------
Grenoble, le 4 Janvier 2001
------
Grandes lignes de l'activité du CRIC durant l'année 2000 :
Labs :
Après un an d'activité on peut dire que le remplacement de la machine labs (un SUN sous sunOS) par un PC sous Linux a été une bonne opération. Cette machine s'est révélée fiable et capable d'assumer toutes les tâches (serveur de noms, serveur d'accès, etc.). Ses deux processeurs de 500Mhz supportent par ailleurs sans problème la montée en charge.
Ce choix nous a permis :
de mieux connaître ce système d'exploitation plein d'avenir puis de partager ces connaissances, de réaliser des économies à l'achat de la machine, mais aussi en nous affranchissant de la maintenance annuelle.
- Les telnet (connexion directe) sur labs sont réservés à l'administration de la machine
- Les accès depuis l'extérieur à nos machines internes sont filtrés, c'est-à-dire limités aux machines et services strictement nécessaires.
- Le routeur placé devant chaque entité assurera les filtres propres à cette entité. Ce filtrage sera du type "on interdit tout sauf", contrairement à celui du routeur d'entrée de site qui lui, est du type "laisser passer tout sauf".
HTTPS :
Quatre stagiaires ont en effet mis en place sur labs durant l'été 2000 un serveur HTTPS. A traduire par HTTP (ou accès web) Sécurisé. Depuis, nous avons adapté et complété leur travail et aujourd'hui le projet est en phase d'observation. Pour l'essayer il vous suffit d'indiquer cet URL à votre navigateur favori :
Mais auparavant merci de parcourir
cette
introduction
Mailman :
Cette page HTTPS sur labs vous donne accès à un logiciel de messagerie: mailman, dont nous avons pu obtenir une licence en tant qu'organisme de recherche. C'est l'outil parfait pour le chercheur en déplacement ou en visite dans un laboratoire extérieur pour peu de temps : associé à HTTPS, mailman lui permet depuis n'importe où, via n'importe quel opérateur, depuis tout type de machine ou système d'exploitation, d'avoir accès à sa messagerie de façon sûre et immédiate.
Ce que précisément ce logiciel
permet et ne permet pas est également résumé dans
l'introduction de HTTPS (https://labs/https_labs.html).
Périmètre de Confiance :
Avec le HTTPS nous avons introduit la notion de "Périmètre de Confiance", espace considéré comme fiable, autorisant les opérations délicates comme l'initialisation d'un mot-clé ou la réinitialisation de votre mot de passe.
Depuis le site CNRS vous êtes dans ce Périmètre, sauf si votre machine supporte le telnet, même si elle n'est pas directement ouverte à l'extérieur. Tout simplement parce qu'un pirate peut aisément rebondir dessus depuis l'une des machines ouvertes sur le site. Cependant, un fichier d'exceptions composé de couples "nom de machine"/"login sur labs" prend en compte ces cas particuliers.
Notez que les accès par modem sont
considérés comme hors du Périmètre.
Mot-clé :
Depuis le Périmètre de Confiance
il vous sera demandé d'entrer (seulement la première fois)
un mot-clé. Ce mot-clé est une sorte de mot de passe, en
plus personnel, que vous ne devrez jamais ni oublier, ni confier à
qui que ce soit. Il vous sera demandé par exemple pour pouvoir consulter
votre messagerie depuis l'extérieur ou si vous avez oublié
votre mot de passe.
A venir :
par exemple pour pouvoir consulter votre messagerie
MétroNet :
En fin 99 nous sommes passés du réseau ARAMIS régional à un réseau à l'échelle de Grenoble: SMHD, le Service Multi-site à Haut Débit de France Télécom.
Le 6 décembre 2000 nous avons basculé sur le réseau métropolitain MétroNet (voir schéma), un réseau de fibres optiques privées dont nous sommes co-propriétaires pour 15 ans renouvelables. L'opération a coûté l'équivalent de 3 ans d'abonnement au réseau ARAMIS. Lequel n'offrait que 2Mbs alors que les débits sur MétroNet suivront nos besoins, même s'ils devaient exiger plusieurs Gigabits.
Le cheminement de sécurisation (également
en fibres optiques et totalement indépendant) devrait être
livré en mars 2001 (en bleu sur le schéma).
En attendant, une solution d'attente se met en place avec la collaboration
du CEA, de l'ISN et de l'ESRF.
Une inconnue subsiste : l'administration
centrale de ce réseau Métropolitain. Continuera-t-elle à
être assurée par le CICG (Campus) ou sera-t-elle sous-traitée
?
Nouvel équipement central :
Un dossier a été adressé au COMI (le Comité d'Orientation des Moyens Informatiques) afin de financer le changement de notre équipement central. Ce dossier, qui doit prochainement repasser en commission a, selon le secrétaire du COMI lui-même, de bonnes chances d'aboutir.
Les nombreuses pannes de notre commutateur central tandis que nous établissions le cahier des charges de celui qui devait le remplacer, ont fait évoluer notre vision de l'équipement central. Nous avons réalisé qu'en répartissant ses fonctions en éléments indépendants, au lieu de les concentrer dans un seul équipement (voir schéma joint), il devient plus simple, plus fiable, plus évolutif ... et moins cher à l'achat et en maintenance .
En attendant l'achat cet équipement et la mise en place effective du Gigabit sur MétroNet (septembre 2001 ?), un PC sous Linux doté de 5 interfaces 10/100Mbs assure le routage et le filtrage au niveau de notre site.
Le travail fourni par une telle machine est
tout à fait comparable à un routeur évolué.
Aussi l'expérience acquise -notamment en matière de filtres,
sera transmise aux administrateurs afin qu'ils puissent aisément
configurer en routeur, le PC qu'ils placeront devant leur laboratoire.
Inter-PABXs :
Le projet de raccordement des autocommutateurs
téléphoniques entre notre site et le Campus n'a pas avancé.
Coriolis :
Le laboratoire Coriolis a demandé
officiellement être raccordé directement sur notre site et
non plus via l'ENSERG. Ce raccordement est effectif depuis novembre 2000.
Modems :
Une stagiaire, cet été 2000, a mis au point la procédure de connexion par modem depuis une machine Linux et a réalisé un excellent tutorial :
http://www.grenoble.cnrs.fr/FrPages/InfosLocales/AccesDistants/AccesDistants.html
Début novembre notre serveur de modems
(qui répond à une cinquantaine d'appel par jour) est tombé
en panne. Nous l'avons remplacé par celui de secours.
Perspectives :
Nos utilisateurs, depuis leur laboratoire, vont donc pouvoir profiter des augmentations régulières de débit sur RENATER (au niveau national et sur les liaisons internationales) et de la montée en puissance des réseaux européens.