HAL Journées Réseaux de l'Enseignement Supérieur et de la Recherche
Not a member yet
1242 research outputs found
Sort by
CMDB : Avantages et Méthodologie
In 2014, the IT department of the Besançon Education Authority equipped its reorganisation using the iTop service centre. This tool professionalises ISD operation by modelling all internal business processes. Here we discuss its pillar, the configuration management database (CMDB), both in the way we have implemented it and in all its use cases within our IS.The design of the CMDB has led to standardisation choices and the formalisation of the ISD's organisation. The roles have been clarified and the CIs, components of the Information System, have been defined: technical building blocks of an IT infrastructure, applications, users, etc. With our standard model we can make the connection between the user application view and the system view, thereby providing an overall vision of our IS to everyone involved in the ISD.The CMDB is fed from the IS reference data sources. It is used in all ISD business processes via a local application. In this article, we show how it was interfaced with the system engineer's conventional tools and how, through simple detection of new CIs, the information elements in the interfaced tools were propagated for action.The exhaustive mapping provided by the CMDB and its real-time input enables impact forecasts or the performance of precise instantaneous diagnostics (intervention, MRO, etc.).CMDB is a powerful tool for increasing production reliability and its use is a key practice for the infrastructure manager.La DSI du rectorat de l’académie de Besançon a outillé en 2014 sa réorganisation à l’aide du centre de service iTop. Cet outil professionnalise le fonctionnement de la DSI en modélisant tous les processus métier internes. Nous abordons ici son pilier, la base de données de gestion de configuration (CMDB) aussi bien dans la façon dont nous l’avons implémentée que dans tous ses cas d’usage au sein de notre SI.La conception de la CMDB a induit des choix de standardisation et la formalisation de l’organisation de la DSI. Ainsi les rôles ont été clarifiés et les CIs, composants du Système d’Information, définis : briques techniques d’une infrastructure informatique, applications, utilisateurs … Notre modèle standard permet de réaliser la jonction entre la vue applicative de l’utilisateur et la vue système et fournit ainsi une vision globale de notre SI à tous les acteurs de la DSI.La CMDB est alimentée à partir des sources de données de référence des SI. Via une application locale, elle est utilisée dans tous les processus métiers de la DSI. Nous montrons dans cet article comment elle a été interfacée aux outils classiques de l’ingénieur système et comment est réalisée, sur simple détection de nouveaux CIs, la propagation, pour action, des éléments d’information dans les outils interfacés.La cartographie exhaustive fournie par la CMDB et son alimentation temps réel permet la prévisions d’impacts ou la réalisation de diagnostics précis instantanés (intervention, MCO,… ).La CMDB est un outil puissant de fiabilisation de la production. Son utilisation est une pratique clé pour le responsable des infrastructures
Des millions d'utilisateurs avec Shibboleth : comment ça se passe (bien) ?
La gestion des identités et des accès dans l'Éducation Nationale fait face à plusieurs défis. D'abord technique : les produits déployés dans la trentaine de centres de production ne répondent plus aux besoins, ou sont en fin de vie. Ensuite organisationnel : les cloisonnements académiques sont remis en questions par les mutualisations et il est nécessaire de gérer les identités et les accès à un niveau régional, voire national. Et enfin conjoncturel : il faut ouvrir les SI à de nombreux publics et partenaires, pour la dématérialisation des démarches ("Action Publique 2022"), la saisie des résultats de contrôles continus par les lycées agricoles ou à l'étranger (réforme du baccalauréat).Dans ce contexte, l'Éducation Nationale a engagé la réurbanisation de ses infrastructures de gestion des identités et des accès. Ainsi, un dispositif national, EduConnect, qui s'appuie sur Shibboleth IdP et Shibboleth SP, remplace désormais les dispositifs de gestion des identités et des accès des parents et élèves propres à chaque académie. C'est le point d'entrée unique de tous les parents et les élèves vers tous les services éducatifs, portés par l'Éducation Nationale ou par des tiers (ENT, applications de vie scolaire, ...) Il doit donc être hautement disponible puisqu'on cible plusieurs dizaines de millions d'utilisateurs par jour. De même, les infrastructures de gestion des identités et des accès pour les personnels évoluent, avec toujours la nécessité d'homogénéiser le déploiement sur tous les centres de production.Cette présentation décrit cette démarche et aborde les problématiques rencontrées, notamment sur la haute disponibilité et la montée en charge. L'industrialisation avec Ansible sera également abordée
