HAL Journées Réseaux de l'Enseignement Supérieur et de la Recherche
Not a member yet
    1242 research outputs found

    ESUP-OTP : Solution libre et open source pour la gestion de l'authentification forte

    No full text
    Alors que la plupart des établissements de l'ESR utilisent comme serveur central d'authentification la solution Apereo CAS, celle-ci propose nativement bon nombre de fournisseurs de MFA (Multi-Factor Authentication). Citons Duo Security, Twilio Authy, Acceptto, YubiKey, WiKID, FIDO, Swivel Secure, Google Authenticator.Malheureusement, la plupart ne sont pas libres, sont chers et ne sont pas disponibles en mode auto-hébergé.En tant que consortium ESUP-Portail, nous fournissons une alternative nommée ESUP-OTP.Cette brique propose une authentification renforcée au travers de CAS via différents facteurs possibles : SMS, Time-based One-Time Password (TOTP), liste de codes aléatoires à imprimer, application mobile de notification (push) et usage de carte sans contact.ESUP-OTP a été développé par nos soins sous la licence libre MIT, tout est ainsi ouvert gratuitement à tous : l'ensemble des sources, documentations, présentations.En plus d'un module à ajouter dans le serveur CAS lui-même, ESUP-OTP est composé de plusieurs applications permettant du MFA adapté au fonctionnement de nos établissements : interface web à destination des utilisateurs finaux (dont les gestionnaires) et applications mobiles. Dans cet article, on montre qu'ESUP-OTP permet de proposer à nos utilisateurs une authentification multi-facteurs opérée via une solution libre et auto-hébergée, ce sur les applications cassifiées et shibbolethisées.Le format poster présenté lors de ces JRES 2022 à Marseille nous permettra d’échanger sur les détails techniques de mise en oeuvre effective du MFA CAS avec ESUP-OTP.On pourra également réaliser des démonstrations d'authentification multi-facteurs via nos propres smartphones

    UCAmedia : Plateforme de création, gestion et diffusion de médias basée sur Opencast

    No full text
    En janvier 2017, la fusion des deux universités auvergnates a entraîné de profonds changements, notamment au niveau structurel avec le regroupement des deux DSI. Chaque établissement disposait de son propre système de captation, l’un n’étant plus maintenu par l’éditeur et l’autre étant trop onéreux. Il était donc indispensable de mettre en place un nouveau procédé afin d’homogénéiser la production de capsules audio et vidéo.Un projet ambitieux a été lancé avec pour objectif de créer, gérer et diffuser du contenu vidéo sur l’ensemble des plateformes de l’université. La stratégie retenue a été de construire une chaîne de production audiovisuelle autour d’une solution ouverte permettant de nombreuses interactions. Ainsi, la solution Opencast est apparue comme étant la plus adaptée et a été retenue selon plusieurs critères : son coût, sa compatibilité avec les agents de capture Extron, sa communauté très réactive et sa modularité qui offre une réelle liberté de développement.Afin de développer l’autonomie des enseignants et des étudiants à la production de ressources vidéo, tout en évitant de bouleverser les habitudes liées aux solutions passées, une suite d’outils baptisée UCAmedia a vu le jour. Celle-ci permet la production de vidéo offrant la meilleure qualité possible et de diffuser rapidement et simplement sur la plateforme pédagogique et la WebTV de l’université.Dans cette présentation, nous détaillerons les choix retenus pour la mise en place de l’architecture et nous apporterons une attention particulière concernant les applications déployées autour d’Opencast : un outil d’enregistrement assisté sur navigateur, un gestionnaire de vidéos intégré à l’ENT, un plugin Moodle et un assistant d’enregistrement en amphithéâtre

