Le projet Univnautes : implmentation dun portail captif Eduspot au sein de l'Universit Numrique Paris Ile-de-France

Frdrick Bigrat
Universit Numrique Paris Ile-de-France (UNPIdF) Centre Tolbiac, 90 rue de Tolbiac, 75013 Paris

Jean-Marc Liger
Service Interuniversitaire du Rseau Informatique de la Sorbonne (SIRIS) Chancellerie des Universits de Paris, 46 rue Saint-Jacques, 75230 Paris Cedex 5

Pierre Cros, Thomas Nol, Mikal Ates

Socit Entr'ouvert 19 rue du Chteau, 75014 Paris

Rsum
Univnautes est une implmentation d'un portail captif Eduspot actuellement en production au sein de l'universit Numrique Paris Ile-de-France (UNPIdF). Ce projet associe 23 tablissements dle-de-France dont 17 universits (450 000 tudiants et personnels), ainsi que plusieurs acteurs nationaux ou rgionaux. Univnautes s'appuie sur les recommandations du groupe support Eduspot visant simplifier, au niveau national, l'accs au rseau sans-fil des utilisateurs. Le portail captif Eduspot repose sur un ensemble de pratiques communes de RENATER, dont la Fdration Education-Recherche comme infrastructure d'authentification. Univnautes est une solution technique entirement open source, dveloppe par la socit Entr'ouvert partir du pare-feu pfSense 2.0 (BSD)1, de la librairie Lasso2 (GNU GPLv2) et du portail Authentic 23 (GNU AGPv3). L'installation s'effectue partir d'une image ISO sur une machine disposant de deux interfaces, WAN avec un accs Internet (DNS, HTTP et HTTPS au moins) et LAN connect au rseau Ethernet client sur lequel sont connects les points d'accs diffusant le SSID eduspot. Une fois la solution configure, les mises jour d'Univnautes se font en quelques minutes et quelques clics via la page d'accueil ou via le menu System/Firmware/Auto update. L'ensemble de la configuration peut-tre sauvegard dans un simple fichier XML. Depuis la version 20110724, Univnautes sait dtecter les clients de type mobiles (smartphone), savoir les navigateurs des plateformes Android, iPhone, iPad, BlackBerry, etc. Si un tel navigateur est dtect, une interface spcifique est affiche, principalement des gros boutons faciles grer par cran tactile. Enfin la version 20110915 intgre un fournisseur d'identits (IdP) qui permet d'autoriser des utilisateurs locaux (les comptes invits) crs sur le systme pfSense.

Mots clefs
Portail captif, Eduspot, Univnautes, pfSence, Open Source, UNPIdF

http://www.pfsense.org http://lasso.entrouvert.org http://dev.entrouvert.org/projects/authentic

29/09/2011

1/6

JRES 2011

1 Introduction
Le projet Univnautes est une implmentation d'un portail captif Eduspot dvelopp au sein de l'universit Numrique Paris Ile-deFrance (UNPIdF). Il s'appuie sur les recommandations du groupe support Eduspot visant simplifier, au niveau national, l'accs au rseau sans-fil des utilisateurs. Il repose sur un ensemble de pratiques communes de RENATER, dont la Fdration EducationRecherche comme infrastructure d'authentification. Il est dvelopp par la socit ditrice de logiciels libres Entr'ouvert, spcialise en Identit Numrique .

2 Prsentation gnrale de la conduite du projet UnivNautes

2.1 L'UNR Paris Ile de France
LUniversit Numrique Paris le-de-France (UNPIdF) est un projet soutenu par le Ministre de lenseignement suprieur et de la recherche et port par luniversit Paris 1 Panthon Sorbonne. Ce projet associe 23 tablissements dle-de-France dont 17 universits (450 000 tudiants et personnels), ainsi que plusieurs acteurs nationaux ou rgionaux. LUNPIdF a pour objectif gnral dtre une structure dappui au dveloppement des usages du numrique particulirement dans les domaines de ladministration, de la gestion, de lenseignement, de la formation et de la culture. Pour atteindre cet objectif, les tablissements membres de lUniversit Numrique Paris le-de-France mutualisent ressources et comptences pour dvelopper ou renforcer les infrastructures et services numriques utiles leurs communauts. Le rsultat attendu de cette volution vers le numrique est une nouvelle qualit de la vie universitaire et de la vie tudiante qui devrait se traduire notamment par une meilleure russite des tudiants. Pour ce faire, lUNPIdF fdre de nombreux projets et chantiers ayant une composante fonctionnelle et/ou technique (dveloppement logiciel, mise en place darchitectures techniques, innovation technologique, ) mais aussi des impacts sur les procdures et les organisations (accompagnement des usagers, mise en place de nouvelles procdures, volutions des mtiers, ). Ainsi l'ensemble des services administratifs et techniques et les composantes dun tablissement sont concerns par de nouveaux services dans le domaine de la scolarit (e-administration), de la pdagogie (cours en lignes, plateformes pdagogiques, ), de la documentation (bibliothques lectroniques) et de la vie tudiante (services numriques divers). Enfin tous ces services doivent pouvoir tre accessibles en ligne pour les tudiants ou le personnel des universits, et quel que soit ltablissement o lutilisateur se trouve.