Retour d'expérience sur la mise en place d'un centre opérationnel de sécurité
In 2019, the Ministry of National Education and Youth (MENJ) and the Ministry of Higher Education, Research and Innovation (MESRI) established an operational security centre. The operational centre for security of Ministerial information systems (COSSIM) operates in so-called synchronous (detection and immediate response) and asynchronous (analysis, qualification, technical measures and feedback) missions.Firstly, we will present feedback on the start-up of this new entity as well as the different phases that were needed to construct it. We will also look at the proposed paths for consolidating interactions between the operational centre and the various security teams in the organisation, with a view to optimising the ability to react to security incidents.Then we will show the role of the COSSIM with the education and research institutions, in particular assistance with managing their incidents. This assistance, which is complementary to that proposed by the RENATER CERT, is focused on qualification and helps with remediation. It is structured around a web-based incident reporting and monitoring service that will enable the RSSI community to connect with COSSIM cyber defence experts.Le ministère de l'Éducation nationale et de la Jeunesse (MENJ) et le ministère de l'Enseignement supérieur, de la Recherche et de l'Innovation (MESRI) se sont dotés en 2019 d'un centre opérationnel de sécurité. Le centre opérationnel de sécurité des systèmes d’information ministériels (COSSIM) intervient sur des missions dites synchrones (détection et réaction immédiate) et asynchrones (analyse, qualification, mesures techniques et retours d’expérience).Nous présenterons tout d'abord un retour d'expérience sur le démarrage de cette nouvelle entité ainsi que les différentes phases qui ont été nécessaires pour sa construction. Nous aborderons également les pistes proposées pour consolider les interactions entre le centre opérationnel et les différentes équipes sécurité de l’organisation, dans un souci d’optimisation des capacités de réaction aux évènements de sécurité.Puis nous montrerons le rôle du COSSIM vis à vis des établissements d‘enseignement et de recherche, notamment de l'assistance pour la gestion de leurs incidents. Cette assistance, complémentaire à celle proposée par le CERT RENATER, est orientée qualification et aide à la remédiation. Elle s’articule autour d’un service Web de déclaration et de suivi des incidents qui permettra à la communauté des RSSI d’entrer en relation avec les experts en cyberdéfense du COSSIM
Le nouveau réseau métropolitain Osiris pour l'E/R à Strasbourg
Osiris is the Strasbourg metropolitan network of Higher Education and Research operated by the University of Strasbourg. It connects 140 buildings distributed among 17 partner institutions.Currently in its third version, Osiris is based on a classic VLAN transport and centralised routing architecture.The deployment of Osiris 4, its successor, is planned for the end of 2019. We decided to initiate a real technological breakthrough by establishing an abstraction layer between the transport network (underlay) and services (overlay). The expected gains, on a 100Gbps core, are to increase reliability, performance and ease of operation while offering new services.Our approach consisted in studying the different products and technologies on the market (MPLS, EVPN/VXLAN, LISP/VXLAN, SPB) with in-depth tests in order to find the solution best suited to our technical and financial needs and constraints.After making the final choice of technology, our next steps will be to plan out the migration operations and build the tools necessary to operate the network.Osiris est le réseau métropolitain Strasbourgeois de l'enseignement supérieur et de la recherche opéré par l'université de Strasbourg. Il raccorde 140 bâtiments répartis entre 17 établissements partenaires.Actuellement dans sa 3ème version, Osiris s'appuie sur une architecture classique de transport VLAN et de routage centralisé.Le déploiement d'Osiris 4, son successeur est prévu à partir de la fin de l'année 2019. Nous avons décidé d'y apporter une véritable rupture technologique en établissant une couche d'abstraction entre le réseau de transport (underlay) et les services (overlay). Les gains attendus sont, sur un coeur 100 Gb/s, d'accroître robustesse, performance et simplicité d'exploitation tout en proposant de nouveaux services.Notre démarche a consisté à étudier les différents produits et technologies du marché (MPLS, EVPN/VXLAN, LISP/VXLAN, SBP) avec des tests approfondis afin de trouver la solution la plus adaptée à nos besoins et nos contraintes techniques et financières.Après un choix technologique définitif, la prochaine étape du projet consiste à préparer les opérations de migration et les outils d’exploitation