    Administrer votre cloud Openstack sans aspirine avec Kolla

    No full text
    International audienceIn 2019, the team in charge of the Openstack cluster on the Grenoble campus (Nova) presented the the genesis of the project for a cloud computing platform. After a few years of operation, it seemed relevant to it seemed relevant to us to look more in detail at the solution which we chose for the deployment and the deployment and the management of this infrastructure, with the notable exception of the storage part, based on Ceph. The Openstack project has become the reference open source cloud computing solution. Its modular architecture architecture and the numerous services that make it up allow it to cover a very broad spectrum of uses and of use and therefore represents a real challenge for administrators, especially when the problems of high availability and scaling up are invited to the table. For Nova, which currently proposes 1152 computing cores, 5Tb of RAM, 200Tb of distributed storage and GPUs, we chose Kolla-Ansible, which is based on containerized services deployed via Ansible. We will explain the reasons for our choice, detail how it works and present the many advantages of this solution for deployment, daily operation and important maintenance operations such as updates, without forgetting to quickly mention the few scares that occurred during the project.En 2019, l'équipe en charge du cluster Openstack du campus Grenoblois (Nova) présentait la genèse du projet d'une plateforme de cloud computing. Après quelques années d'exploitation, il nous semblait pertinent de nous pencher plus en détail sur la solution que nous avons retenu pour le déploiement et la gestion de cette infrastructure, à l'exception notable de la partie stockage, basée sur Ceph.Le projet Openstack est devenue la solution libre de cloud computing de référence. Son architecture modulaire et les nombreux services qui la composent permettent de couvrir un très large spectre d'utilisation et représente de ce fait un véritable défi pour les administrateurs, d'autant plus quand les problématiques de haute disponibilité et de passage à l'échelle s'invitent.Pour Nova, qui propose actuellement 1152 cœurs de calcul, 5 To de RAM, 200 To de stockage distribué et des GPU, nous avons choisi Kolla-Ansible, qui se base sur des services conteneurisés déployés via Ansible. Nous expliquerons cependant que nous avons décidé de ne pas l'utiliser pour déployer la partie stockage de l'infrastructure. Nous éclairerons les raisons de nos choix, détaillerons le fonctionnement et présenterons les nombreux avantages de cette solution pour le déploiement, l'exploitation quotidienne et les opérations de maintenance importantes telles que les mises à jour, sans oublier d'évoquer rapidement les quelques frayeurs, rares, qui ont parsemé le projet

    Proxmox : de la virtualisation de serveurs à l'hyperconvergence ... libre !

    No full text
    ##### PRÉREQUIS * Bases de la virtualisation : virtualisation légère (conteneur), virtualisation complète, hyperviseur ; * Bases en réseau : TCP/IP (commutation, routage, ...) ; * Des connaissances en environnement SAN (types de stockage, protocole iSCSI, ...) et en sécurité (firewall) permettent une meilleure compréhension des fonctionnalités présentées.##### LES GRANDES FONCTIONNALITÉS DE PROXMOX #### INTERFACE D'ADMINISTRATION Démo de l'interface Web avec ses trois modes de visualisation (Serveur, Dossier, Stockage)#### CONFIGURATION Paramétrage du stockageParamétrage du réseau#### CLUSTER Créer un cluster multiserveurAdministrer un cluster de manière centralisée#### GESTION DES VM ET CONTAINERS Création d'une VMParamétrage avancé d'une VMCréation d'un conteneurParamétrage avancé d'un containerExtension d'un disque virtuelDéplacement d'un disque virtuel#### HAUTE DISPONIBILITÉ Paramétrage de la haute dispo Test de reprise automatique en cas d'arrêt d'un serveurParamétrage de la haute disponibilité par VM#### TRANSFERT ENTRE HOSTS Transfert de VM (à chaud, à froid)Transfert de container (y compris depuis un stockage sur disque dur local !)Transfert de VM entre serveurs sans stockage SAN#### SAUVEGARDE ET RESTAURATION Sauvegarde simpleSauvegarde avec Proxmox Backup ServerRestauration d'une VM ou d'un containerCréer une nouvelle VM ou un container à partir d'une sauvegarde (et sa subtile gestion des MacAdress !)#### LES TROIS NIVEAUX DE FIREWALL ClusterHostVM ou container#### SUPERVISION ET MÉTROLOGIE Gestion des accèsParamétrage et démo de l'export des données statistiques vers un serveur InfluxDB avec tableau de bord sous Grafan

