doc updates (full coverage of options)

2012-07-13 23:49:29 +02:00 · 2012-07-13 23:49:29 +02:00 · 0d45b0988f
parent a2c965d691
commit 0d45b0988f
4 changed files with 203 additions and 16 deletions
--- a/help/fr/config-acces-interface.page
+++ b/help/fr/config-acces-interface.page
@ -19,7 +19,17 @@

 <title>Accès à l'interface de configuration</title>

-<p>La configuration du système se fait en accédant à l'interface de configuration de pfSense, accessible par défaut à l'adresse https://adresse-WAN-du-portail:8443/</p>
+<p>La configuration du système se fait en accédant à l'interface de configuration de pfSense, accessible par défaut à l'adresse : <code>https://adresse-WAN-du-portail:8443/</code></p>
+
+<p>Au cas où, l'adresse de l'interface WAN est affichée sur la console de la machine.</p>
+
+<note style="warning">
+<p>Attention, le port 8443 de l'interface WAN est accessible UNIQUEMENT depuis
+le même réseau WAN ! Il faut donc ouvrir son navigateur web depuis une machine
+située dans le même réseau IP que cette interface. Cette limitation est ensuite
+modifiable dans le firewall intégré à UnivNautes.
+</p>
+</note>

 <figure>
  <title>Interface de connexion</title>
--- a/help/fr/config-cp-univnautes.page
+++ b/help/fr/config-cp-univnautes.page
@ -5,7 +5,7 @@
 <info>
 <link type="guide" xref="configuration" group="config-cp-univnautes"/>
 <link type="seealso" xref="configuration-avancee"/>
-  <desc>Vérifier le bon fonctionnement de cp_univnautes.</desc>
+  <desc>Indicateur de fonctionnement du service «cp_univnautes».</desc>
  <revision pkgversion="20120605" version="1.0" date="10-06-2012" status="final"/>
  <credit type="author">
    <name>Thomas Noël</name>
@ -17,7 +17,7 @@
  </credit>
 </info>

-<title>Service cp_univnautes et logs</title>
+<title>Service «cp_univnautes»</title>

 <p>Un widget sur la page d'accueil permet de vérifier que le service cp_univnautes est bien en fonctionnement. Ces informations sont aussi visible via la page Status/Services.</p>

@ -27,4 +27,8 @@
  </media>
 </figure>

+<p>Attention, il est possible que juste après le démarrage de la machine, le service "cp_univnautes" ne soit pas actif. En effet, UnivNautes doit d'abord télécharger un certain nombre de données de configuration sur Internet, dont les métadonnées de la fédération, et cela peut prendre jusqu'à plusieurs minutes (le fichier fait presque 3Mo). Il faut donc <em>patienter un peu</em> avant de penser à une panne.
+
+</p>
+
 </page>
--- a/help/fr/config-parametres.page
+++ b/help/fr/config-parametres.page
@ -5,7 +5,7 @@
 <info>
 <link type="guide" xref="configuration" group="config-parametres"/>
 <link type="seealso" xref="configuration-avancee"/>
-  <desc>Détails de l'onglet Univnautes dans la fenêtre Services/Captive</desc>
+  <desc>Détails des onglets Univnautes dans la fenêtre Services/Captive portal</desc>
  <revision pkgversion="20120605" version="1.0" date="10-06-2012" status="final"/>
  <credit type="author">
    <name>Thomas Noël</name>
@ -35,46 +35,171 @@

 <p>On peut ainsi définir :</p>

+<section id="onglet1">
+<title>Onglet «UnivNautes»</title>
+
+Cet onglet permet la configuration de la partie technique du portail, notamment
+ce qui concerne la fédération SAML.
+
+<section id="options1.1">
+<title>Options «Captive portal: User interface»</title>
+<p>Définition du comportement de base du portail captif.</p>
+
 <listing>
 <title>Default IdP (Entity ID)</title>
-<p>l'entityId du fournisseur d'identité (IdP) par défaut, qui sera accessible en un clic sur la page de connexion.</p>
+<p>l'entityId du fournisseur d'identité (IdP) à présenter par défaut,
+c'est-à-dire qui sera accessible en un clic sur la page de connexion. On y indique
+en général l'IdP de son propre établissement, en supposant que la plupart des utilisateurs
+qui utilisent eduspot en seront issus.</p>
 </listing>