Administration système reproductible avec GNU Guix
Have you ever had an update that made your system unusable? An installation that didn’t behave exactly as you expected? The impression that you could do nothing but reinstall everything to return to a correct state? Would you dare to type Ctrl-C in the middle of an upgrade? Have you ever managed to rebuild exactly the same system twice? To understand the difference between two systems?[[https://guix.gnu.org|GNU Guix]] is a transactional package manager that can be used on any existing Linux-based system or as a standalone distribution. We will see that Guix is supported by three main properties to provide all of its benefits: transactional updates, bit-to-bit reproducible packages and a centralized, integrated, declarative stateless configuration mechanism.GNU Guix can also manage temporary environments like VirtualEnv does and long-term environments like apt-get does, in the form of simple profiles, containers, virtual machines or complete operating systems, while maintaining the declarative, reproducible and transactional approach every time. We will see how Guix can help you manage and keep different services and software under control, and how it can help system administrators as well as scientists who want to reproduce the work of their colleagues. Among Guix’s possibilities, we will see how software environments can be obtained in a reproducible fashion, without the inherent opacity of “container images”, while remaining interoperable with Docker or Singularity.N'avez vous jamais eu une mise à jour rendant votre système inutilisable ? Une installation qui ne se comporte pas exactement comme ce que vous attendiez ? L'impression qu'il n'y a rien d'autre à faire que réinstaller pour revenir dans un état correct ? Oseriez-vous lancer un Ctrl-C pendant une mise à jour ? Avez-vous déjà réussi à reconstruire deux fois exactement le même système ? À comprendre la différence entre deux systèmes ?[[https://guix.gnu.org|GNU Guix]] est un gestionnaire de paquets transactionnel qui peut être utilisé sur n'importe quel système basé sur Linux existant ou en tant que distribution indépendante. Nous verrons que Guix s'appuie sur trois propriétés importantes pour fournir tous ses avantages : des mises à jour transactionnelles, des paquets reproductibles bit-à-bit et une configuration centralisée, intégrée, déclarative et sans état.GNU Guix permet aussi de gérer des environnements temporaires à la VirtualEnv ou durables à la apt-get, sous forme de simples profils, de conteneurs, de machines virtuelles ou de systèmes d'exploitations complets tout en gardant à chaque fois l'approche déclarative, reproductible et transactionnelle. Nous verrons comment Guix peut vous aider à gérer et garder sous contrôle différents services et logiciels, et comment cela peut aider les administrateurs systèmes aussi bien que les chercheurs qui veulent reproduire le travail de leurs collègues. Nous verrons parmi les possibilités de Guix, comment obtenir des environnements logiciels de manière reproductible, sans l'opacité inhérente aux « images de conteneurs », tout en restant interopérable avec Docker ou Singularity
Gérer les postes de travail hors réseaux établissement avec Microsoft SCCM
La DSI du rectorat de l'académie de Grenoble gère un parc de près de 2000 postes de travail Windows, environ un tiers de ces machines étant des portables utilisés principalement hors de nos réseaux internes. Avec la rénovation du service de Gestion de Parc (GDP) entamée en 2016, il est apparu nécessaire de se doter d’une solution unique et centralisée permettant de gérer le cycle de vie complet des postes de travail. Un des besoins forts était que le produit puisse réaliser les inventaires matériels et logiciels, le déploiement d’applications et la gestion des mises à jour du système quel que soit le réseau depuis lequel le poste est connecté. Il nous a donc fallu évaluer une solution qui permette nativement une connexion la plus sécurisée possible aux serveurs internes, tout en restant transparente pour