, veuillez prendre contact avec le service Support ou votre Administrateur.
##### **Comment arrêter un déploiement ?**
- Vous disposez d'un bouton "Stop Deploy" dans l'audit d'un déploiement pour arrêter le déploiement en cours.
##### **Comment voir le résultat de mon déploiement ?**
- Dans la vue "Audit" vous pouvez retrouver la liste de tout vos déploiements. Cliquez sur le bouton action  "Affichez les détails du déploiement" pour voir votre déploiement.
##### **Comment relancer un déploiement ?**
- Dans la vue "Audit", retrouver la ligne correspondant au déploiement que vous souhaitez relancer, puis cliquez sur le bouton action  pour relancer le déploiement.
# Packages
##### **Je n'arrive pas à ajouter un fichier dans mon package.**
- Une fois que vous avez ajouter un fichier à votre package, il est en attente, il ne faut pas oublier de cliquer sur "Transmettre le package en attente".
##### **J'ai créé un package mais il n'est pas disponible au déploiement, pourquoi ?**
- Si votre package n'est pas visible dans la liste des packages, ou visible lorsque vous souhaitez le déployer, alors il est en attente de synchronisation sur les relais, patientez quelques instant avant de le voir apparaitre dans la "Liste des packages".
##### **Pourquoi mon package n'est pas disponible dans la page d'ajout de package au Kiosk ?**
- Votre package doit avoir un inventaire d'associé afin d'être visible dans la liste des packages disponible pour le Kiosk.
##### **Augmenter la taille d'Upload de package**
Réalisez ces commandes avec la taille souhaitée, **post\_max\_size** et **upload\_max\_filesize** correspondent à la nouvelle taille d'upload souhaitée.
```
crudini --set /etc/php/8.2/fpm/php.ini PHP post_max_size 800M
crudini --set /etc/php/8.2/fpm/php.ini PHP upload_max_filesize 800M
crudini --set /etc/php/8.2/fpm/php.ini PHP memory_limit 2048M
crudini --set /etc/php/8.2/fpm/php.ini PHP max_execution_time 60
crudini --set /etc/php/8.2/fpm/php.ini PHP max_input_time 60
systemctl restart php8.2-fpm
```
**memory\_limit** doit correspondre à minimum 2.5x la taille d'upload.
Des ralentissements peuvent suivre cette modification. Restez raisonnable dans l'augmentation.
# Mises à jour (Windows Updates)
##### **Vos postes ne remontent aucune mises à jour ?**
- Vérifier dans le sous menu "Validation de produits Microsoft" que vous avez bien activé les bon produits pour les postes Windows 10 ou 11.
- Vérifier le fichier de log "/tmp/medulla-generate-winupdate-packages.log", si celui-ci contient : Error downloading https://updates.medulla-tech.io/updates\_protected/xxxx-xxxxxx-dumptable\_update\_data.sql, merci d'ouvrir un ticket auprès du support Medulla en indiquant les erreurs relevées dans le fichier de log.
- Vérifier le fichier de log "/var/log/mmc/medulla-mariadb-synchro-update-package.log", si celui-ci contient des erreurs, merci d'ouvrir un ticket auprès du support Medulla, en indiquant les erreurs relevées dans le fichier de log.
Cette fonctionnalité nécessite un contrat de support actif.
Ce module repose sur des traitements avancés (analyse des vulnérabilités, corrélation des données, calcul des états) réalisés sur les serveurs Medulla.
Le contrat de support permet de financer l’infrastructure nécessaire à ces traitements ainsi que leur maintien en conditions opérationnelles.
Le contrat de support inclut également :
le support technique et l’assistance,
l’accès aux nouvelles fonctionnalités soumises à un contrat de support actif,
participation à l’amélioration continue de la solution.
Pour activer ces fonctionnalités, nous vous invitons à souscrire un contrat de support en nous contactant à l’adresse suivante :
# Les menus d'imaging
**S'applique à:** Medulla – Imaging
**Version:** 5.4.3 ou ultérieure
**Environnement:** On-Premise / SaaS Privé avec relais imaging.
**Categorie:** Utilisation
Ce document se focalise sur la gestion et la génération des menus d'imaging.
##### Qu'est-ce qu'un menu d'imaging?
Un menu d'imaging est une collection de services et de masters associés à une machine, utilisables lors de la séquence de boot (réseau) d'une machine.
Lors d'un démarrage PXE, la machine demande son menu à son serveur. Plusieurs cas de figure sont possibles:
- La machine n'a pas de menu associé: le serveur lui associe un menu par défaut
- La machine fait partie d'un groupe de machines: le serveur lui envoie le menu associé à ce groupe.
- La machine ne fait pas partie d'un groupe et a un menu associé: le serveur lui envoie ce menu.
La suite du déroulement du processus d'imaging, dépend du contenu de ce menu.
Il existe différents niveaux de menus:
- Les menus du serveur d'imaging
- Le menu register
- Le menu par défaut
- Le menu de machine
- Le menu de groupes
##### Les menus du serveur d'imaging:
- Le menu register:
Ce menu est invariant. Il est composé des services suivants:
\- **continue**: ce service permet de démarrer la machine normalement.
\- **register:** ce service permet d'enregistrer une machine dans le système d'imaging.
- Le menu par défaut
Chaque serveur d'imaging reçoit un menu par défaut. Ce menu est composé des services suivants:
\- `continue`: ce service permet de démarrer la machine normalement.
\- `backup`: créé une copie du disque de la machine dans le système d'imaging.
- Modifications
Ce menu est modifiable depuis l'interface MMC.
Les modifications du menu par défaut n'affectent pas les menus des machines ou des groupes. Pour que les machines bénéficient des modifications du menu par défaut, il est nécessaire de lancer un "reset" des menus de l'entité.
- Ajouter / retirer un service
Plusieurs services pouvant être ajoutés au menu sont disponibles.
La page définissant les services disponibles dans un menu est la suivante:
MMC > Imaging > Gérer les services de menu.
Dans cette page, les services sont associés à l'entité sélectionnée. En changeant d'entité, on modifie la liste des services associée à cette entité.
- Ajouter / retirer un master
Cette section ne prend pas en compte comment transformer une image en master.
Des masters présent sur le serveur d'imaging peuvent être associés au menu par défaut.
La page permettant d'associer des masters au menu par défaut est la suivante:
MMC > Imaging > Gérer les masters.
- Modifier l'ordre des services et des masters
Les différents services et masters associés au menu par défaut sont visibles à travers la page suivante:
`MMC > Imaging > Menu de démarrage par défaut`.
Dans cette page il est possible de modifier l'ordre des éléments du menu. Il est également possible de modifier des paramètres spécifiques aux éléments associés.
- Services minimum d'un menu
A l'heure actuelle, un menu doit comporter au minimum un service (ou une image). En général le service de base est le `continue` pour être fonctionnel.