2.2 Un projet de Portail Captif bas sur la Fdration d'Identit du CRU

Afin doffrir lensemble de ses utilisateurs et visiteurs les avantages de la mobilit, lUNPIdF a souhait mettre en place au sein de ses tablissements partenaires un portail captif commun permettant un accs au rseau sans fil WiFi, via une authentification sappuyant sur la Fdration dIdentit du CRU dj en place (Shibboleth 2.0 uniquement). Le concept du portail captif peut-tre assimil une solution dauthentification qui comporte un certain nombre de modules ou fonctionnalits. Parmi eux, une page web accessible en HTTP et HTTPS permettant soit le choix de lorganisme auprs duquel lon souhaite sauthentifier (liste droulante), mcanisme sappuyant sur la Fdration didentit Shibboleth, soit la possibilit de sauthentifier par lintermdiaire dune base dauthentification locale (LDAP, AD, Radius). La solution retenue prsente avantage dtre multi-constructeur et multiplateforme puisque nimporte quel priphrique quip dun navigateur dialoguant en HTTP et HTTPS permet de s'authentifier. Le projet de dploiement dun portail captif mutualis est rest au stade de ltude en 2009. Lopration a t prise en charge en 2010 par le groupe de travail mobilit et rseaux (G5) en coordination avec le groupe rfrentiels et SI (G2) avant de devenir Groupe projet UnivNautes aprs proposition au Comit Oprationnel de l'UNPIdF en novembre 2010.

29/09/2011

2/6

JRES 2011

2.3 La problmatique du site Sorbonne au cur du projet UnivNautes

Le Service Interuniversitaire du Rseau Informatique de la Sorbonne (SIRIS) administre les quipements du rseau informatique de la Sorbonne communs la Chancellerie des universits de Paris, aux universits Paris Panthon-Sorbonne (Paris 1), Sorbonne Nouvelle (Paris 3), Paris-Sorbonne (Paris 4) et Paris Descartes (Paris 5), lcole pratique des Hautes tudes, lcole nationale des Chartes et la bibliothque inter-universitaire de la Sorbonne, et leur connexion lInternet via le rseau acadmique parisien (RAP) et RENATER. Confront depuis sa cration la problmatique multi-tablissements du rseau fdrateur du site Sorbonne, le SIRIS a contribu significativement au projet UnivNautes en raffirmant la ncessit d'un SSID unique et commun et en soulignant l'apport dcisif d'une authentification base sur la Fdration d'Identit du CRU qui deviendra ensuite la Fdration RENATER.

2.4 Le projet UnivNautes base de travail du projet national Eduspot

Cette nouvelle impulsion pour le projet de portail captif dont la ralisation tait longtemps reste en souffrance, la volont d'un SSID commun, et enfin les questions poses en marge d'une formation Shibboleth Olivier Salan et Medhi Hached - afin de dterminer si le CRU pouvait fournir et maintenir une liste de Fournisseurs d'Identit qui supporteraient le projet - sont en partie l'origine de ce qui allait devenir ultrieurement le projet national de mobilit Eduspot.

3 Une solution technique base sur le pare-feu pfSense 2.0, la librairie la librairie Lasso et le portail Authentic 2
3.1 Prsentation de la solution technique
La socit Entr'ouvert a remport l'appel d'offre lanc en novembre 2011 en proposant d'implmenter une solution technique base sur les technologies Open Source suivantes : le portail captif pfSense dans sa version 2.0Beta bas sur le noyau FreeBSD 8.0 ; son offre de librairie Lasso implmentation conforme aux spcifications SAML2 (certifie conforme par Liberty Alliance, maintenant Kantara Initiative), donc interoprable avec l'implmentation Shibboleth 2.0 ; son offre de portail d'authentification Authentic 2 reposant sur la librairie Lasso et le Framework Python Django.

