Les démarches concrètes d'intégration du CRU dans RENATER sont sur le point de se terminer. Le CRU est né en 1990 pour accompagner le démarrage de RENATER, coordonner les services réseau dans les établissements d'enseignement supérieur, assurer des fonctions de veille et de formation ainsi que représenter l'Enseignement Supérieur dans différentes instances. En 2011, l'effectif de l'équipe CRU est de 12 personnes. Les missions assurées se sont développées tout en restant finalement proches de celles définies au moment de sa création.

Si le CRU est surtout connu pour les services qu'il a progressivement déployés, comme Universalites, SourceSup, eduroam, TCS, Fédération d'identités, CORI, Métalistes, ... , d'autres noms comme Sympa, SupAnn, JRES, TutoJRES, JRSSI sont également, pour beaucoup, synonymes de CRU.

La plateforme Universalistes propose l'hébergement de listes et également l'hébergement de serveurs virtuels de listes. Les outils disponibles sont spécifiques à des listes de diffusion ou, selon les cas, orientés vers une palette d'outils collaboratifs à destination de groupes ou de communautés : wiki, foodle et en préparation outils de sondage et outils de communication synchrone. La forge sourcesup propose tous les outils classiques d'une forge. Elle dispense chaque porteur de projet de l'installation et de l'administration de ces outils. Ces services en mode hébergé ne sont pas les seuls proposés par le CRU.

Sous responsabilité administrative RENATER, nous opérons trois services qui sont : la partie française de l'infrastructure d'accès sécurisé à l'internet pour les utilisateurs nomades eduroam, pour les établissements d'enseignement supérieur le service TCS qui permet de délivrer gratuitement des certificats serveurs reconnus par défaut par les navigateurs en usage et, depuis peu, des certificats de personnes ; enfin la fédération d'identité. Le CRU a été à l'origine de ces services et l'équipe continue à jouer un rôle important dans leur opération.

Nous avons développé et nous maintenons l'annuaire des correspondants informatiques CORi. C'est le référentiel du ministère, sur lequel plusieurs autres services sont basés, en particulier metalistes qui permet au ministère de joindre au niveau national tous les personnels d'un corps donné.

Au delà de tous ces services, nous assurons une veille active dans de nombreux domaines. Cette veille n'est pas gratuite, elle se traduit concrètement pour notre communauté par des référentiels, des documentations et des formations. Les recommandations d'annuaire SupAnn sont l'exemple même d'une collaboration fructueuse d'experts que nous organisons au sein de notre communauté. Un autre exemple va très bientôt se concrétiser au travers des résultats du projet PSSI générique qui dans le domaine de la SSI, viendra aider la communauté des RSSI que nous animons avec l'appui de la FSSI en leur fournissant une liste de diffusion et un intranet que nous alimentons régulièrement. Les JRSSI sont un temps fort pour cette communauté. Ce travail de veille alimente aussi directement les services que nous opérons. Ainsi, par exemple, les services TCS, fédération d'identité, eduroam sont directement issus de notre participation dans différents groupes de travail internationaux (TERENA, GEANT, INTERNET2).

L'information et la formation font partie de nos préoccupations constantes. Nous avons eu un rôle déterminant dans la genèse et l'organisation des JRES depuis 1995. Les tutoJRES et JRES 2011 ne font pas exception. Nous intervenons dans beaucoup d'autres formations (CiREN, CUME, CSIESR, LOGCRI, JTR, journées fédération, formations Sympa, etc.). Quand le besoin s'en fait sentir, nous en organisons nous même. En effet, la formation est au cœur de nos missions, elle est aussi un moyen de vous rencontrer et de comprendre ce que vous attendez de nous.