Le service minimal doit valider les options suivantes:
\- **Par défaut** validé pour que ce service soit sélectionné par défaut
\- **Visible validé** pour que ce service soit visible dans le menu de démarrage
\- **Par défaut WOL** validé pour ne pas avoir de traceback même si je ne sais pas à quoi sert cette option.
Un correctif est envisagé pour ne pas permettre la suppression du dernier service d'un menu.
- Le menu de machine
Le menu d'une machine est accessible depuis la page suivante:
**MMC > Machines > action:Gestion de l'imaging.**
Cette page est organisée en trois onglets:
\- **Menu de démarrage** cet onglet permet de visualiser et de modifier le menu.
\- **Services de menu** cet onglet permet d'associer des services au menu de la machine.
\- **Images et master** cet onglet permet d'associer des masters au menu de la machine.
Un menu de machine ne devrait pas être vide. Si c'est le cas, plusieurs possibilités:
\- La machine a copié un menu par défaut vide (peu probable, dans la mesure où en général la copie dans cette situation génère une traceback).
\- Un administrateur a supprimé tous les éléments du menu de la machine.
- Le menu de groupes
Basiquement le menu d'un groupe est similaire au menu d'une machine. Cependant, il est associé à un groupe imaging, et non à une machine spécifique.
Pour y accéder, il faut se rendre sur la page suivante:
MMC > Imaging > Tous les groupes d'imaging > action:Gestion de l'imaging.
Le menu d'un groupe prévaut sur le menu d'une machine. Lorsqu'on demande la page de menu d'une machine, il est possible de ne **\*\*pas voir\*\*** la ligne d'en-tête stipulant que la machine fait partie d'un groupe.
Dans ce cas, la machine montre son menu personnalisé, et non celui du groupe. Ce qui peut entraîner une confusion pour l'administrateur.
# FAQ - Agents
# Postes Clients (état & visibilité)
**S'applique à: Medulla – Agent
Version: Toutes
Environnement: On-Premise / SaaS Privé / SaaS mutualisé
Categorie: Agent Medulla / support**
##### **Pourquoi certains postes apparaissent hors ligne alors qu’ils sont allumés ?**
- Vérifiez le service medullaagent et medullanetnotify sur les postes hors ligne, si les services sont bien "running" mais que le poste apparait hors ligne sur l'interface (poste grisé) alors merci de prendre contacte avec le service Support ou votre Administrateur.
- Si présence d'erreur dans les logs de l'agent (sur le poste) "C:\\Program Files\\Medulla\\var\\log\\xmpp-agent-machine.log", reportez les au service Support ou votre Administrateur.
##### **Pourquoi les inventaires ou informations remontées sont incomplets ou erronés.**
- Assurez vous que l'adresse MAC du poste qui ne remonte pas sont inventaire n'est pas déjà utilisé, pour voir si un poste a des difficultés à remonter son inventaire, il est impossible de déployer sur le poste, même s'il parait en ligne sur l'interface (icone de l'ordinateur bleu), l'icône de déploiement du poste dans les "actions" apparaitra grisé.
# GPO
**S'applique à:** Medulla – Agent
**Version:** Toutes
**Environnement:** On-Premise / SaaS Privé / SaaS mutualisé
**Categorie:** Agent Medulla
### Déploiement de l'agent Medulla via GPO
####
Quelle est la meilleure méthode pour déployer l'agent Medulla sur tous les postes d'un domaine Active Directory ?
La méthode recommandée est d'utiliser une **tâche planifiée via Group Policy Preferences (GPP)** avec l'option **"Apply once and do not reapply"**.
Cette méthode est :
\- Compatible avec n'importe quel fichier EXE (pas besoin de MSI)
\- Exécutée une seule fois par poste
\- Lancée avec les droits SYSTEM (administrateur)
\- Officiellement supportée par Microsoft
\- Fiable et évite les réinstallations répétées
####
Comment mettre en place cette méthode ?
#####
Étape 1 : Préparer le fichier d'installation
1\. Copiez l'installeur dans un partage réseau accessible : *(Assurez-vous que le chemin est accessible par "Tout le monde" ou "Ordinateurs du domaine" en lecture).*
> \\\\SERVEUR\\DEPLOIEMENT\\Medulla-Agent-windows-FULL-latest.exe
Créer un script powershell comme ceci :
> $CheminSetup = "\\\\SERVEUR\\DEPLOIEMENT\\Medulla-Agent-windows-FULL-latest.exe"
> $Arguments = "/S"
>
> $NomDuService = "medullaagent"
>
> $ServiceStatus = Get-Service -Name $NomDuService -ErrorAction SilentlyContinue
>
> if ($ServiceStatus) {
> Write-Output "Le service $NomDuService existe déjà. Installation annulée."
> Exit 0
> }
>
> try {
> Start-Process -FilePath $CheminSetup -ArgumentList $Arguments -Wait -NoNewWindow -ErrorAction Stop
> }
> catch {
> Write-Error "Erreur d'installation : $\_"
> Exit 1
> }
2\. Configurez les droits sur le partage :
\- **Lecture** pour le groupe **Domain Computers**
#####
Étape 2 : Créer la GPO
1\. Ouvrez la console **Group Policy Management**
2\. Créez une nouvelle GPO, par exemple : `Déploiement Agent Medulla`
#####
Étape 3 : Configurer la tâche planifiée
1\. Éditez la GPO et naviguez vers :
> Configuration de l'ordinateur
> → Préférences
> → Panneau de configuration
> → Tâches planifiées
2\. Faites un clic droit → **Nouveau** → **Tâche immédiate (au moins Windows 7)**
3\. Dans l'onglet **Général** :
\- Nom : `Installation Agent Medulla`
\- Compte : **SYSTEM**
\- Exécuter avec les privilèges les plus élevés
4\. Dans l'onglet **Actions** :
- **Action :** Démarrer un programme.
- **Programme/script :** `chemin_install_powerhselle/powershell.exe`
- **Ajouter des arguments :** `-ExecutionPolicy Bypass -File "\\Serveur\Partage\VotreScript.ps1"` *(Assurez-vous que le chemin est accessible par "Tout le monde" ou "Ordinateurs du domaine" en lecture).*
#####
Étape 4 : Appliquer la GPO
1\. Liez la GPO à l'**Unité d'Organisation (OU)** contenant vos postes
2\. Sur un poste de test, lancez :
> gpupdate /force
3\. Redémarrez le poste ou attendez la prochaine mise à jour des stratégies
Attention il est toujours obligatoire pour les postes de redémarrer après l'installation de l'agent, la GPO par défaut ne redémarre pas le poste tout seul. Il faut donc garder en tête que chaque poste doit être redémarré après l'installation de l'agent.
####
Pourquoi ne pas utiliser un script de démarrage ou de connexion ?