l’utilisateur final et facilement administrable par nos équipes.Microsoft System Center Configuration Manager (SCCM) a finalement été choisi puis intégré en 2018, étant le seul produit permettant une gestion quasi-complète des postes connectés sur Internet, à condition qu’ils possèdent chacun un certificat client x509 pour se connecter de manière sécurisée à l’infrastructure académique SCCM depuis l’extérieur.Notre présentation s’attachera à décrire ces besoins ainsi que les raisons qui nous ont poussé à choisir SCCM, avant de présenter l’architecture sécurisée mise en place ainsi que les modalités de certification x509 automatique de l’ensemble du parc de postes de travail grâce à l’IGC de Microsoft, Active Directory Certificates Services (ADCS). Enfin, nous présenterons notre retour d’expérience sur les différents services SCCM fonctionnels hors réseau interne
Le Portail de Services de la Plateforme Nationale de Confiance Numérique du Ministère de l’Éducation Nationale
Digitisation and digital trust are key challenges for the public sector, at the heart of the digital transformation strategy led by the State. The actions undertaken by our Ministry are part of the State reform and the modernisation of public action. In 2014, the business needs of the Ministry of National Education, the Ministry of Higher Education and Research and its institutions gave rise to the Digital Trust National Platform, fully operational for the needs of the Ministry of National Education.The presentation will take place in two stages. Firstly, we will present in detail the resources implemented, the technological solutions, the architecture and the organisation that enable the solution to be implemented to meet the business challenges of our Ministry. We will also address the cost and regulatory aspects related to the project and its operation.We will then discuss the new online service for the entire Education and Research community, an offer developed in regard to the needs expressed by our respective CISO and supported by our National CISO.To conclude, we will present the planned changes to the infrastructure, the work carried out with a view to eIDAS certification in order to meet the legal requirements in terms of signature, to improve the overall service and to develop new uses.La dématérialisation et la confiance numérique sont des enjeux clés du secteur public, au cœur de la stratégie de transformation numérique impulsée par l'Etat. Les actions engagées par notre Ministère s’inscrivent dans la réforme de l’État et de la modernisation de l’action publique. Dès 2014, les besoins métiers du MEN, du MESR et de ses établissements ont donné naissance à la Plateforme Nationale de Confiance Numérique du Ministère de l'Education Nationale, totalement opérationnelle pour les besoins du MEN.La présentation se déroulera en 2 temps. Tout d'abord, nous présenterons en détail les moyens mis en œuvre, les solutions technologiques, l'architecture, l'organisation permettant d'opérer la solution pour répondre aux enjeux métiers de notre ministère. Nous aborderons également les aspects coûts et réglementaires liés au projet et à son exploitation.Ensuite nous parlerons de la nouvelle offre de service en ligne à destination de l'ensemble de la communauté Enseignement et Recherche, offre élaborée au regard des besoins exprimés par nos RSSI respectifs et portée par notre RSSI National.Pour conclure, nous exposerons les évolutions envisagées de l'infrastructure, les travaux menés en vue d’une certification eIDAS afin de répondre aux contraintes légales en mesure de signature, d'améliorer le service global et de développer de nouveaux usages
Remplacer un routeur par un serveur Linux : retour d'expérience des passerelles d'accès à Grid'5000
Grid'5000 is an infrastructure for research in all areas of distributed computing (Clouds, network, HPC, etc.). The platform consists of approximately 700 nodes, made available to researchers, distributed over eight sites interconnected by a 10Gbits/s network provided by Renater. Grid'5000 is interconnected with the Internet using two routers.Until 2018, traditional network equipment was used, but performance of these routers were not adequate to meet the needs of researchers, who download increasingly large data from the Internet (Docker images, large datasets, etc.)Download rates were limited to 150 Mbits/s, far from the Gigabit/s they are supposed to reach. As the estimated costs for replacing them with more efficient equipment were too expensive (between €29k and €38k), we decided to exchange the current equipment for standard Linux servers, operating Debian, at a lower cost.It was a successful