Chaque établissement partenaire a listé, grâce au document de recette, les problèmes rencontrés lors de l'installation et de l'utilisation de la version de test. Il en ressort les points suivants :

• La solution marche globalement pour tout le monde
• l'UPMC a rencontré des problèmes lors des déconnexions/reconnexions, Jean-Luc doit faire remonter le message d'erreur à EO.
• Benoit a quelques incertitudes dans la configuration du contrôleur Aruba (qui héberge le dhcp chez eux), Philippe a proposé de tester leur configuration pour vérifier son niveau de sécurité.
• La whitelist permet de récupérer la liste des IdP en production mais il faut ajouter manuellement les IP des IdP de la fédération de test.
• SNMP : Entr'ouvert doit documenter les oid utiles relatives au portail captif

Attributs¶

Benoît a proposé au CRU que le SP sélectionne ses clients grâce au eduPersonAffiliation, et que l'IdP choisisse les catégories d'utilisateurs qu'il autorise ou non grâce à l'attribut eduPersonEntitlement.
Réponse provisoire de eduspot : on ne filtre pas. Toute personne capable de s'identifier reçoit un accès.
Cependant, il faut pouvoir bloquer une personne instantanément au niveau du portail. Il faut disposer d'un système de blacklist (locale et/ou générale). On retient le eduPersonPrincipalName comme attribut pour ce faire, et on le fait apparaître dans les logs.
La question devra être posée à eduspot de savoir si on récupère le display name pour l'afficher à l'utilisateur (montrer à l'utilisateur qu'il est connu peut-être un élément d'une politique de sécurité).

ToDo Entr'ouvert¶

Thomas Noël a présenté la dernière version de la solution et les demandes suivantes ont été formulées :

• Regarder combien de temps les logs sont stockés et si un logrotate est mis en place.
• Permettre d'ajouter des métadonnées depuis l'interface d'administration (pour intégrer des IdP extérieurs à la fédération).
• Développer la procédure de mise à jour afin qu'elle se fasse automatiquement depuis l'interface d'admin avec un temps d'interruption du service trés réduit et en conservant la configuration.
• Indiquer «entity ID» plutôt que «URL» dans l'interface dans l'onglet Univnautes
• L'installateur demande wan puis lan, mais affiche ensuite lan avant wan => homogénéiser si possible
• Regrouper les onglets intéressants au début sur "services : captive portal"
• Mettre un logo univnautes sur la page de connexion de l'interface d'admin
• Système de blacklist sur EPPN
• Documentation des OID SNMP

Divers ¶

• Interface wan doit avoir accés total au réseau IP, ne doit pas être filtrée sur les ports à proposer aux clients
• Charge : Il n'y a pas de problème majeur, mais il faut des machines avec des entrées sorties qui "marchent bien". Il est fait remarqué que gigabit et virtualisation ne seront sans doute pas compatibles.
• Les messages envoyés par Entr'ouvert sur la liste UNPIdF du projet n'ont pas été diffusés et c'est dommage car cela aurait certainement clarifié à la fois certains problèmes soulevés pour l'installation et la problématique des certificats. Frédérick Bigrat doit s'assurer de la bonne diffusion des messages d'Entr'ouvert sur cette liste désormais (Thomas Noël en whitelist ?) et permettre la diffusion des précédents messages. Il est important de mettre la liste univnautes@entrouvert.com en copie lorsque l'on souhaite qu'Entr'ouvert soit informé.
• Éléments évoqués furtivement pour la Phase 2 : bloquage des adresses MAC, intégrer un IdP à la solution

Prochaine réunion mardi 15 après-midi (heure exacte et lieu à confirmer).