Les scripts traditionnels (Startup Script ou Logon Script) présentent plusieurs inconvénients :
\- Risque d'exécution multiple
\- Complexité pour détecter si l'installation a déjà été faite
\- Problèmes de droits selon le contexte d'exécution
\- Moins fiable que les tâches planifiées GPP
La méthode par tâche planifiée GPP résout tous ces problèmes.
####
Que fait l'option "Apply once and do not reapply" ?
Cette option garantit que :
\- La tâche s'exécute **une seule fois** sur chaque poste
\- Même si la GPO reste active pendant des années, l'installation ne se relance pas
\- Pas besoin de script de détection complexe
\- Pas de réinstallation accidentelle
C'est l'équivalent d'un déploiement "fire and forget" (lancer et oublier).
Avec l'option **"Apply once and do not reapply"**, il est impératif de vérifier que l'agent s'est correctement installé. Si l'installation a échoué pendant le processus, elle ne se réexécutera plus.
Vous pouvez ne pas activer cette option (pour prévenir les problèmes d'installations d'agent) **"Apply once and do not reapply"**, mais garder la partie IF dans le script powershell qui vérifie si le service **medullaagent** est présent (par défaut, déjà présent dans le script ci-dessus) :
> if ($ServiceStatus) {
> Write-Output "Le service $NomDuService existe déjà. Installation annulée."
> Exit 0
> }
#### Comment vérifier que le déploiement a fonctionné ?
#####
Sur un poste client :
1\. Vérifiez que la tâche planifiée a été créée :
> Panneau de configuration → Outils d'administration → Planificateur de tâches
Cherchez la tâche `Installation Agent Medulla`
2\. Vérifiez les logs d'installation de l'agent Medulla
3\. Vérifiez que le poste apparaît dans la console Medulla
#####
Sur le contrôleur de domaine :
Utilisez les rapports GPO pour voir quels postes ont appliqué la stratégie.
####
Puis-je utiliser cette méthode pour mettre à jour l'agent ?
Par défaut, l'agent se mets à jour tout seul, mais sinon, oui, mais avec quelques précisions :
\- Si vous créez une **nouvelle GPO** avec un nouveau nom de tâche, elle s'exécutera une fois sur tous les postes (si "Apply once" est activé)
\- Si vous modifiez le chemin du fichier EXE dans la tâche existante avec "Apply once", elle ne se relancera **pas** (c'est l'objectif de cette option)
Pour les mises à jour, il est préférable de :
1\. Créer une nouvelle GPO avec un nouveau nom de tâche pour chaque version majeure
2\. Ou utiliser le système de mise à jour intégré de Medulla
####
Quels sont les prérequis ?
\- Un contrôleur de domaine Active Directory (Windows Server 2008 R2 ou supérieur)
\- Un partage réseau accessible en lecture par les postes
\- L'installeur de l'agent Medulla avec option d'installation silencieuse (`/S`)
\- Les droits pour créer et lier des GPO
####
Combien de temps faut-il pour que tous les postes soient déployés ?
Le déploiement se fait au rythme de la mise à jour des stratégies de groupe :
\- Par défaut : toutes les **90 minutes** (avec un décalage aléatoire de 0 à 30 minutes)
\- Au redémarrage du poste
\- Avec `gpupdate /force` (immédiat)
Pour un déploiement rapide sur un parc de 100 postes, comptez environ **2 à 4 heures** selon l'activité réseau.
#### Exécuter l'installation après l'ouverture d'une session
L'exécution classique d'une GPO se fait avent l'ouverture de session en droit SYSTEM.
Cela peut être gênant pour l'utilisateur, qui peut croire à un blocage de son ordinateur.
##### Solution 1 : La Tâche Planifiée "Au démarrage de la session"
L'utilisateur arrive sur son bureau, et l'installation se lance silencieusement en arrière-plan avec les droits SYSTEM.
1. Dans votre GPO **Ordinateur** (pas utilisateur), allez dans : **Préférences** > **Paramètres du Panneau de configuration** > **Tâches planifiées**.
2. Nouveau > **Tâche planifiée (au moins Windows 7)**.
3. **Onglet Général :**
- **Compte d'utilisateur :** `NT AUTHORITY\SYSTEM` (ou tapez juste `SYSTEM`).
- Cochez **Exécuter avec les autorisations maximales**.
4. **Onglet Déclencheurs (Triggers) :**
- Nouveau > **Au démarrage de la session** (At log on).
- Vous pouvez choisir "N'importe quel utilisateur".
5. **Onglet Actions :**
- Programme : `chemin_install_powerhselle/powershell.exe/powershell.exe`
- Arguments : `-ExecutionPolicy Bypass -File "\\Serveur\Partage\SCRIPT_POWERSHELL.ps1"`
SCRIPT\_POWERSHELL.PS1, correspond au script en début de page qui permet d'installer l'agent silencieusement.
---
##### Solution 2 : L'option "Asynchrone"
Si vous voulez garder votre script actuel (dans "Scripts de démarrage") mais juste arrêter de bloquer l'écran "Veuillez patienter..." :
1. Allez dans la GPO : **Configuration ordinateur** > **Modèles d'administration** > **Système** > **Scripts**.
2. Cherchez le paramètre : **Exécuter les scripts de démarrage de façon asynchrone**.
3. Mettez le sur **Activé**.
Précision : Si vous créez une tâche avec un déclencheur "Au login" et que vous cochez **"Apply once and do not reapply"**, la GPO va créer la tâche une fois, mais **la tâche, elle, restera sur le PC et continuera de se lancer à chaque login.** Assurez vous donc de garder la condition **IF** dans le script qui permet de vérifier la présence du service **medullaagent** (par défaut, déjà présent dans le script ci-dessus) :
> if ($ServiceStatus) {
> Write-Output "Le service $NomDuService existe déjà. Installation annulée."
> Exit 0
> }
####
Ressources complémentaires
\- \[Documentation officielle Microsoft sur les Group Policy Preferences\](https://docs.microsoft.com/fr-fr/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn581922(v=ws.11))
\- \[Documentation de déploiement Medulla\](https://medulla-project.org/)
\---
**Date de création** : Décembre 2024
**Auteur** : Documentation Medulla
**Version** : 1.0
# Reconfigurer mon agent
**S'applique à:** Medulla – Agent
**Version:** Toutes
**Environnement:** On-Premise / SaaS Privé / SaaS mutualisé
**Categorie:** Agent Medulla
Vous pouvez reconfigurer l'agent afin de changer le nom DNS avec lequel celui-ci doit communiquer mais il est également possible de modifier plusieurs autre paramètres.