    Chronique d’une mort annoncée (des serveurs de fichiers)

    No full text
    En 2017, l’université de Nantes a lancé UNCloud un service de partage de fichiers et de travail collaboratif basé sur Nextcloud à destination de ses personnels et étudiants.Adopté en masse, UNCloud a rapidement bouleversé les usages. L’accès universel au service, la simplicité de partage et l’édition collaborative ont vite motivé les utilisateurs à s’en emparer à la fois pour leurs données individuelles de travail mais aussi pour les données d’établissement. Or, si les données des utilisateurs ont naturellement trouvé leur place sur cette nouvelle plateforme, les données d’établissement se devaient de rester sur les serveurs de fichiers traditionnels, et ce malgré leur utilisation parfois chaotique.Plutôt que de lutter contre cette migration logique, nous avons préféré accompagner et mettre en place des « garde-fous » permettant de préserver le cycle de vie particulier des données d’établissement et leur sécurité tout en offrant aux utilisateurs une simplification de la gestion de ces documents de service. Cette stratégie repose sur la brique Group Folders de Nextcloud et un suivi individualisé à la migration.Ces solutions requirent un changement de méthodologie dans la gestion des données d’établissement. L’utilisateur final voit ainsi sa façon de travailler modifiée et la transition ne se fait pas forcement sans écueils. Dans cet article et cette présentation, nous décrivons comment nous avons réussi à concilier notre plateforme de partage avec une gestion de données de groupes. Une question demeure toutefois : *signons-nous ainsi la mort des serveurs de fichiers traditionnels ?

    Router for Academia, Research & Education

    No full text
    RARE/freeRtr est une plateforme programmable Open Source de routage qui à la particularité d’être associée à des plans de données ayant des capacités de commutation multiples. Par conséquent, ces routeurs sont capables d'atteindre des performances allant de l’ordre du Gigabit jusqu’au Térabit par seconde, et ce pour un coût moindre comparé aux solutions commerciales traditionnelles. C’est également une plateforme de développement utilisable pour répondre aux besoins particuliers des projets de recherche. Elle peut être utilisée à des vocations tactiques (sécurité) nécessitant une indépendance vis-à-vis d’un logiciel de plan de contrôle.L’un de ces plans de données est constitué d' ASIC spécialisé dans la commutation de paquets. Ces circuits sont programmables par le biais d’un langage de développement spécifique ou par le biais de librairies logicielles implémentant des fonctions de « kernel by-pass ».L’architecture modulaire de RARE/freeRtr se prête au développement rapide et aux tests automatisés de nouveaux protocoles et fonctionnalités : * plan de contrôle open source ; * plan programmable de données [P4 (BMv2 et les circuits intégrés « Intel® Tofino ™ »), DPDK, Libpcap et UDP Socket] ; * interface entre le plan de contrôle et le plan de commutation.Cet exposé présentera la solution développée dans le cadre du projet GÉANT: RARE. Associée au plan de contrôle FreeRtr, la plateforme est extrêmement versatile et propose un large éventail de fonctionnalités. Elle peut ainsi donc instancier des implémentations de routeur répondant à plusieurs cas d’usage distinct: réflecteur de routes, routeur d’agrégation, routeur de campus ou de réseau régional, point d’échange, routeur d’accès (SOHO)