 <listing>
 <title>Redirection delay</title>
-<p>Le délai de redirection de l'utilisateur vers l'URL demandée, après login.</p>
+<p>Le délai de redirection de l'utilisateur vers l'URL qu'il avait demandé au
+départ. Si aucun délai n'est indiqué, après login l'utilisateur restera sur la
+page d'accueil du portail captif ; l'URL qu'il avait demandée sera juste
+affichée et il pourra cliquer dessus. Si le délai est 0, après login l'utilisateur
+sera directement envoyé vers l'URL qu'il avait demandé sans afficher la page
+d'accueil.</p>
 </listing>

 <listing>
 <title>Redirection URL</title>
-<p>Une URL de redirection pré-définie, utilisée à la place de l'URL demandée par l'utilisateur.</p>
+<p>Si une URL est définie, l'utilisateur sera envoyé vers cette URL, et non
+vers l'URL qu'il avait demandé avant connexion au portail captif. Cette URL
+peut contenir des variables au format Python, par exemple
+<code>http://www.univ-test.fr/eduspot?%(ip)s</code> (liste des variables
+disponibles affichée sur la page de configuration).
+</p>
 </listing>
+</section>

+<section id="options1.2">
+<title>Options «SAML 2.0 Service Provider»</title>
+<p>Clés du portail captif, fournisseur de service inscrit dans la fédération.</p>
 <listing>
 <title>SAML Private Key et SAML Signing Key (Certificate)</title>
-<p>La clé et le certificat du portail, fournisseur de service SAML 2.0.</p>
+<p>La clé privée et le certificat (clé publique) du fournisseur de service SAML
+2.0, tel qu'enregistré dans la fédération.</p>
 </listing>
+</section>

+<section id="option1.3">
+<title>Options «SAML 2.0 Local Identity Provider»</title>
 <listing>
-<title>MetadataURL</title>
-<p>L'URL des métadonnées de la fédération choisie, accompagnée des certificats permettant de les valider (Metadata CA (https certificate issuer)) et Metadata certificate.</p>
+<title>Enable local IdP</title>
+<p>UnivNautes intègre un petit fournisseur d'identités SAML 2.0 local (local
+IdP) qui peut être ajouté aux IdP de la fédération, par exemple pour permettre
+à des utilisateurs de passage d'utiliser le service. Pour activer cet IdP
+local, il faut cocher la case «Enable local IdP» puis configurer les clés
+ci-dessous.
+</p>
 </listing>
+<listing>
+<title>Local IdP SAML Private Key / Local IdP SAML Signing Key (Certificate)</title>
+<p>La clé privée et le certificat (clé publique) du fournisseur d'identité SAML
+2.0.</p>
+</listing>
+</section>

+<section id="option1.4">
+<title>Options «Federation: metadata download»</title>
+<p>Ces options définissent la fédération utilisée. Pour ce qui concerne Renater, voir <link href="https://services.renater.fr/federation/technique/metadata">https://services.renater.fr/federation/technique/metadata</link>.</p>
+<listing>
+<title>Metadata URL</title>
+<p>L'URL des métadonnées de la fédération choisie.</p>
+</listing>
+<listing>
+<title>Metadata CA (https certificate issuer)</title>
+<p>Certificat de l'autorité qui a délivré le certificat x509 du serveur (https)
+qui délivre les métadonnées</p>
+</listing>
+<listing>
+<title>Metadata certificate</title>
+<p>Certificat permettant de vérifier la signature des métadonnées elles-mêmes.</p>
+</listing>
+</section>
+
+<section id="option1.5">
+<title>Options «Federation: IP whitelist, for IdPs»</title>
+<p>Les fournisseurs d'identités doivent être joignables par les clients même
+quand le portail captif est "fermé". Pour cela, on fourni une liste blanche
+d'adresses IP à ouvrir. Pour Renater, voir <link
+href="https://services.renater.fr/mobilite/eduspot/whitelist">https://services.renater.fr/mobilite/eduspot/whitelist</link>.</p>
 <listing>
 <title>IP whitelist URL</title>
-<p>L'URL de whitelist d'IP eduspot, accompagnée du certificat permettant d'en vérifier le serveur émetteur (IP whitelist CA (https certificate issuer)).</p>
+<p>L'URL de whitelist d'IP eduspot</p>.
+</listing>
+<listing>
+<title>IP whitelist CA (https certificate issuer)</title>
+<p>Certificat de l'autorité qui a émis le certificat du serveur https qui délivre la liste blanche.</p>
 </listing>
-
 <listing>
 <title>Whitelist statics IP</title>
-<p>Une whitelist d'IP additionnelle, pour permettre de contacter des IdP absents de la whitelist IP fournie par eduspot.</p>
+<p>Une whitelist d'IP additionnelle, pour permettre de contacter des IdP
+absents de la whitelist IP fournie par eduspot. Par exemple, des IdP de test
+ou des IdP ajoutés (voir «Local metadata» ci dessous).</p>
 </listing>
+</section>