Voici l'emplacement de l'agent sur le serveur :
`/var/lib/pulse2/clients/`
Vous retrouverez un script nommé : **generate-pulse-agent.sh**. Si vous l'appelez en passant le paramètre **--help**, vous obtiendrez tous les paramètres modifiable :
**./generate-pulse-agent.sh --help**
Usage:
./generate-pulse-agent.sh \[--conf-xmppserver=<XMPP configuration server>\]
\[--conf-xmppport=<XMPP configuration server port>\]
\[--conf-xmpppasswd=<XMPP configuration server password>\]
\[--aes-key=<32-character AES PSK>\]
\[--xmpp-passwd=<XMPP server password>\]
\[--chat-domain=<XMPP domain>\]
\[--inventory-tag=<Tag added to the inventory>\]
\[--minimal \[--base-url=<URL for downloading agent and dependencies from>\]\]
\[--disable-vnc (Disable VNC Server)\]
\[--vnc-port=<Default port 5900>\]
\[--vnc-password=<DES-encrypted VNC password>\]
\[--ssh-port=<Default port 22>\]
\[--disable-rdp (Disable RDP setup)\]
\[--disable-inventory (Disable Fusion Inventory)\]
\[--disable-geoloc (Disable geolocalisation for example on machines which do not access internet)\]
\[--linux-distros (Used linux distros)\]
\[--updateserver (Download url for the agent updates)\]
##### Exemples :
**XMPP Server**
Pour reconfigurer l'entrée DNS de contact du poste (serveur que doit contacter la machine) :
`./generate-pulse-agent.sh --conf-xmppserver monserver.domaine.fr`
**SSH Port**
Pour modifier le port SSH de contact du serveur :
`./generate-pulse-agent.sh --ssh-port 2022`
Si vous modifier le port SSH, suivez également cette documentation :
[https://docs.medulla-tech.io/books/medulla-faq/draft/497](https://docs.medulla-tech.io/books/medulla-faq/draft/497)
**Désactiver le VNC**
Pour désactiver VNC sur vos agents :
`./generate-pulse-agent.sh --disable-vnc`
**Désactiver le RDP**
Pour désactiver RDP sur vos agents :
`./generate-pulse-agent.sh --disable-rdp`
# Générer les agents Windows et Linux
**S’applique à : Medulla – Agents
Version : Toutes
Environnement : On-Premise / SaaS Privé / SaaS mutualisé
Catégorie : Agents / Support**
Avant de générer les agents pour vos postes Windows ou Linux, il est important de définir votre stratégie de rattachement dans GLPI :
- Soit un agent par entité GLPI,
- Soit un agent global, qui remontera toutes les machines dans l’entité mère.
#### Générer un agent par entité
Pour générer un agent distinct par entité GLPI :
`generate_medulla_agent.sh all force`
Vérifiez ensuite que chaque entité dispose bien de son agent :
`ls /var/lib/pulse2/medulla_agent/*`
Chaque entité est associée à un tag. Vous retrouverez un répertoire par tag contenant les agents correspondants.
#### Générer un agent global
Pour générer un agent unique par système d’exploitation (rattachement à l’entité mère GLPI) :
`/var/lib/pulse2/clients/generate-pulse-agent.sh`
Vérifiez ensuite la présence des agents :
`ls /var/lib/pulse2/clients/win/`
`ls /var/lib/pulse2/clients/lin/`
#### Générer un agent sans inventaire GLPI
Cette option nécessite Medulla et l’agent en version 5.5.2 ou supérieure.
`/var/lib/pulse2/clients/generate-pulse-agent.sh --disable-inventory`
#### Gestion des entités avec un agent global
Si vous utilisez un agent global mais souhaitez répartir les machines dans différentes entités GLPI, deux options sont possibles :
- Déplacer manuellement les machines dans GLPI,
- Mettre en place des règles automatiques dans GLPI (par subnet, nom, ou autres critères).
# Agents Linux distribution MINT
**S'applique à:** Medulla – Agent
**Version:** inferieur à 5.5.1
**Environnement:** On-Premise / SaaS Privé / SaaS mutualisé
**Categorie:** Agent Medulla
En version 5.5.1 de Medulla le support de la version linux MINT sera natif.
Pour les versions inférieures à la version 5.5.1 pour pouvoir installer l'agent Medulla sur la distribution linux Mint il suffit de suivre les étapes ci-dessous.
Toute les commandes sont taper en root.
pour ce faire taper : une fois connecté à votre compte utilisateur. Autre méthode ajoutée sudo devant chaque commande.
```
sudo su -
```
Un mot de passe sera demandé taper le.
Télécharger le script d'installation de l'agent depuis votre poste Linux concerné
```
wget https://serveur/downloads/lin/Medulla-Agent-linux-MINIMAL-latest.sh
```
Taper les commandes suivantes :
```
chmod u+x Medulla-Agent-linux-MINIMAL-latest.sh
```
Modifier le script en ajoutant la section linuxmint aux endroits suivants :
Lignes 50-51 :
```
case "$DISTRO" in
debian|ubuntu|zorin)
```
Modifier la ligne en ajoutant |linuxmint après zorin.
```
case "$DISTRO" in
debian|ubuntu|zorin|linuxmint)
```
Ensuite
Lignes 215-216
```
case "$DISTRO" in
ubuntu|zorin)
```
Modifier la ligne en ajoutant |linuxmint après zorin
```
case "$DISTRO" in
ubuntu|zorin|linuxmint)
```
Ajouter après la ligne 63 la commande suivante :
```
apt update
```
Enregistrer votre script.
Lancer la commande d'éxécution du script d'installation :
```
./Medulla-Agent-linux-MINIMAL-latest.sh
```
L'installation va se dérouler et le résultat suivant va apparaître sur votre machine.
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-04/wgNmi2KrFwyejYfM-image.png)
# Désinstallation de l'agent Medulla (Version avant 5.5.2)
**S'applique à:** Medulla – Agent
**Version:** inferieur à 5.5.2
**Environnement:** On-Premise / SaaS Privé / SaaS mutualisé
**Categorie:** Agent Medulla
Pour désinstaller l'agent Medulla :
Cliquer sur menu démarrer de windows puis paramètres
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-04/bFpwVhHczHefjsTL-screenshot-2026-04-23-152446.png)
Aller ensuite dans le menu de gauche de vos paramètres et cliquer sur Applications :
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-04/vXeWKSmAIbN8eFRD-screenshot-2026-04-23-152554.png)
Cliquer sur le menu de droite dans Applications installées
descendre dans vos applications pour trouver l'entrée Medulla Agent.
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-04/2qp4JUCJ2IVMtPRi-screenshot-2026-04-23-152634.png)
Cliquer sur [](https://docs.medulla-tech.io/uploads/images/gallery/2026-04/cXr62stTjDAw9HIf-screenshot-2026-04-23-152723.png)un menu déroulant s'ouvre avec Modifier / Désinstaller .