    Guide de bonnes pratiques sur la gestion des données de la recherche

    No full text
    International audienceTout ce que les ASR devraient savoir sur la gestion des données de la recherche sans jamais oser le demander.La gestion rigoureuse et cohérente des données de la recherche constitue un enjeu majeur pour la production de nouvelles connaissances scientifiques. Améliorer les pratiques de gestion des données de la science devient nécessaire pour garantir l’intégrité scientifique et la traçabilité de la recherche produite, mais aussi pour rendre accessible, partager, permettre la réutilisation et la reproductibilité des données dans le cadre d'une gestion "FAIR". Dans leurs différentes pratiques, les réseaux du CNRS, regroupés au sein de la Mission pour les Initiatives Transverses et Interdisciplinaires (MITI) ou soutenus par les Instituts, participent à ce mouvement d’ouverture et de partage des données. Ce "Guide de bonnes pratiques sur la gestion des données de la recherche" est une production du groupe de travail inter-réseaux "Atelier Données". L’originalité de ce guide réside dans son application aux données de la recherche sous l’angle de différents métiers. Il fournit un point de vue transversal et traduit les efforts et le soutien des personnels d’appui à la recherche dans la gestion et la valorisation des données scientifiques à travers les nombreux séminaires, communications et formations, qui fournissent l'état de l'art du moment en matière de gestion des données. Réalisé avec Jupyter Book, ce guide est mis à disposition sous Licence Creative Commons Attribution .0 International (CC BY 4.0)

    20 ans de science ouverte au laboratoire LEGI : Quels succès ? Quelles difficultés ? Quels enseignements ? Un tremplin vers le futur

    No full text
    International audienceOpen science is commonly discussed within our institutions. National plans have been initiated by the government and this issue raises a lot of questions. The science implies several principles: transparency, reproducibility, efficiency, trust sobriety, sustainability. Its application thus passes by the opening of the data, but also the opening of the software and the free access to the publications. software and free access to scientific publications. Although sometimes experienced as a constraint, it appears that in the majority of situations, its application within public organizations can only be beneficial, whether it is for the initiators of the dynamics, the funding organizations or more generally for our communities. In the LEGI laboratory, this scientific strategy was initiated more than two decades ago. The initial objective was to share the experimental data obtained in the CORIOLIS platform, a major research instrument of the CNRS, in accordance with the FAIR (Findable, Accessible, Interoperable, Reusable) principles. Then, over time, some of the scientific computing experts of the unit followed the movement, sharing modeling data, but also software. The reproducibility of the laboratory's activities has thus improved and a methodology has been defined. These steps have been successful. However, the opening of data, software and publications is confronted with practical obstacles, financial problems and certain reticence. Incentive charters are surely needed to make scientific communities more considerate of open science. The CNRS open data plan and the European initiative RDA (Research Data Alliance) represent interesting advances. It would also be useful if the use and availability of open data and software could be valorized.La Science Ouverte est un mouvement qui cherche à rendre la recherche scientifique accessibles à tous. Des plans nationaux ont été initiés par le gouvernement et cette problématique soulève énormément de questionnement. La Science Ouverte implique plusieurs principes : transparence, reproductibilité, efficacité, confiance, sobriété, pérennité. Son application passe ainsi par l’ouverture des données, mais aussi l’ouverture des logiciels et le libre accès aux publications scientifiques. Bien que vécu parfois comme une contrainte, il apparaît que son application au sein des organismes publics ne peut être que bénéfique, que ce soit pour les initiateurs de la dynamique, les organismes financeurs ou plus généralement nos communautés.Au laboratoire LEGI, cette stratégie scientifique a été initiée depuis plus de deux décennies. L’objectif initial était de partager les données expérimentales obtenues dans la plateforme CORIOLIS, grand instrument de recherche du CNRS, en respectant les principes FAIR (Findable, Accessible, Interoperable, Reusable). Puis, une partie des numériciens de l’unité a pris exemple, en partageant des données, mais aussi des logiciels. La reproductibilité des activités du laboratoire s’est ainsi améliorée et une méthodologie a été définie.Toutefois, l’ouverture des données, des logiciels et des publications se confronte à des obstacles pratiques, à des problèmes financiers et à certaines réticences. Des chartes incitatives sont nécessaires afin que les communautés scientifiques prennent plus en considération la Science Ouverte. Le plan de données ouvertes du CNRS et l’initiative européenne RDA (Research Data Alliance) représentent des avancées intéressantes. Il serait également utile que l’usage et la mise à disposition de logiciels et données ouvertes soient valorisables