En outre, nous répondons favorablement à de nombreuses sollicitations des acteurs de l'enseignement supérieur et de la recherche qui font appel à notre expertise technique ou à notre connaissance de l'informatique des établissements d'enseignement supérieur. C'est en particulier le cas de l'AMUE et de notre ministère à travers le COPIL-SI-ESR (COmité de PILotage du Système d'Information pour l'Enseignement Supérieur et la Recherche). Bien entendu, RENATER nous a aussi souvent sollicité pour des groupes de travail ou des appels d'offres. A la demande des représentants de l'enseignement supérieur au CA de RENATER, nous défendons les intérêts spécifiques de cette communauté au sein de GCS (Groupe de Consultation sur les Services de RENATER).

Tout ce travail ne serait pas complet si nous ne diffusions pas certains logiciels que nous avons développés. Le serveur de listes de diffusion Sympa est notre réalisation logicielle la plus connue. Il est devenu le serveur de listes de référence. La quasi totalité de la communauté RENATER l'a choisi pour sa richesse fonctionnelle et son adaptation à nos besoins. Il en va de même dans d'autres sphères françaises ou étrangères : administrations, réseaux académiques, hébergeurs, sociétés, organisations non gouvernementales etc.

Les évolutions du ministère de tutelle mais aussi le passage à l'autonomie des établissements d'enseignement supérieur et de recherche ont conduit à une réflexion sur le pilotage des activités du CRU et son rattachement à un opérateur de l'Etat pour développer et assurer le pérennité de ses actions. Dans la pratique, l'université de Rennes 1 reste l'établissement hébergeant les personnels basés à Rennes. Une convention tripartite entre le ministère de la recherche (MESR-DGESIP), l'Université de Rennes 1 et le GIP RENATER définit les modalités de mise en musique du rattachement à RENATER, ainsi que les missions générales et les moyens qui y sont consacrés.

Cette nouvelle étape doit être l'opportunité de déployer les services existants auprès de l'ensemble de la communauté RENATER et pas seulement aux établissements d'enseignement supérieur et de recherche. Cet ensemble de services viendra compléter de façon cohérente l'offre de services actuelle du GIP RENATER.

Eduroam veut proposer un moyen d'accès à l'Internet indépendant de l'endroit où se trouve l'utilisateur. Malheureusement il y a un aspect technique qui en reste dépendant : le chiffrement du canal radio retenu par chaque site allant du WEP dynamique au WPA2-AES.
Le client WiFi de l'utilisateur doit s'adapter à ce chiffrement. Or cette adaptation n'est pas toujours automatique et peut demander une intervention de l'utilisateur alors qu'il est en droit d'espérer un fonctionnement automatique quelque soit l'endroit où il se trouve. Les contraintes technologiques à l'origine de ces situations disparates ayant pratiquement disparu, il a été décidé d'instaurer un profil dit standard auquel chaque site eduroam français devra se conformer :

• le ssid “eduroam” (en minuscules) doit être diffusé
• le chiffrement WPA2-AES (réputé le plus sûr) doit être proposé

Ce profil est déjà recommandé au niveau européen et sera bientôt imposé à tous les pays.
L'opération de convergence a débuté en octobre 2010, date à laquelle seuls 64 établissements y étaient conformes. Actuellement plus de 120 établissements y sont conformes plus une dizaine à qui il ne manque que la diffusion du ssid. Il ne reste plus que 5% des établissements ne répondant pas aux critères et qui n'apparaissent plus comme sites eduroam en attendant leur adaptation.

Conséquences pour les nomades :

• un fonctionnement automatique, une fois la configuration pour ce profil effectuée,
• et la disparition du principal grief qui était fait à eduroam.

Le projet eduspot vise à encadrer la mise en oeuvre de portails captifs dans les établissements afin de construire une infrastructure nationale comparable à eduroam. Eduspot est un ensemble de bonnes pratiques (utilisation d'un SSID commun, ouverture de ports standards, reconnaissance de tous les fournisseurs d'identités). Les portails captifs utilisent la Fédération Education-Recherche pour l'authentification des utilisateurs.

Cette solution est complémentaire au service eduroam, lire http://www.cru.fr/services/eduspot/articulation_eduroam

Plusieurs projets régionaux comme l'UNR Paris Ile-de-France et le PRES de Lyon ont choisi de participer au projet eduspot.