Cliquer sur Désinstaller
une confirmation va vous etre demander recliquer sur le bouton Désinstaller
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-04/3v2cchLEyXGXQTur-screenshot-2026-04-23-152755.png)
L'agent Medulla va desinstaller ses composants au travers d'un executable qui va s'afficher sur votre écran :
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-04/GlFrI5aD3AXWwqKU-screenshot-2026-04-23-152830.png)
Une fois la desinstallation complète cliquer ur le bouton Close
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-04/1GdNp7LKEC4yDAPD-screenshot-2026-04-23-152917.png)
Dans le menu des applications vous n'aurez plus que ses 2 entrées :
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-04/6z0UGMFSQVfkpbxu-screenshot-2026-04-23-152940.png)
Ce sont 2 entrées de base de registre pour les enlever :
Retourner dans le menu démarrer de votre windows.
Taper dans la barre de recherche ***regedit*** et ***entrée***
Descender dans l'arborescence :
HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall
chercher la 1ere clé de registre Medulla Extract Drivers Faites un clic droit sur l'icone de dossier de cette clé et cliquer sur supprimer puis confirmer.
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-04/vX8hGHS9ddy18luv-screenshot-2026-04-23-155414.png)
Faire la même chose pour Medulla Update Info.
# Désinstallation Agent Medulla Version 5.5.2 et supérieur
**S'applique à:** Medulla – Agent
**Version:** 5.5.2 et ultérieure
**Environnement:** On-Premise / SaaS Privé / SaaS mutualisé
**Categorie:** Agent Medulla
### Windows:
##### Option 1 :
Aller dans la liste des programmes windows et désinstaller l'agent medulla.
##### Option 2 :
Un script est disponible dans votre serveur Medulla :
[https://votreserveur/downloads/win/uninstall-medulla-agent-windows.ps1](https://votreserveur/downloads/win/uninstall-medulla-agent-windows.ps1)
Ouvrez une console powershell avec les droits administrateur. Assurez-vous que PowerShell est configuré pour exécuter des scripts :
```
Set-ExecutionPolicy RemoteSigned -Scope CurrentUser
```
Répondre \[A\] "Yes to all"
**Étapes :**
1. **Téléchargez le script** uninstall-medulla-agent-windows.ps1 sur la machine.
2. **Exécutez le script** selon les cas que vous voulez gérer :
- Désinstaller l'agent uniquement et ses dépendances Medulla.
```
.\uninstall-medulla-agent.ps1
```
- Desinstaller l'agent et glpi-agent
```
.\uninstall-medulla-agent.ps1 -RemoveGLPI:$true
```
- Desinstaller l'agent et glpi et tightvnc
```
.\uninstall-medulla-agent.ps1 -RemoveGLPI:$true -RemoveTightVNC:$true
```
- Desinstaller l'agent et glpi-agent et tightvnc et python
```
.\uninstall-medulla-agent.ps1 -RemovePython:$true -RemoveGLPI:$true -RemoveTightVNC:$true
```
Une option est disponible -SILENT qui permet pour chaque cas de lancer la désinstallation en mode Silentieux.
### Linux:
Un script est disponible dans votre serveur Medulla :
[https://votreserveur/downloads/win/uninstall-medulla-agent-linux.sh](https://votreserveur/downloads/win/uninstall-medulla-agent-linux.sh)
Le script s'execute en root ou via les commande sudo :
taper les commandes suivantes:
```
wget https://votreserveur/downloads/win/uninstall-medulla-agent-linux.sh
chmod u+x uninstall-medulla-agent-linux.sh
```
Désinstallation de base (sans Python ni GLPI)
| **Composant** | **Spécification préconisée** |
| **OS** | Debian 12.x |
| **Architecture** | X86-64 |
| **CPU** | 4 cœurs |
| **RAM** | 8 Go |
| **Partition /** | 20 Go (EXT4) |
| **Partition /var** | ≥ 400 Go (XFS) ou point de montage sur baie |
**B. Serveur Relais DMZ (Postes nomades)**
| **Composant** | **Spécification préconisée** |
| **OS** | Debian 12.x |
| **Architecture** | X86-64 |
| **CPU** | 4 cœurs |
| **RAM** | 8 Go |
| **Partition /** | 20 Go (EXT4) |
| **Partition /var** | ≥ 200 Go (XFS) ou point de montage sur baie |
##### 4. Synthèse de décision
Ce tableau vous permet de déterminer quel type de serveur déployer selon votre situation :
| **Condition** | **Type de Relais nécessaire** | **Raison principale** |
| **Parc > 5 000 postes** sur un même réseau | **Relais Classique (LAN)** | Réduction de la charge CPU/RAM du serveur principal Medulla. |
| **Site distant** (Réseau différent sans liaison LAN transparente) | **Relais Classique (LAN)** | Permettre l'Imaging local et économiser la bande passante WAN. |
| **Postes nomades** (Télétravail, hors réseau privé, sans VPN) | **Relais DMZ** | Assurer la communication des agents via Internet en toute sécurité. |
| **Sites interconnectés** (Liaison privée haut débit, flux LAN autorisés) | **Aucun (Optionnel)** | Le serveur principal peut piloter l'ensemble, y compris l'Imaging. |
# Procédure d’ajout de relais à Medulla SaaS-dédié
#### 1. Création du serveur
---
Paramètres requis :
- OS : Debian 12.x
- Architecture : x86-64
- CPU : 4 vCPUs
- RAM : 8 Go
- Stockage
- / : 20 Go – EXT4
- /var : ≥ 400 Go – XFS (Ou un point de montage dédié sur une baie / volume externe)
#### 2. Création d'un utilisateur
---
Créer l’utilisateur "medulla" et lui donner les droits sudoers.
#### 3. Installation de la clé SSH
---
La clé publique SSH fournie en pièce jointe, doit être ajoutée dans :
```
/home/medulla/.ssh/authorized_keys
```
#### 4. Ouverture des flux réseaux
---
Les flux doivent être ouverts dans les deux sens entre :
- Serveur Medulla
- Relais (votre serveur)
##### 4.1. Flux Serveur Medulla → Relais
**Port | Description**
- 5269 | TCP / XMXPP
- 22 | TCP / SSH
- 22000 | TCP / Syncthing
- 8081 | TCP / HTTP(S)
- 9990 | TCP / XML RPC HTTPS
##### 4.2. Flux Relais → Serveur Medulla
**Port | Description**
- 5269 | TCP / XMXPP
- 22 | TCP / SSH
- 22000 | TCP / Syncthing
- 8443 | TCP / HTTPS
- 22067 | TCP / BEP-Relay/TLS
- 9999 | TCP / XML RPC/HTTPS
- 7080 | TCP / XML RPC/HTTPS
#### 5. Informations à nous transmettre
---
**L’équipe doit nous fournir :**
- Créer l'entité que vous souhaitez dédié au relai dans ITSM (seulement si vous souhaitez une entité différente de l'entité mère).
