Le blog des JRES

En plus d'une session consacrée à la gestion d'identités durant les JRES, une BOF a eu lieu sur le même sujet. L'objectif était d'échanger sur les pratiques et interrogations de chacun dans ce domaine.

Les premières questions ont porté sur les différentes technologies de fédération d'identités (OpenId, Shibboleth, etc.) et la difficulté à y voir clair dans ce foisonnement. L'écart entre les pré requis en terme de gestion d'identités pour participer à une fédération et la réalité actuelle de certains établissements a été souligné : les pratiques de gestion d'identités entre les établissements varient beaucoup, les tutelles ne sont pas toujours sensibles ou assez directives sur ce thème. De fait un intervenant a fait remarqué que la fédération du CRU n'imposait pas de règles précises en terme de gestion d'identités, et se contentait du fait que des règles écrites existent en interne dans l'établissement.

Les échanges ont ensuite porté sur les pratiques de différents établissements dans leurs processus de gestion interne des identités : réattribution ou non des identifiants, gestion des différentes fonctions d'une même personne, intégration de différents SI dans un PRES, etc.

Certains établissements ont annoncé utiliser des identifiants opaques, d'autres des identifiants signifiants. L'utilisation d'identifiants opaques permet de ne jamais réallouer un identifiant à une autre personne. Cette problématique de réallocation a orienté les discussions vers la durée de vie des comptes. Dans certaines universités, les comptes des anciens étudiants sont maintenus pendant 10 ans. Certains systèmes de gestion d'identités tentent d'éviter les doublons, lorsque des personnes réapparaissent dans le système d'information. La croissance des annuaires LDAP a ensuite été naturellement abordée, compte-tenu de la problématique de croissance du nombre de comptes. Cette croissance des annuaires LDAP peut poser des problèmes de performances.

À la suite du BoF, le CRU a créé la liste de diffusion gestion-identites@cru.fr où les échanges entamés en présentiel ont pu se poursuivre par mail. La page d'accueil de la liste : http://listes.cru.fr/sympa/info/gestion-identites.

J'avais initié la démarche à Marseille. Chaque jour, les collègues restés à Rennes recevaient des photos de la journée. Strasbourg a été l'occasion de leur envoyer chaque jour un compte-rendu sous forme de présentation PDF sur les conférences et les “à-coté”. Le plus notable a été celui concernant ce que l'on pouvait gagner aux Jres. Avez vous été frappé comme moi de la prolifération des tombolas et goodies cette année ? Je suis passé sur chaque stand : .le résultat de ma quête est là

Par ailleurs, plusieurs collègue se sont joints à moi pour partager les cadeaux participants. Le tirage au sort a permis de faire bénéficier nos collègues restés à Rennes de : deux malettes JRES, 2 blocs de foie gras de canard, un paquet de café, une bouteille d'Alsace, une bouteille de vin aux épices, une casquette Renater, et la trés “collector” cravate JRES portée par Serge Aumont.

JRES a également vu la tenue d'un certain nombre de BoF (réunions informelles). Par exemple, celle sur la documentation du travail quotidien d'ingénieur système a permis un grand défoulement car le cadre relativement informel de la BoF permettait à tout le monde d'avouer ce qu'il faisait... qui était parfois loin des Bonnes Pratiques.

Les Wiki semblent avoir le vent en poupe, la majorité de ceux qui ont parlé en utilisent pour la documentation quotidienne. Mais deux ou trois citaient aussi les outils de gestion de tâches comme Request Tracker. Un participant s'est inquiété de ce que l'on ose laisser la documentation sur un Wiki, que « n'importe qui pouvait modifier » et où il n'y avait pas de validation mais cette inquiétude ne semblait pas partagée.

Pour les images et plans du réseau, la solution plébiscitée semble être de tracer le plan ou le schéma sur un tableau blanc, de le photographier avec un appareil numérique et de mettre le JPEG sur le Wiki. Bref, on est loin de SVG et des méta-données Un participant fait la même chose pour son plan de câblage : on photographie les locaux techniques (cela a nécessité l'achat d'un appareil spécial, à grand angle) et cela tient lieu de plan.

Parmi les outils plus lourds mentionnés, citons Alfresco (http://www.alfresco.com/) ou Nuxeo (http://www.nuxeo.com/).

La question du stockage des mots de passe a fait l'objet d'un débat animé, avec des solutions techniques (des logiciels qui stockent les mots de passe dans une base chiffrée) ou bien humaines (réunion physique bimestrielle où chacun s'assure qu'il a bien la liste des mots de passe à jour) en passant par le classique papier dans le coffre.

On a aussi évidemment parlé des processus humains (celui qui ne documente pas, celui qui s'obstine à utiliser du texte brut alors que les autres font des mickeys qui bougent ou, inversement, celui qui s'obstine à n'utiliser qu'Excel alors qu'aucun de ses collègues n'a MS Office). La tonalité générale était relativement optimiste : on arriverait toujours, à force d'insistance et d'exemples édifiants, à obtenir que les informaticiens documentent (tenir la documentation à jour restant le plus gros problème, le second étant la capacité de la documentation à être comprise par d'autres que son auteur).

Pendant la durée de la conférence, le réseau sans-fil a rencontré un grand succès. Vous avez été plus de 800 à vous connecter sur les 19 bornes installées (17 prévues, 2 ajoutées au cours de la conférence). Dans le détail :

• 86 utilisateurs Eduroam distincts
• 192 utilisateurs via 802.1X (dont 10 exposants)
• 638 utilisateurs via le portail captif (dont 93 exposants)

Certains utilisateurs ont utilisé les deux modes d'authentification (802.1X et portail captif).

Au total, 881 machines (adresses MAC) différentes ont généré du trafic, qui se décomposent en :

• 583 chipsets Intel
• 149 chipsets Apple
• 61 chipsets Gemtek

Chaque utilisateur s'est connecté en moyenne 7h30 (sur toute la durée de la conférence).

Ce type d'info est accessible sur http://www-crc.u-strasbg.fr/actus/

Au moins une personne reproche de façon véhémente au comité de programme d‘avoir “offert une tribune à Google ” et d‘avoir donné le sentiment de soutenir cette offre commerciale. Elle ajoute “C‘est destructeur pour les CRI“.

En effet, il y a là un danger pour une activité historique des CRI : administrer la messagerie. Cependant, ce qui me semble le plus dangeureux serait d‘ignorer l‘existence de cette offre. Je ne doute pas que les commerciaux de Google fassent du lobying auprès des directions de nos établissements. A ce jour, aucun n‘a semble-t-il cédé aux sirènes du gratuit. Si demain une brèche s‘ouvre, combien d‘établissements vont s‘y engouffrer ?

Faut-il se préparer à résister ou prendre les devant ? Comment supporter la comparaison sur la qualité de service ? Est-il suffisant de brandir les arguments que nous connaissons sur la sécurité ? D‘ailleur sont-ils fondés ?

Que dire du rapport qualité prix (avec la gratuité, pas facile d‘aborder le sujet sereinement) ? Peut-on faire confiance au modèle économique présenté par une société dont la raison sociale est de vendre des “clics de cerveaux disponibles” ?

Bref, cette présentation pose beaucoup de questions et c‘est justement pour cela que nous avons pensé qu‘elle avait sa place dans nos JRES.