Eduspot : https://www.cru.fr/services/eduspot/index

Depuis novembre 2010, le service TCS s'est enrichi d'une offre complémentaire de délivrance de certificats de personne. Outre l'authentification, ces certificats sont utilisables pour la signature ou le chiffrement de courriel. Les certificats sont délivrés via un portail spécifique auquel on accède après s'être authentifié auprès du fournisseur d'identité de son établissement qui doit être inscrit à la Fédération d'identité Education-Recherche. Comme pour les certificats serveur, la souscription au service est soumis à la signature d'une lettre d'engagement énumérant les différentes conditions d'accès. Plus d'information sur le site : www.renater.fr

De nombreux éditeurs ayant négocié des accords tarifaires avec le Groupe Logiciel, souhaitent faire des offres de téléchargements gratuits à destination des étudiants voire des personnels de l'enseignement supérieur ou de la recherche. La problématique de l'identification des personnes cibles de leurs offres fait souvent obstacle à la réalisation concrète de leur projet. Déployer un fournisseur de services pour la fédération d'identités Education-Recherche est assurément une bonne solution, mais cela nécessite une appropriation de la technologie dans laquelle ils ne sont pas tous prêts à s'investir.

Fort de ce constat, le CRU a déployé un proxy d'authentification, baptisé logiciel@domicile, remplissant deux fonctions :

• C'est un annuaire des offres, leur donnant ainsi plus de visibilité. Il s'inscrit comme fournisseur de service auprès de la Fédération Education-Recherche.
• C'est un service d'authentification des visiteurs, garantissant ainsi leur appartenance à notre communauté. Il agit comme un fournisseur d'identité auprès des éditeurs.

Ce nouveau service a été livré au groupe logiciel qui se charge de le promouvoir auprès des fournisseurs pour enrichir l'offre de logiciels ainsi qu'auprès des établissements qui voudraient le mentionner parmis les ressources pour les étudiants. Le CRU pour sa part maintien la plateforme technique et assiste les fournisseurs qui auraient des difficultés techniques.

Pour visiter le site : https://lad.education-recherche.fr

Nous enrichisssons le système de gestion des codes sources proposé sur la plate-forme SourceSup. A l'heure actuelle, le logiciel utilisé est un système de gestion centralisé : Subversion. Nous y intégrons un gestionnaire de sources décentralisé ou réparti : Git, logiciel libre créé par Linux Torvalds. Nous offrons ainsi la possibilité de choisir entre Subversion et Git pour les dépôts de projets.

Git est un gestionnaire de sources réparti permettant à chaque utilisateur de gérer son propre dépôt local dans lequel il peut faire toutes les actions inhérentes à un gestionnaire de sources sans devoir être connecté à un dépôt distant et central en permanence. Cependant, la plate-forme Sourcesup permettra d'avoir un dépôt de référence sur lequel tous les développeurs viendront poser (push) et fusionner (merge) les évolutions de leur dépôt local. Git n'offrant pas de base une gestion de droits affinée pour autoriser ou interdire l'accès à certains dépôts (tout ou partie), nous lui associons le projet open source “Gitolite” d'hébergement de dépôts Git avec gestion des droits d'accès. Il le fait, non seulement par dépôt, mais aussi par branche et par tag. Cette gestion d'accès se base sur le protocole SSH et des clés asymétriques (Gitolite utilise les clés publiques ssh pour l'ajout d'utilisateurs).

Vous pourrez naviguer dans un dépôt git via une interface web « Gitweb ».

Pour plus de détails sur Git, vous pouvez consulter le site : http://git-scm.com/

Le service de planification du CRU basé sur Foodle a été lancé en juin 2010. Il à bénéficié d'une mise à jour vers la version 3 début mars 2011 apportant, entre autres évolutions, la possibilité de recevoir des invitations compatibles avec les agendas électroniques pour les dates retenues. Cette mise à jour apporte aussi la possibilité de supprimer un Foodle, fonctionnalité absente dans l'application d'origine.