3.2 Installation du produit UnivNautes

Une machine avec deux interfaces est requise : une interface WAN avec un accs Internet (DNS, HTTP et HTTPS au moins). Pour simplifier les tests, une interface connecte un rseau adress par DHCP est idal ; une interface LAN connecte un rseau Ethernet client. Si on veut tester avec des clients wifi, on peut installer sur ce rseau un (ou plusieurs) point d'accs diffusant le SSID eduspot. Attention : sur l'interface LAN, un serveur DHCP sera activ par le portail captif Univnautes. Il vaut donc mieux tester sur un rseau indpendant et non utilis. Le tlchargement de l'image la plus rcente se fait depuis http://isos.univnautes.entrouvert.com/ : Les fichiers .iso sont destins tre gravs sur cdrom, ou utiliss en tant que cdrom par le dmarreur de KVM, VirtualBOX, VMWare, etc... ; Les fichiers .img sont des images pour cl USB, agrable pour une installation sur machine physique.

29/09/2011

3/6

JRES 2011

Depuis le cdrom (notamment lors d'une installation sur machine virtuelle), il suffit de taper [Enter]. En revanche depuis une cl USB, il faut prendre le choix numro 3 (Boot pfSense using USB device). Le noyau FreeBSD est alors lanc. Au bout de quelques secondes arrivent les messages des scripts de dmarrage lis pfSense et Univnautes et enfin on arrive au choix qui propose de lancer l'installation du systme. L'installation se droule en quelques tapes. Puisque tout le systme est pr-configur, il est possible d'accepter directement les choix par dfaut pour raliser une installation rapide. Une partition BSD va occuper tout le disque dur de la machine et le systme va y tre copi intgralement. L'installation va prendre quelques secondes sur une machine rapide (quelques minutes sur une machine virtuelle KVM).

3.3 Configuration du produit UnivNautes

Par dfaut, le portail est livr avec des paramtres de tests. Son nom est univnautes.entrouvert.lan, le serveur HTTPS associ possde un certificat auto-sign (donc invalide par dfaut pour les navigateurs), le certificat pour la fdration est un certificat associ au nom univnautes.entrouvert.lan dans la fdration de test de RENATER. En production, il faut donc modifier tout cela, idalement dans cet ordre : 1. 2. 3. 4. donner un nom dans le domaine DNS de l'tablissement (par exemple eduspot.univ-paris42.fr) ; placer un certificat valide sur le serveur HTTPS correspondant, obtenu auprs du CRU/RENATERr via le RSSI, valide pour le nom choisi prcdemment ; crer un nouveau certificat pour la fdration ; dclarer les mtadonnes SAML finale (associant le nom choisi et le certificat pour la fdration) auprs de la fdration RENATER.

Vous trouverez ci-dessous les dtails pour chaque tape.

3.4 Choix du nom du portail (DNS forwarder)

Par dfaut, le portail s'appelle univnautes.entrouvert.lan, il est associ l'adresse IP 10.42.0.1 par le forwarder DNS local (10.42.0.1 tant l'adresse IP de l'interface LAN). En production, il faut changer ce nom dans le DNS. Pour cela, se rendre dans Services/DNS Forwarder et ajouter le nom dans les overrides, en lui associant l'IP 10.42.0.1 (ou l'IP de l'interface LAN, si vous l'avez change).

3.5 Certificat et cl HTTPS

Par dfaut, le portail est accessible en HTTPS et utilise un certificat et une cl de test. Cela donne des messages d'alerte voire d'erreur sur les navigateurs. Pour modifier le certificat HTTPS du portail, il faut se rendre sur la page Services/Captive Portal et y indiquer : HTTPS server name : le nom du serveur (celui qui est dclar dans le certificat) ; HTTPS certificate : le certificat au format PEM ; HTTPS private key : la cl prive associe, au format PEM ; HTTPS intermediate certificate : le certificat de l'AC mettrice (en cas de certificat auto-sign de test, recopier le certificat), au format PEM. Lorsque ces paramtres sont modifis, le service cp_univnautes est automatiquement relanc pour prendre en compte les modifications.

