Projet

Général

Profil

Frederick a présenté globalement le projet et insisté sur la différentiation entre Eduspot et Eduroam. Entr'ouvert a ensuite exposé les principes techniques généraux et les briques logicielles retenues.

Transparents présentés par EO

2010120-univnautes.odp - présentés par Pierre Cros

Partenaires du projet

8 établissements sont partenaires du projet :

  • Université Paris I
  • Université Pierre et Marie Curie
  • Paris XIII
  • Université de Versailles
  • SIRIS
  • INALCO
  • ENSIE
  • Paris VIII

4 établissements sont retenus comme bétâ-testeurs pour déboguer les aspects opérationnels majeurs de la première version qui sortira le 4 janvier, avant de la soumettre aux autres partenaires :

  • Paris XIII
  • Université de Versailles
  • SIRIS (Jean-Marc)
  • Paris VIII

Méthodes de gestion de projet / développement

Entr'ouvert fonctionne avec des méthodes itératives et met donc les partenaires à contribution afin que le projet colle le plus possible à leurs besoins réels.
Chaque partenaire est libre de se créer un compte sur le Wiki d'Entr'ouvert afin d'accéder aux pages du projet : http://wiki.entrouvert.org/Univnautes
Outre ce wiki, le projet existe dans un logiciel de suivi de projet (redmine) qui peut-être utilisé pour suivre les développements, rapporter des bugs, etc : https://dev.entrouvert.org/projects/portail-captif (la création de compte sur le Redmine doit être demandée à Entr'ouvert à l'adresse <<MailTo(univnautes AT entrouvert DOT NOSPAM com)>>)

Entr'ouvert souhaite multiplier autant que faire se peut les contacts rapides et informels. La liste de discussion du projet, vecteur privilégié de ces échanges, est

Rappel sur l'architecture

  • Le portail est en mode coupure, il agit en temps que passerelle.
  • Il a été évoqué l'intérêt de définir un VLAN pour le hostpot. Les communications réseau de ce VLAN seraient routées par le portail captif.
  • Le contrôle des stations autorisées se fera sur les adresses MAC et IP. Il est donc nécessaire que les contrôleurs puissent faire remonter ces informations au portail.

Supervision des contrôleur et du portail

  • Il a été évoqué le besoin de pouvoir activer un agent SNMP sur le portail pour pouvoir le superviser.
  • La supervision des contrôleurs se fera par l'activation sur les contrôleurs d'un agent SNMP interrogeable depuis le portail.
  • La supervision dépend du support par les contrôleur du protocole SNMP et des MIB standards.

Échange d'attributs

  • Il y a une liste des attributs échangés par les universités sur le site Shibboleth du CRU
  • Il a été évoqué la possibilité que les IdP Shibboleth incluent 2 attributs dans les assertions d'authentification pour les SP portail captif :
    • Le premier serait une decision d'accès au service
    • Le second serait l'affiliation de la personne
  • Il a été discuté le bien fondé de confier à l'université hébergeant l'IdP de prendre la décision d'accès au hotspot d'une autre université.
  • Il a été proposé de discuter de cette question avec le CRU/Renater/EDUSPOT pour avoir leur vision sur le projet EDUSPOT.

Pages de connexion et d'accueil

  • Le portail captif utilise son propre "where are you from" employé sur la page de connexion pour une question d'ergonomie : Un champs de saisie permettrait à l'utilisateur des mots clés lui permettant de réduire cette liste. A chque saisie de lettre la liste se réduirait jusqu'à ce que l'utilisateur puisse identifier son université d'appartenance.
  • Suite à une connexion réussie sur le portail, il sera affiché une page d'accueil. Cette page pourra être affichée en pop-up en redirigeant le navigateur de l'utilisateur directement sur l'URL du site initialement demandé.
  • Il a été évoqué la problèmatique de la fenêtre pop-up et donc la proposition suivante a été faite : l'utilisateur serait redirigée vers la page d'acceuil de l'université hôte et l'URL du site initialement demandé serait mis en avant sur cette page en requérant que l'utilisateur clique sur ce lien.
  • L'interface de configuration permettra de personnaliser la page d'accueil par défaut ou d'injecter directement une page conçue par ailleurs.
  • La page d'accueil par défaut, personnalisable au travers de l'interface d'administration, devra avoir une présentation figée afin que l'utilisateur retrouve un affichage "familier" même si le contenu informatif de la page variera en fonction de la personnalisation.
  • Sur la page de connexion et sur la page d'accueil seront présenté des liens vers la charte informatique et sur une page explicative des différents services wifi : EDUROAM et EDUSPOT.

À faire par Entr'ouvert

  • Faire une liste des pré-requis pour l'installation, sur le matériel, l'architecture réseau, éventuellement les compétences nécessaires
  • Valider la stabilité de pfSense 2.0 (beta4 actuellement) par rapport aux besoins des premiers déploiements
  • Mettre en place le dépôt présentant les développements modifiants pfSense
  • Faire en sorte que le portail captif fournisse des infos par SNMP exploitables par les systèmes de supervision déjà installés dans les universités partenaires.
  • Étudier la possibilité de redondance / haute dispo(tolérance aux panne)
  • Positionner un cookie pour présélectionner le dernier IdP utilisé (common domain cookie ?)
  • Échanger avec le CRU/RENATER/EDUSPOT pour aborder les questions suivantes :
    • La liste des fournisseurs d'identités maintenue dans le cadre d'Eduspot sera t'elle disponible, et sous quelle forme (webservice idéalement)? Il est en effet nécessaire de pouvoir ajouter simplement au portail les urls accesible pour l'authentification. Il s'agit de déclarer les points d'entrée applicatifs des IdPs et des serveurs CAS. Il est donc nécessaire d'avoir un moyen simple d'ajouter les URLs des serveurs CAS (Celles des IDP SAML étant découverte lors de l'ajout des métadonnées).
    • Quelle sera la politique de sécruité en terme de service offert à l'usager EDUSPOT (ports et protocoles)?
    • Quelle sera la poltique envers la décision d'autorisation et de contrôle d'accès ("Accès universel")? Quels sont les attributs à considérer dans les assertions d'authentification?

À faire par Frédérick

  • Fournir la liste des partenaires avec leurs coordonnées
  • Fournir un inventaire des contrôleurs utilisés par les partenaires (marque, modèle, version firmware/OS)
  • Envoyer à Entr'ouvert le résultat du travail de Themesis

Divers

  • SSID retenu pendant le développement du projet sera Eduspot-test

Planning

  • Première maquette après les fêtes : première maquette le 4/01
  • Recette première maquette le 28/01
  • Version opérationnelle le 15/02
  • Recette de la version opérationnelle le 15/03

Prochaine réunion le 12 janvier à 9H30 dans la même salle.

Formats disponibles : PDF HTML TXT