Près de 1100 Foodle ont été créés depuis le lancement du service et nous enregistrons environ 400 consultations par jour. Aujourd'hui, 540 Foodle sont actifs, ils ont reçus environ 2000 réponses.

Depuis peu le service est intégré directement dans certains ENT, un peu plus de 2% des consultations se font par ce biais.

Pour en savoir plus : http://www.cru.fr/documentation/foodle/index

Dernier né de la famille 6.x, Sympa 6.1.5 vient de sortir. Il fournit les fonctionnalités suivantes :

• Personnalisation des messages : il est désormais possible de personnaliser les messages adressés aux listes pour chaque utilisateur en employant des données individuelles. Ces données sont associées à chaque utilisateur sous la forme d'attributs personnalisés.
• DKIM : Sympa supporte intégralement la norme DKIM, définie par la RFC 4871. Si cette fonction est activée, Sympa signera les messages de services automatiquement. Les messages de listes seront signés en fonction de la politique DKIM du serveur de l'expéditeur du message.
• Exclusion : il est possible de se désabonner de listes constituées automatiquement via des sources de données externes.
• Gestion globale d'abonnements : l'utilisateur peut désormais suspendre tous ses abonnements via une interface centralisée. Il peut les réactiver par la suite. Cela évite l'embouteillage de boîtes mail pendant les vacances.

Pour plus de détails, nous vous invitons à lire les notes de version (en anglais) sur le site de Sympa.

L'objectif de Sympa 6 est de permettre de déployer des serveurs Sympa hautement disponibles et résistants aux pics de charge. De profondes modifications sont en cours et seront introduites progressivement. Il est déjà possible d'annoncer certaines des fonctionnalités à venir :

• Version 6.2, disponible en beta dans le courant du printemps : upgrade simplifié quelque soit le SGBD utilisé, statistiques de listes
• Version 6.3, actuellement en développement, qui passera en alpha à la fin de l'été : spools en bases de données, données réparties, haute disponibilité, cluster Sympa.

À suivre !

En principe tout établissement doit élaborer et mettre en application sa propre PSSI (Politique de Sécurité des Systèmes d'Information). Une PSSI est un document, validé par la Direction, qui précise, entre autres, les enjeux liés à la sécurité de l'information et énonce les règles de sécurité organisationnelles et techniques applicables au système d'information de l'établissement. Il est important de pouvoir s’y référer lors de toute mise en œuvre impactant le SI (choix technique, convention avec des partenaires, intégration de logiciels, infogérance, ...) ou lors de rappels de bonnes pratiques dans l'usage des systèmes d'information.

Afin d'aider les établissements d'enseignement supérieur et de recherche dans leur démarche d'élaboration et de mise en œuvre d'une PSSI, le CRU et un groupe de sept établissements, avec l'aide de la société FIDENS ont mené le projet dit “PSSI générique”, en travaillant tout au long de l'année 2010 à l'élaboration d'une PSSI générique adaptée au contexte enseignement supérieur et recherche. Cette PSSI générique est accompagnée d'un ensemble d'outils : un référentiel documentaire et un outil d'aide à l'analyse de risque, en version alpha, développé par le prestataire.

Ce travail devrait permettre à un établissement d'écrire sa PSSI en fonction de sa maturité SSI (élevée, moyenne, limitée) :

• soit en reprenant la PSSI générique et en la complétant pour l'adapter à son contexte;
• soit en reprenant l'analyse de risque générique réalisée au sein des sept établissements pilotes.

Cet ensemble d'outils sera disponible d'ici la fin du mois d'avril 2011 à travers l'intranet des RSSI et bénéficiera d'améliorations éventuelles proposées par la communauté des RSSI et mises ensuite à leur disposition.

