• Contenu
• Expériences utilisateurs et problèmes rencontrés
• Statistiques et débuggage
• Développement en cours
  • Difficultés
  • Intégration de la délégation de la gestion des comptes IdP
  • Discovery service
• Formation
• Évolution de l'interface de connexion

Expériences utilisateurs et problèmes rencontrés¶

• Fuite mémoire constatée par Benoit. Il semble y avoir un processus tcpdump à 50 Meg et plusieurs processus python à 30 Meg. Benoit doit faire remonter l'info exacte à Thomas lors de la prochaine fuite constatée.
• Roland utilise univnautes dans des salles en self service et se trouve confronté à un problème de logout pour les utilisateurs qui ne ferment pas leur navigateur.
• À Descartes ça marche mais avec le SSID EDUSPOT
• Musée National d'Histoire Naturelle : ça marche bien les gens de l'upmc se connectent chez lui parce que ses bornes sont plus puissantes :)
• Paris 1 : 30 utilisateurs, surtout paris 1, peu d'utilisateurs parce qu'il y a 3 ssid en parallèle.
• Siris : Frédérick est demandeur de nouveaux contacts pour les mettre dans la liste univnautes (Sébastien kita nouveau directeur), Jean-Marc envoie un mail.

Statistiques et débuggage¶

Comment tester la connexion à l''IdP d'une université particulière dans un autre établissement ? Il faur faire remonter les infos aux administrateurs Shibboleth de chaque établissement qui doivent regarder dans les logs univnautes, dans les logs Shibboleth.
On peut faire une page pour que les utilisateurs puissent rapporter les problèmes constatés (lister les problèmes types sur la page pour faciliter la saisie), permettre la configuration dans l'interface d'admin de l'adresse mail à laquelle le message est envoyé dans l'interface admin. Évolution chiffrée par Entr'ouvert à 3 jours de travail.

Il faudrait aussi logguer le passage dans la white liste non authentifié et comparer avec les connexions réussies pour pouvoir produire un taux de réussite. Cela permettrait d'avoir pour chaque serveur le pourcentage de retour et le pourcentage d'accès ouvert. Regarder ensuite si on met ça dans les logs de pfsense pour analyse ou si on délègue ça à un analyseur de log ou encore si on fait ça nous même. Initier une discussion là-dessus au sein de la liste quand on saura ce qu'il est possible de faire.

Ce qui peut être fait : logguer les "demandes de connexion", au moment où l'utilisateur clique sur le lien qui envoie vers la redirection POST vers sont IdP.

On a déjà les logs de succès d'une connexion. On pourrait donc avoir un analyseur qui fasse le différentiel entre les demande de connexions et les connexions réussies, et dise combien de demandes semblent avoir échouées (sans savoir pourquoi, cependant, car l'IdP ne dira rien). Évolution chiffrée par Entr'ouvert à 2 jours de travail.

Développement en cours¶

Difficultés¶

Beaucoup de problèmes liés à des mises à jour concomittentes : Python 2.7, pfsense 2.02, Freebsd 8.3, difficile à suivre.

Intégration de la délégation de la gestion des comptes IdP¶

Prévu pour début juin.
On va développer une interface à part pour la gestion de la délégation de compte. Identification pourrait se faire via la fédération (on va utiliser la technologie qui est déjà intégrée au produit). Une possibilité d'implémenter ça : si un utilisateur se loggue sur l'IdP avec tel attribut, je l'autorise à créer des comptes invités (l'attribut EduPersonEntitlement fera l'affaire). Chaque tétablissement pourra personnaliser cet attribut dans l'interface d'administration.

La durée de validité des comptes invités est fixée par défaut pour les gestionnaires habilités à créer ces comptes. S'il faut un compte qui dure plus de temps c'est l'admin qui s'en occupe.

L'intérêt d'avoir un IdP séparé a été soulevé, pour des raisons de perf, pour la maintenabilité et l'autonomie par rapport à pfSense. Mais Thomas a rappelé qu'on pouvait mettre une machine avec seulement l'Idp local activé (sans le reste d'univnautes).

Discovery service¶

Prévu pour la mi-juin
La question de l'hébergement du service n'est pas encore tranchée. Mais si le serveur est HS, il faut de toute façon que ça continue à marcher.

Formation¶

La 1/2 journée de formation restante aura lieu en octobre dans le cadre du process de formation UNR.

Évolution de l'interface de connexion¶

Frédérick a proposé l'idée d'avoir une carte de France permettant de cliquer sur les régions, puis sur son université. Mais on a pas l'info géographique dans les metadata.
Ce problème de localisation des IdP devrait être remonté à Renater. Attention toutefois parce que même si on a ces coordonnées on va pas mettre un serveur de carte sur univnautes et l'utilisateur n'est pas connecté... ce qui empêche l'utilisation de services comme Open Street Map our Googlemaps.

La prochaine réunion est fixée au 28 juin après-midi.