Conclusion

• Sommaire
  • Cahier des Charges
  • Solutions mises en oeuvre
    • Réseaux VLAN
    • Protocole 802.1x
    • Protocole VMPS
    • Portail Captif
    • Réseaux VPN
    • Réseau Wifi
    • Annuaire LDAP
    • Serveur Radius
    • Projet EduRoam
  • Choix réalisés
  • Déploiement
    • Procédure de déploiement
    • Installation OpenLDAP
    • Installation FreeRadius
    • Installation DHCP
    • Installation Chillispot
    • Installation OpenVPN
    • Installation VMPS
    • Configuration des Routeurs et commutateurs
    • Configuration Wifi
  • Outils de gestion
    • 802.1x : client SecureW2
    • 802.1x : client WPA_supplicant
    • Portail captif : navigateur Web
    • Client OpenVPN
    • Interface Visiteurs
    • Interface WPA
    • Interface RadiusGroupName
  • Conclusion
  • Glossaire

Le projet

Ce projet de mobilité et d'authentification répartie a pour objectif de gérer toute la mobilité des personnels du CNRS. La mobilité est le fait donné aux utilisateurs de se raccorder au réseau, avec ses droits, depuis n'importe quel laboratoire du site, mais aussi fournir un accès aux données du laboratoire depuis Internet. L'interaction avec les visiteurs, comme un commercial qui vient faire une présentation, est définie de façon à lui donner l'accès à Internet pour la journée. Le projet EduRoam pose les bases d'une authentification répartie, accessible à tous les centres de recherche et universités d'Europe qui souhaitent y participer. Chacun devant être en mesure de fournir à un utilisateur au minimum l'accès Internet, après son authentification auprès de l'annuaire de son établissement d'origine.

Ce projet n'a pas pour but de surveiller les utilisateurs. Toutes les connexions sont enregistrées de façon à pouvoir assurer un suivi en cas de problème détecté sur le réseau. Cette gestion de trace, nommée accounting, n'est accessible que par les administrateurs de laboratoires.

Ces techniques sont modernes et nécessitent des ordinateurs clients récents. Il a aussi été traité le cas des machines ne supportant pas l'authentification, en mettant en place une identification par leur adresse MAC. Dans le cas où l'ordinateur ne supporte pas 802.1x, ni VMPS, il est placé face à un portail captif, qui lui donnera l'accès à Internet. Pour les connexions en provenance d'Internet, un serveur de VPN est aussi déployé. La communication entre les universités de la plaque grenobloise a aussi été prise en compte puisque l'accès aux serveurs VPN des universités est ouvert sans mot de passe.

Si un utilisateur est authentifié, il est placé dans un réseau selon les droits définis pas l'administrateur de laboratoire.

L'aspect sécurité figurant en bonne place dans le cahier des charges, les méthodes d'authentification employées sont cryptées et les filtres réseau sont de type "on filtre tout sauf ce qui est défini". Des mots de passe entre les équipements les protègent des malveillances et des maladresses. De plus, tous sont placés dans des réseaux non routables afin qu'ils soient injoignables depuis l'Internet.

Bilan

Si les utilisateurs sont de plus en plus amenés à passer d'un laboratoire à un autre, l'heure est également aux nombreux déplacements à l'étranger. L'idée fondamentale d'EduRoam est de leur permettre de façon transparente d'accéder à Internet depuis tout réseau partenaire du projet avec leur compte/mot de passe habituel.

Adapter l'infrastructure de notre site et l'intégrer dans ce vaste projet, a constitué l'essentiel de mon travail depuis deux ans.

Les difficultés ont été d'ordre technique mais aussi politique. Imposer aux utilisateurs de s'authentifier avant d'accéder au réseau constitue un changement de mentalité qui impose dialogues et prise de conscience. L'un de ses aspects les plus positifs a été la nécessaire coopération entre la cellule centrale et les administrateurs informatiques des laboratoires, ainsi qu'entre les administrateurs eux-mêmes. Il a fallu également convaincre la direction du CNRS de Grenoble de s'engager dans EduRoam et RENATER et d'en signer la charte commune. Cela a été officiellement fait en septembre 2007. De fait, désormais, l'obligation d'identifier tous les utilisateurs de notre réseau et d'en garder trace devient effective. Celle-ci permettra de disposer de toute information en cas d'alerte signalée par nos partenaires. Par sa signature, la direction avalise le déploiement du projet sur le site et notre implication dans EduRoam.

Utilisé aujourd'hui au quotidien par une centaine d'utilisateurs, son déploiement se fait au fil des besoins, lesquels ne cessent de se manifester. Ainsi, le laboratoire de Spectroscopie, sur le Campus, travaille en si étroite collaboration avec notre site que régulièrement des chercheurs rejoignent nos murs. Mais comme ils se retrouvent rarement dans leur laboratoire de rattachement, deux problématiques se posent : la première est qu'ils ne doivent pas avoir le plein accès au réseau interne du laboratoire d'accueil, la seconde est qu'ils doivent avoir ce plein accès sur celui qu'ils sont venus rejoindre.

Ce projet est dense : il représente plus de 8000 lignes de configurations et de développement. Pour faciliter son acceptation, son intégration, il a fallu rôder toutes les procédures d'installation et d'utilisation. Une documentation détaillée est disponible pour les administrateurs pour les aider lors du déploiement.

Les nombreux mails que nous recevons confirment que l'authentification et la mobilité sont à l'ordre du jour dans notre communauté, mais aussi que la grande complexité posé par cette double problématique pousse les administrateurs à chercher fébrilement des solutions satisfaisantes pour eux et leurs utilisateurs.

De par sa position centrale notre cellule doit encourager une politique cohérente sur le site, et proposer les services devenus incontournables de nos jours, tels que le WiFi, l'authentification des visiteurs, la mobilité ou la visio-conférence. C'est donc dans ce cadre que nous avons développé cette vaste solution, la plus fiable, la plus simple, la moins coûteuse possible. Notre approche de la problématique, nous l'avons mis à disposition sur l'Internet, tandis que le détail des configurations est déposé et mis à jour sur un Wiki.

Perspectives

Ce projet ne s'arrête pas là car la solution proposée est encore incomplète et peut être améliorée. Il est souhaitable d'améliorer dans le futur les points suivants :

• Créer une interface d'interrogation de la base de données d'accounting ;
• Créer dynamiquement la clé WPA de façon à ce que les administrateurs ne puissent pas mettre deux fois la même clé ;
• Modifier le programme de création de visiteurs pour autoriser une création par lot (lors d'une conférence, si on donne un identifiant par invité) ;
• Ecrire une notice d'aide pour l'authentification 802.1x sur Linux et Mac OS X ;
• Modifier le code du serveur VMPS pour qu'il supporte une liste d'adresses MAC issues d'une base de données LDAP et non plus d'un fichier texte.

---

CNRS / Centre Réseau et Informatique Commun (CRIC) - Dernière modification : 26/06/2019.

Mail : CRIC @ grenoble.cnrs.fr (sans les espaces)