Il s'agissait de la deuxième journée de ce type, organisée avec l'aide de l'UNR Paris Île-de-France et l'Université Paris Diderot. La première partie de la journée a été consacrée aux évolutions de l'infrastructure nationale de fédération d'identités : la Fédération Education-Recherche. L'après-midi était l'occasion de partager des retours d'expérience ou des aspects technologiques innovants.

L'intérêt des établissements (120 participants) et les nombreuses thématiques abordées nous invitent à organiser cet événement plus fréquemment.

Les présentations sont disponibles en ligne https://federation.renater.fr/formations/journee-federation-2011

Pour leur 5ème édition, les journées techniques réseaux ont traité du thème de la téléphonie sur IP (technologies, solutions, services et retours d'expérience sur les déploiements). Elles se sont déroulées du 10 au 12 janvier à Lyon, sur le campus de la Doua, où 80 personnes se sont déplacées pour assister aux conférences.

Cette année, nous avons choisi de donner la parole à différents industriels du secteur : constructeurs de solutions (libres ou propriétaires), intégrateurs, cabinets d'études, opérateurs, afin qu'ils nous présentent leurs produits et/ou leurs atouts. Toutefois, ce sont bien entendu les retours d'expérience des collègues qui ont eu la part belle, en fournissant le plus d'éléments pour réussir sa migration vers la ToIP. Les solutions existantes (Full IP, hybrides, externalisées), la sécurité, l'organisation du réseau, les protocoles, les services associés ont été abordés sous différents angles : laboratoire, réseau de campus universitaire, réseau régional, réseau national. Enfin, les services d'interconnexion d'IPBX n'ont pas été oublié avec notamment la présentation du projet d'inter connexion SIP entre sites du NREN portugais et surtout du service d'interconnexion d'IPBX proposé par RENATER.

Sur le site web de la conférence http://www.cru.fr/formations/jtr/2010 vous trouverez les diapos des présentations. Certains enregistrements vidéos, dorénavant hébergés sur le serveur vidéo du CRU, sont également disponibles au format MP4. N'hésitez pas à utiliser ces ressources et à les faire connaître à vos collègues, pour vous aider dans la rédaction de vos CCTP.

Le dernier tutoJRES a eu lieu le 23 mars 2011. Il était consacré aux plateformes de messagerie collaborative (zimbra, Exchange, Sogo, annonce du projet RENATER, ...). L'affluence prouve, s'il en était besoin, que le remplacement des architectures de messagerie est en cours dans un grand nombre d'établissements. Ces changements sont poussés par les évolutions techniques (prise en compte des smartphone), mais aussi par des réorganisations internes.

Les archives de ce tutoJRES (supports et vidéos) sont en ligne sur http://www.jres.org/tuto/tuto15:index.

• 19-20 avril 2010 : mise en oeuvre de Shibboleth http://www.renater.fr/spip.php?article978, formation CiRen, Montpellier
• mai 2010 (date à préciser) : mise en oeuvre de Shibboleth, formation URN IdF, Paris

Nous envisageons de mettre en place une formation de déclinaison de la PSSI générique à la rentrée 2011-2012. Si vous êtes intéressé par ce type de formation vous pouvez nous contacter à l'adresse gt-pssi@cru.fr

Le CRU participe à plusieurs groupes de travail TERENA, notamment les groupes TF-EMC2 et TF-MNM. Ces deux groupes ont des activités importantes puisqu'ils sont respectivement à l'origine du développement de la fédération d'identités, du service de certificat TCS et du déploiement d'eduroam.

La dernière réunion a pu être organisée en février dernier, à Lyon, avec l'aide du PRES de Lyon. Parmi les thématiques abordées au cours de ces trois journées : les modèles de confédération, l'articulation fédération et réseaux sociaux, la problématique de LoA (Level of Assurance) des identités, DNSSec, monitoring eduroam, etc.

Les comptes-rendus et présentations sont publiques, sur le site des groupes TF-EMC2 et TF-MNM.

Rendez-vous à Prague pour la conférence TNC2011 : https://tnc2011.terena.org/