- Confirmation de l’ouverture des flux réseau ci-dessus.
- Confirmation de l'ajout de la clé SSH sur le serveur relais.
- Le mot de passe de l'utilisateur "medulla" avec des droits sudo sans mot de passe.
- Le FQDN de votre serveur relai
#### 6. Suite de l’installation
---
Une fois la machine prête, nous réaliserons l’installation logicielle complète via Ansible.
Un agent Medulla sera généré automatiquement pour connecter les postes à ce relai.
# Mise à Jour Medulla - 5.4.x vers 5.5.x
Medulla / 5.4.x / Update Medulla vers 5.5.x / Maintenance Medulla
Pour mettre à jour de la version 5.4.X vers 5.5.x et supérieur veuillez suivre les étapes ci-dessous :
Télécharger le fichier sur le serveur medulla :
```bash
curl https://dl.medulla-tech.io/up/update_medulla.sh
```
Donner les droits d’execution au script :
```
chmod +x update_medulla.sh
```
Executer l'update :
```
./update_medulla.sh
```
Une fois la procédure effectué retourner sur l'interface de medulla.
Toutes les commandes sonta effectués en root ou avec un compte ayant les droits d'administrateur.
# Support Extranet
Si vous souhaitez créer un compte support pour vous ou un de vos collaborateur en ayant souscrit à un contrat support Medulla, rien de plus simple, rendez vous sur [https://extranet.medulla-tech.io/portal/](https://extranet.medulla-tech.io/portal/)
Cliquez sur "Mot de passe oublié ?" et renseignez votre email ainsi que votre nom d'utilisateur (Prénom + Nom).
[](https://docs.medulla-tech.io/uploads/images/gallery/2025-12/Y0tg49HCpcLFipOh-image.png)
# Fail2ban
### Qu'est-ce que Fail2Ban ?
Fail2Ban est un outil de prévention contre les intrusions qui surveille les tentatives de connexion suspectes dans les journaux système (logs) qui peut être apporté à votre infrastructure on-premise.
### Que bloque-t-il exactement ?
Fail2Ban protège principalement contre les attaques de type **"Brute Force"** (force brute).
Pour décider si une activité est malveillante, Fail2Ban analyse les tentatives de connexion et repère des motifs spécifiques. Voici les erreurs courantes qui déclenchent une alerte et un bannissement :
- - **`Invalid user` (Utilisateur inexistant) :** Quelqu'un essaie de se connecter avec des noms au hasard (ex: `admin`, `root`, `test`, `guest`). C'est le signe typique d'un robot qui teste des dictionnaires de noms.
- **`Wrong password` (Mauvais mot de passe) :** Un utilisateur connu existe, mais le mot de passe saisi est incorrect. Trop de tentatives indiquent une attaque par force brute.
- **`Authentication failure` (Échec d'authentification) :** Une erreur générale qui survient lorsque les identifiants fournis ne correspondent à rien dans la base de données sécurisée du serveur.
- **`Failed public key authentication` (Échec de clé SSH) :** Même si vous utilisez des clés de sécurité (plus sûres que les mots de passe), Fail2Ban bloque ceux qui tentent de présenter des clés non autorisées à répétition.
Si une IP génère 5 echecs dans une fenetre de 10 min, elle est bannie pour 10 minutes
# Installation OS debian pour serveur Medulla
##### Caractéristiques techniques
| **Pré-requis – Dimensionnement des serveurs**
|
| **Serveur Principal **
| OS
| Debian 12.x
|
| Architecture
| X86-64
|
| CPU
| 8 coeurs
|
| RAM
| 8 Go
|
| Partition /
| 20 Go en EXT4
|
| Partition /var
| 400 GB minimum en XFS ou point de montage sur une baie de stockage
|
| **Serveurs relais multi-site**
**(si applicable)**
| OS
| Debian 12.x
|
| Architecture
| X86-64
|
| CPU
| 4 coeurs
|
| RAM
| 8 Go
|
| Partition /
| 20 Go en EXT4
|
| Partition /var
| 400 GB minimum en XFS ou point de montage sur une baie de stockage
|
**Vérifications à effectuer sur le poste client (machine concernée)**
**1) Vérifier si l’inventaire est bien généré**
Merci d’exécuter :
```
dir c:\progra~1\medulla\tmp\inventory.txt*
```
Si aucun fichier **inventory.txt** ou **inventory.txt.back** n’est présent, cela indique un problème de génération de l’inventaire.
**2) Forcer la génération de l’inventaire**
Si l’inventaire n’est pas généré automatiquement, merci de lancer :
```
"c:\progra~1\GLPI-Agent\glpi-agent.bat" --config=none --scan-profiles --backend-collect-timeout=120 --local="c:\progra~1\Medulla\tmp\inventory.txt"
```
Cette commande retournera une erreur explicite si la génération échoue.
=> Soit vous voyez comment résoudre l'erreur soit vous envoyez le résultat de la commande à
**Vérifications à effectuer sur le serveur Medulla**
**3) Vérifier l’URL de transmission de l’inventaire vers GLPI**
Merci d’exécuter :
```
curl $(crudini --get /etc/pulse-xmpp-agent-substitute/agent_master_substitute_inv.ini.local glpi url_to_forward)
```
Une erreur ici indiquerait un problème de configuration ou d’accessibilité de l’URL.
=> Soit vous voyez comment résoudre l'erreur soit vous envoyez le résultat de la commande à
**4) Vérifier si la machine est bien enregistrée dans GLPI**
Merci d’exécuter (en remplaçant le nom si besoin) :
```
mysql --defaults-group-suffix=itsm glpi -e "SELECT * FROM glpi_computers WHERE name='NOM_POSTE_CLIENT'\G"
```
Si la requête ne retourne aucun résultat, la machine n’a pas été enregistrée dans GLPI.
=> Depuis Medulla forcer une demande d'inventaire depuis la vue Ordinateurs > Quick Action > Run Inventory pour la machine concernée
**5) Vérifier l’état de la machine dans la base Medulla**
Merci d’exécuter :
```
mysql --defaults-group-suffix=medulla xmppmaster -e "SELECT jid, hostname, id_glpi, enabled FROM machines WHERE hostname='NOM_POSTE_CLIENT'\G"
```
Si le champ **id\_glpi** est vide, cela signifie que l’association entre Medulla et l’inventaire GLPI n’a pas pu être réalisée.