gamble: the performance is convincing, we filled the 1G link without any problems and since then we have even switched our Internet access to 10Gbits/s successfully.In addition, using a Linux system simplifies the equipment configuration: management via Puppet, implementation of a proxy cache, development of new network services for researchers, etc.We are therefore giving you a feedback on this migration to Linux servers. We will present the hardware and software configuration used, how the routing and filtering functions is performed, the services we set up that could not have been possible on traditional equipment, as well as the performance achieved.Grid'5000 est une infrastructure pour la recherche en informatique distribuée (Clouds, réseau, HPC…). La plateforme est composée d'environ 700 noeuds, mis à disposition des chercheurs, répartis sur 8 sites reliés entre eux par un réseau 10Gbits/s fourni par Renater. L'interconnexion de Grid'5000 avec Internet est réalisée par 2 routeurs.Jusqu'en 2018, des équipements réseaux traditionnels étaient utilisés mais les performances de ces routeurs n'étaient pas suffisantes pour répondre aux besoins des chercheurs, qui téléchargent des données de plus en plus volumineuses depuis Internet (images Docker, grands jeux de données, ...)Les débits plafonnaient en effet à 150Mbits/s bien loin du Gigabit/s qu'ils sont supposés atteindre. Les devis réalisés pour les remplacer par des équipements plus performant ayant un coût trop élevé (entre 29k€ et 38k€), nous avons fait le pari de changer à moindre coûts les équipements actuels pour des serveurs Linux classiques, fonctionnant sous Debian.Pari réussi : les performances sont convaincantes, nous saturons sans problème le lien 1G et depuis, avons même basculé notre accès internet à 10Gbit/s avec succès.De plus, l'utilisation d'un système Linux simplifie la configuration de l'équipement : gestion via Puppet, mise en place d'un proxy cache, développement de nouveaux services réseaux pour les chercheurs, ...Nous vous proposons donc un retour d'expérience sur cette migration vers des serveurs Linux. Nous présenterons la configuration matérielle et logicielle utilisée, comment sont effectuées les fonctions de routage et de filtrage, les services mis en place qui n'auraient pas pu l'être sur des équipements traditionnels, ainsi que les performances obtenues
Gestion centralisée d'un réseau de sites sous wordpress
In view of the proliferation of WordPress websites: * how can we ensure centralised management of site assets? * how can we update a network of sites in one click? * how can we provide default site templates: personal pages, team pages, researchers, doctoral students, administration?While ensuring the highest level of security and optimum user satisfaction?To guarantee this level of satisfaction, and to support the Systems and Network Administrator, there is a solution that is not well known but relevant: Multi-site technology.A multi-site network is a collection of sites that all share the same WordPress facility. For the administrator, this means implementing a single WordPress installation to manage a network of sites. A single interface for administering everything: users - extensions - themes - updates.The network administrator selects the extensions and themes to make available to network users. Users are therefore not authorised to download extensions themselves. Users' power is strictly limited to creating and updating content.Dans le contexte de la prolifération des sites internet sous Wordpress : * comment assurer une gestion centralisée d'un parc de site ? * comment effectuer les mises à jour d'un réseau de sites en un clic ? * comment fournir des gabarits de site par défaut : pages personnelle, pages d'équipe, chercheurs, doctorants, administration ?Tout en garantissant un niveau de sécurité maximal, et une satisfaction optimale des utilisateurs ?Pour garantir ce niveau de satisfaction, et offrir un confort à l'ASR, il existe une solution méconnue et pertinente : La technologie multisite.Un réseau multisite est une collection de sites qui partagent tous la même installation de WordPress. Pour l'administrateur cela revient à mettre en oeuvre une seule installation de WordPress pour gérer un réseau de sites. Une seule interface pour tout administrer : utilisateurs - extensions - thèmes - mises à jours.L'administrateur du réseau sélectionne les extensions et thèmes qu'il rendra disponible aux utilisateurs du réseau. Ainsi les utilisateurs ne sont pas autorisés à télécharger eux même des extensions. Le pouvoir des utilisateurs est strictement limité à la création et à la mise à jour de contenu