29/09/2011

4/6

JRES 2011

3.6 Certificat et cl pour la fdration

Sur l'onglet Univnautes dans la page Services/Captive portal, on indique : SAML Private Key : cl prive ; SAML Signing Key (Certificate) : certificat (cl publique). L'outil System/Cert Manager peut tre utilis pour gnrer la cl et le certificat SAML. Ils n'ont pas besoin d'tre signs par une autorit reconnue. Lorsque ces paramtres sont modifis, le service cp_univnautes est automatiquement relanc pour prendre en compte les modifications.

3.7 Dclaration des mtadonnes dans la fdration RENATER

Une fois le service relanc avec les nouvelles donnes SAML, les mtadonnes XML du portail sont accessibles sur la page https://nom_du_portail/authsaml2/metadata (attention: nom_du_portail doit tre le nom choisi pour le serveur HTTPS). Il s'agit d'un fichier XML, qui peut tre tlcharg et lu avec un diteur de texte. Ces donnes du service doivent tre enregistres dans la fdration. Pour les tests, chacun peut utiliser la fdration de test https://federation.renater.fr/test/enregistrement. Sur l'interface d'enregistrement d'un fournisseur de service (SP), il faut entrer les donnes une une : Intitul du service : Portail Captif Univnautes - Universit xyz ; URL du service : https://nom_du_portail ; URL de vos mta donnes : n'indiquez rien ici ! En effet l'URL du portail n'est pas joignable sur Internet ; il faut donc renseigner les paramtres ci-dessous un par un ; entityID : https://nom_du_portail/authsaml2/metadata ; URL du service AssertionConsumerService SAML 1.0 : vide (notre fournisseur ne travaille qu'en SAML 2.0) ; URL du service AssertionConsumerService SAML 2.0 : https://nom_du_portail/authsaml2/singleSignOnPost ; Certificat X.509 : copier-coller du champ SAML Signing Key (Certificate) de la page Services/Captive Portal/Univnautes, en retirant les premire et dernire lignes contenant les -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----

3.8 Forcer le rechargement des metadonnes et whitelist

Les mtadonnes et la whitelist sont tlcharges chaque heure. Cependant, il peut tre utile d'actualiser immdiatement ces donnes. Pour cela, deux techniques : soit depuis la console (en direct ou en ssh), taper : # univnautes-update-metadata.sh ; soit depuis l'interface web d'administration, se rendre sur la page Services / Captive portal , sur l'onglet Univnautes et cliquer sur le bouton [Save] en bas de page, sans modifier de paramtre. Cela recharge whitelist IP et metadonnes. Dans les deux cas, pour vrifier, se rendre dans Status / System Logs sur l'onglet Portal Auth : vous devez voir une ligne disant peu prs ceci update-metadata: Loaded 117 providers.

29/09/2011

5/6

JRES 2011

4 Conclusion
Univnautes est une implmentation totalement intgre du projet Eduspot trs facile dployer et maintenir. Une fois la solution configure, les mises jour d'Univnautes se font en quelques minutes et quelques clics via la page d'accueil ou via le menu System/Firmware/Auto update. L'ensemble de la configuration peut-tre sauvegard dans un simple fichier XML. Depuis la version 20110724, Univnautes sait dtecter les clients de type mobiles (smartphone), savoir les navigateurs des plateformes Android, iPhone, iPad, BlackBerry, etc. Si un tel navigateur est dtect, une interface spcifique est affiche, principalement des gros boutons faciles grer par cran tactile. Enfin la version 20110915 intgre un fournisseur d'identits (IdP) qui permet d'autoriser des utilisateurs locaux (les comptes invits) crs sur le systme pfSense. UnivNautes ne dispose pas encore de support IPv6 mais des dveloppements sont prvus en ce sens.

5 Bibliographie
[1] Jean-Marc Liger, Thodore, Aslamatzidis ,Multimdia et Didactique, Internet au service d'une activit mergente : le Sambo. Dans Actes du congrs JORRESCAM 2000, 119, Amiens Avril 2000. [2] Mikal Ates, Christophe Gravier, Jeremy Lardon, Jacques Fayolle, et Bruno Sauviac, Architectures de fdration d'identits et interoprabilit. Dans Actes du congrs JRES2007, http://2007.jres.org/articles/79.pdf [3] Frdrick Bigrat, Pierre Cros et Thomas Nol, Le projet Univnautes : une solution Open source de portail captif mutualis et orient Fdration Recherche. Dans Journe Fdration 2011, Paris 24 Janvier 2011.

29/09/2011

6/6

JRES 2011