=> Depuis Medulla forcer un réenregistrement de la machine depuis la vue Ordinateurs > Quick Action > Custom command Reconfigure machine agent
=> Si ce n'est toujours pas résolu, envoyez le résultat de toutes les commandes à
# Vérification Prise en main à distance
##### Workflow
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-01/eKNn3kxRPTvWSJ3E-workflow-remote-desktop.png)
# Logs
- /var/log/apache2/\*.log
- /var/log/mmc/mmc-agent.log
- /var/log/pulse/xmpp-agent-relay.log
- /var/log/mmc/master-mast.log
- C:\\Program Files\\Medulla\\var\\log\\xmpp-agent-machine.log
- /var/log/tomcat9/\*.log
- /var/log/tomcat9/\*.txt
- journalctl -u guacd -f
# Opérations de debug
- Lister les connexions guacamole enregistrées pour une machine:
```
USE xmppmaster;
SELECT jid,
hostname,
machine_id,
idguacamole,
protocol
FROM machines
JOIN has_guacamole
ON machines.id = has_guacamole.machine_id
WHERE jid like '%nom_machine%';
```
Si la connexion n'existe pas, relancer un enregistrement de la machine
Si après un re-enregistrement toujours pas de connexion, vérifier que les protocoles sont bien activés sur la machine (VNC lancé, RDP activé, démon OpenSSH lancé).
- Afficher le détail d'une connexion (se fait sur le relais de la machine)
```
USE guacamole;
SELECT guacamole_connection.protocol as protocol,
guacamole_connection.connection_id as connection_id,
parameter_name,
parameter_value
FROM guacamole_connection_parameter
JOIN guacamole_connection
ON guacamole_connection_parameter.connection_id = guacamole_connection.connection_id
where guacamole_connection.connection_id = 6084964;
```
```
+----------+---------------+-----------------+-----------------+
| protocol | connection_id | parameter_name | parameter_value |
+----------+---------------+-----------------+-----------------+
| vnc | 6084964 | color-depth | 24 |
| vnc | 6084964 | hostname | localhost |
| vnc | 6084964 | listen-timeout | 50000 |
| vnc | 6084964 | port | 47749 |
| vnc | 6084964 | reverse-connect | true |
+----------+---------------+-----------------+-----------------+
```
- Vérification du reverse
S'il y a un reverse qui est fait (hostname = localhost), vérifier l'établissement de la connexion en faisant
```
netstat -vatpn | grep
```
Si aucune ligne n'est affichée, il va falloir debugguer le reversessh
[SUPPORT - Reverse SSH - Support](https://3.basecamp.com/4759565/buckets/18059611/messages/9187346291)
- Debug du VNC
Sur la machine cliente vérifier que le serveur VNC est en écoute:
```
netstat -an | find "5500"
```
Si ce n'est pas le cas, vérifier l'exécution de TightVNC
Sur la machine cliente vérifier que le reverse ssh soit bien fait:
```
netstat | find "ssh"
```
Sur le relais vérifier que le reverse ssh soit bien établi:
```
netstat -vatpn |grep sshd
```
Attention le reverse s'établit sur un port aléatoire.
Il y a ensuite une redirection du port de guacd sur le serveur vers le port 5500 dans le tunnel. Cette redirection est faite lors du montage du reverse.
cf debug du reversessh plus haut
Sur le relais vérifier que guacd soit bien en écoute sur le port indiqué par les paramètres guacamole (ici 54775):
```
netstat -vatpn |grep guacd
```
# Vérification Reverse SSH
##### Logs
- /var/log/pulse/xmpp-agent-relay.log
- /var/log/mmc/master-mast.log
- C:\\Program Files\\Medulla\\var\\log\\xmpp-agent-machine.log
##### Opérations de debug
**Sur le client**
L'établissement du reversessh depuis les clients se fait via les scripts
- Linux: /var/lib/pulse2/reversessh.sh
- Windows: c:\\Program files\\Medulla\\bin\\reversessh.ps1
Sur Linux, il est possible de lancer ce scripts manuellement pour tester l'établissement du tunnel. Se reporter à ces scripts pour trouver le numéro du port utilisé. eg:
```
/usr/bin/ssh -t -t -R 51891:localhost:22 -o StrictHostKeyChecking=no -i "/var/li
b/pulse2/.ssh/id_rsa" -l reversessh 192.168.2.15 -p 22
```
Sur Windows, il faut impérativement passer par la console MMC pour avoir du debug en faisant un déploiement. Pour ce faire, il faut arrêter le service OpenSSH depuis une console XMPP pour forcer l'établissement du reversessh:
```
sc stop sshdaemon
```
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-01/gpea54rxjPat4PvG-image-10.png)
Lancer un déploiement. Dans la vue audit le résultat de l'établissement du reversessh sera affiché:
[](https://docs.medulla-tech.io/uploads/images/gallery/2026-01/oJ456tnlibEHmwft-image-11.png)
**Si le tunnel ne s'établit pas, c'est soit un problème de port ou un problème de clés**
**Sur le relais**
Le script suivant permet de tester l'établissement du reverse sur les ARS sur le port défini (cf. ci-dessus):
```
#!/bin/bash
echo "port $1"
echo "reverse exist"
netstat -an | egrep "tcp.*:$1.*LISTEN"
echo "reverse using"
netstat -an | egrep "tcp.*:$1.*ESTABLISHED"
echo "pid reverse"
lsof -t -i :$1 -s tcp:LISTEN
```
On peut voir les process du reversessh avec:
```
ps aux | grep ssh
```
root 2267 0.0 0.1 95184 6860 ? Ss 15:26 0:00 sshd: reversessh [priv]
reverse+ 2280 0.0 0.0 95184 3868 ? S 15:26 0:00 sshd: reversessh@pts/7
sur windows:
```
tasklist | findstr ssh
```
# Imaging - Davos Debug
Lancer Davos puis faire CTRL+C
A partir d'ici 2 possibilités: Connexion locale ou SSH
Connexion locale:
```
# dans la console davos
sudo su
dpkg-reconfigure keyboard-configuration
systemctl restart keyboard-setup
python3
```
Connexion SSH:
D'abord récupérer l'IP de la machine ensuite depuis le serveur relais:
```
ssh user@
```
Mot de passe: live
```
sudo su
python3
```
- Pour enregistrer la machine:
```
from davos import davosManager
from davos.inventory import Inventory
davos = davosManager()
inv = Inventory(davos)
#
# Entrer le hostname dans l'input
# ça enverra le xml à pulse2-register-pxe
```
```
print("mac address: {}".format(inv.macaddress))
print("ip address: {}".format(inv.ipaddress))
print("netmask: {}".format(inv.netmask))
print("disk : {}".format(inv.disk))
```
```
# L'inventaire (non modifié) est dans :
less /tmp/inventory.xml
# il doit manquer un / entre tmp et macaddress ce qui fait que le fichier est généré dans /
/tmp
- Pour debugguer la sauvegarde
```
from davos import davosManager
from davos.image_saver import imageSaver
davos = davosManager()
saver = imageSaver(davos)
saver.start()
```
Enregistrer la sauvegarde:
```
saver.imaging_api.imageDone(saver.manager.mac, saver.image_uuid)
```
- Pour debugguer le restore:
```
from davos import davosManager
from davos.image_restorer import imageRestorer
davos = davosManager()
img = imageRestorer(davos, "unicast")
```
Pour lancer une restoration compète:
```
img.start()
```
Pour lancer uniquement les post-installs
```
img.run_postimaging()
```
Les logs de davos sont dans:
```
/var/log/davos.log
/var/log/davos_restorer.log
```
Les logs des postinstalls sont dans:
```
/tmp/postinst.xxx.log
```
Les postinstalls sont dans /imaging_server/masters/<uuid_du_master>/postinst.d/
uuid_du_master est récupérable depuis la table imaging.Image dans la base de données.