    Sécurité dans un contexte de fédération d'identité

    No full text
    Les fédérations d'identité, qu'elles soient de portée locale, nationale, ou internationale, sont aujourd'hui largement utilisées dans notre communauté. En effet, il s'agit d'un mécanisme extrêmement pratique pour mettre en relation facilement des SI indépendants, un besoin récurrent dans le monde de l'enseignement supérieur et la recherche.Néanmoins, la complexité du sujet fait qu'il est rarement maitrisé, et les risques de sécurité encourus sous-estimés. Il est ainsi fréquent de voir des applications à usage interne accessibles dans les fait à l'ensemble des personnes relevant de l'enseignement supérieur, utilisant des identifiants utilisateur triviaux à forger, ou dont l'architecture technique inadéquate diminue la sécurité.Cette présentation commence par expliciter la différence entre les notions de délégation d'authentification et de fédération d'identité. Elle aborde ensuite les problématiques de contrôle d'accès et de limitation des risques d'usurpation d'identité lorsque l'authentification est déléguée à un ou plusieurs tiers. Enfin, elle évoque quelques aspects plus techniques, liés à l'architecture ou au durcissement des composants utilisés.L'objet de cette présentation est de démystifier le fonctionnement d'une fédération d'identité, afin de permettre à chaque participant de prendre conscience des enjeux de sécurité pour lui-même, mais aussi pour les autres. Car si chaque établissement reste souverain pour assumer les risques sur son propre périmètre, une fédération d'identité constitue par définition un périmètre mutualisé, ce qui impose une autre gouvernance des risques liés à la sécurité

    Firejail : Le couteau suisse du confinement sous Linux

    No full text
    National audienceL'isolation des processus sous Linux est un sujet bien connu des administrateurs systèmes qui peut porter sur un grand nombre d'éléments distincts (*e.g.* système de fichiers, réseau, espace mémoire, espace de PID). Du simple changement de racine (*i.e.* *chroot*) à la virtualisation lourde (*e.g.* *QEMU*, *VirtualBox*), en passant par les conteneurs (*e.g.* *LXC*, *runC*) ou bien encore les systèmes de contrôle d’accès obligatoire (*e.g.* *SELinux*, *AppArmor*), un grand nombre de techniques existe pour répondre à ce besoin de confinement (sans mauvais jeu de mots). Toute technique d'isolation a malheureusement un coût, que ce soit en espace de stockage, en perte de performance suite aux opérations induites par la surcouche du système d'isolation mais aussi en complexité de configuration et d'intégration.Le noyau Linux propose un ensemble de fonctionnalités allant dans le sens d'une isolation sur mesure tout en minimisant le coût de surcharge (*i.e.*, **Namespaces**, **Control Groups**, **Capabilities** et **Seccomp-bpf**). **Firejail** est un outil libre offrant une interface simplifiée et donnant accès à la manipulation de ces fonctionnalités.L’objectif de cette proposition est de donner un aperçu ainsi que des cas d'usages d'un tel outil dans le cadre d'un système d'information mais également dans un contexte d'enseignement. Cette proposition utilise **Firejail** comme moyen d'aborder la problématique de l'isolation des processus sous Linux dans sa globalité

    0

    full texts

    1,242

    metadata records
    Updated in last 30 days.
    HAL Journées Réseaux de l'Enseignement Supérieur et de la Recherche
    Access Repository Dashboard
    Do you manage Open Research Online? Become a CORE Member to access insider analytics, issue reports and manage access to outputs from your repository in the CORE Repository Dashboard! 👇