# Imaging - Debug
1. Récupération du boot
Passer le tftp en verbose:
Dans /etc/default/tftpd-hpa ajouter -v au paramètre TFTP_OPTIONS et redémarer le service tftpd-hpa
Dans les logs de tftp (/var/log/syslog ou journalctl --unit tftpd-hpa --follow) repérer ces lignes:
```
in.tftpd[491332]: RRQ from 10.104.108.113 filename bootloader-uefi64/ipxe.efi
in.tftpd[491333]: RRQ from 10.104.108.113 filename bootloader-uefi64/autoexec.ipxe
```
Si ces lignes n'existent pas, il s'agit d'un problème DHCP
Pour debuguer le TFTP, capturer les trames:
```
tcpdump -s 0 host and udp
```
Pour tester une connexion tftp:
```
tftp get bootloader-uefi64/ipxe.efi
```
2. Récupération du menu de boot
Dans les logs d'apache repérer cette ligne:
```
"GET /mmc/imaging/bootmenu.php?mac=54:bf:64:5c:77:25&uuid=4c4c4544-0057-3210-8053-c4c04f4b5132&srv=10.104.1.20 HTTP/1.1" 200 3717 "-" "iPXE/1.21.1+ (gdd35
)"
```
Si elle n'existe pas, il s'agit d'un problème d'accès vers le serveur Apache
3. Récupération de Davos
Dans les logs d'apache repérer ces lignes:
```
"GET /downloads/davos/ipxe.png HTTP/1.1" 404 489 "-" "iPXE/1.21.1+ (gdd35)"
"GET /downloads/davos/vmlinuz HTTP/1.1" 200 15403668 "-" "iPXE/1.21.1+ (gdd35)"
"GET /downloads/davos/initrd.img HTTP/1.1" 200 64921280 "-" "iPXE/1.21.1+ (gdd35)"
"GET /downloads/davos/fs.squashfs HTTP/1.1" 200 1041178859 "-" "Wget"
```
Si elles n'existent pas, il s'agit d'un problème d'accès vers le serveur Apache
Une fois ces étapes vérifiées, se reporter à "Debugger Davos"
Lors de l'arrivé sur le menu PXE, vous ne trouvez pas l'option d'enregistrement, vérifier les lignes suivant dans les logs tftpd-hpa :
Dans les logs de tftp (/var/log/syslog ou journalctl --unit tftpd-hpa --follow) repérer ces lignes:
```
in.tftpd[357001]: tftp: client does not accept options
```
Si cette ligne apparait, redémarrer votre service tftpd-hpa
```
systemctl restart tftpd-hpa
```
Si le problème persiste, vérifier la présence fantôme d'un service tftpd-hpa et redémarrer votre serveur. Ensuite redémarrer le service tftpd-hpa de nouveau.
# Guacamole - Debug
# Debug Guacamole
Lors de la PMAD guacamole ne se connecte pas instantanément
Faite :
```
journalctl -u tomcat9 -f
```
Tester une connexion.
Vérifier la présence de la ligne :
```
[http-nio-8081-exec-9] WARN o.a.g.r.auth.AuthenticationService - Authentication attempt from [10.48.2
50.43, 127.0.0.1] for user "root" failed.
```
Si elle est présente :
```
systemctl restart tomcat9
journalctl -u tomcat9 -f
```
Vérifier la présence de la ligne :
```
ERROR o.a.g.extension.ExtensionModule - Extension "guacamole-auth-jdbc-mysql-1.5.4.jar" couldnot be loaded: Unable to read contents of directory /etc/guacamole/lib
```
Si elle est présente :
```
chmod 755 /etc/guacamole/lib/
```
# Optimisation du temps de connexion pour la prise en main des postes.
Pour réduire le temps de connexion pour la prise en main des postes à distance :
Vérifier les points suivants :
- L'exécutable ssh (C:\\Program Files\\OpenSSH\\ssh.exe) est exclus de la recherche en temps réel de vos antivius et EDR
- L'exécutable medulla (C:\\Program Files\\Python3\\medulla.exe) est exclus de la recherche en temps réel de vos antivius et EDR
- Le trafic XMPP sortant des clients (vers le port 5222 du serveur) et son pendant entrant est exclus de l'analyse de paquets des firewalls (ne pas oublier le firewall de la machine client)
- Le trafic SSH sortant des clients (vers le port 22 ou 2002 du serveur) et son pendant entrant est exclus de l'analyse de paquets des firewalls (ne pas oublier le firewall de la machine client)
Une fois les points précédents vérifiés, si la connexion reverse ssh met moins de 30 secondes à s'effectuer, il est possible de diminuer le temps d'attente.
Cette modification se fait dans le fichier **/etc/mmc/mmc.ini.local.**
Il conviendra d'ajouter une section guacamole et définir le paramètre reversessh\_timeout (en secondes).
Exemple pour passer le timeout à 20 secondes:
```
[guacamole]
reversessh_timeout = 20
```
Il faut ensuite redémarrer le service mmc-agent :
```
systemctl restart mmc-agent
```
**La modification de ce paramètre est disponible dans la version 5.5.1 minimum.**
# Doublons Adresse Mac
Si vous rencontré le problème avec certains composants installés sur votre ordinateur comme fortinet qui inscrivent une adresse mac identique sur toutes les machines. Cela pose le problème dans Medulla que les machines a l'enregistrement ne se placent pas dans la bonne entités et remontent dans glpi avec un uuid déja existant d'une autre machine :
dans le fichier /etc/pulse-xmpp-agent-substitute/registeryagent.ini.local
aller ajouter la section suivante et les informations suivantes en respectant bien la casse.
```
[parameters]
blacklisted_mac_addresses = 00\:00\:00\:00\:00\:00, 00\:09\:0f\:aa\:00\:01
```
Dans /etc/pulse-xmpp-agent-substitute/registeryagent.ini.local ajouter les adresses mac identiques à blacklister
Il faut que 00\\:00\\:00\\:00\\:00\\:00 soit présent
Les : doivent être échapés et les adresses doivent être séparées par des virgules