+<section id="option1.6">
+<title>Options «Federation: local metadata (SPs and IdPs)»</title>
 <listing>
 <title>Local metadata</title>
-<p>Des métadonnées additionnelles, pour ajouter des IdP locaux.</p>
+<p>Des métadonnées additionnelles, pour ajouter des fournisseurs d'identités
+(IdP) utilisables par le portail captif, pour des fournisseurs de service (SP)
+utilisables par l'IdP local intégré à UnivNautes.</p>
 </listing>
+</section>

+<section id="option1.7">
+<title>Options «Discovery Service»</title>
+<listing>
+<title>IdP Discovery Service endpoints (read)</title>
+<p>Liste d'URL «IdP Discovery Service» à contacter pour déterminer l'IdP préféré de l'utilisateur. Vous pouvez en indiquer plusieurs, mais pas trop : ces services seront tous contactés par chaque utilisateur qui affichera la page de connexion. Attention à bien ajouter les IP correspondantes dans la liste blanche locale (voir ci-dessus).</p>
+</listing>
+<listing>
+<title>IdP Discovery Service endpoints (write)</title>
+<p>Liste d'URL «IdP Discovery Service» à contacter pour <em>enregistrer</em>
+l'IdP préféré de l'utilisateur (implémentant le protocole DiscoJuiceReadWrite).
+Vous pouvez en indiquer plusieurs, mais pas trop : ces services seront tous
+contactés par chaque utilisateur qui se connectera. Attention à bien ajouter
+les IP correspondantes dans la liste blanche locale (voir ci-dessus).</p>
+</listing>
+</section>
+
+<section id="option1.8">
+<title>Options «Blacklists»</title>
+<listing>
+<title>User blacklist</title>
+<p>Liste de «nameId|entityId» à interdire, entityId indiquant l'IdP et nameId
+le pseudonyme de l'utilisateur renvoyé par ces IdP.</p>
+</listing>
+<listing>
+<title>MAC blacklist</title>
+<p>Liste d'adresses Ethernet (MAC) à interdire, une adresse par ligne.</p>
+</listing>
+</section>
+
+</section><!-- onglet -->
+
+<section id="onglet2">
+<title>Onglet «UnivNautes UI» (User Interface)</title>
+
+<section id="option2.1">
+<title>Options «Mobile, smartphone and tablet interface»</title>
+<listing>
+<title>Mobile detection</title>
+<p>Active la détection des clients mobiles (smartphones, tablettes, etc.) et affiche une interface spécifique pour ceux-ci.</p>
+</listing>
+<listing>
+<title>Force mobile interface</title>
+<p>Affiche l'interface mobile pour tous les clients.</p>
+</listing>
+</section>
+
+<section id="option2.2">
+<title>Options «Texts (HTML)»</title>
 <listing>
 <title>Header</title>
 <p>Un texte à ajouter en haut des pages (on peut indiquer du code HTML).</p>
@ -82,7 +207,9 @@

 <listing>
 <title>Footer</title>
-<p>Un texte à ajouter en bas de page, toujours en HTML. A utiliser pour placer le logo de l'université à côté des logos en bas de la page (note : ajouter d'abord le logo via l'onglet File manager).</p>
+<p>Un texte à ajouter en bas de toutes les pages, toujours en HTML. À utiliser
+par exemple pour placer le logo de l'université à côté des logos en bas de la
+page (ajouter d'abord le logo via l'onglet File manager).</p>
 </listing>

 <listing>
@ -92,7 +219,53 @@

 <listing>
 <title>Local informations</title>
-<p>Texte en bas de la page d'accueil (vide par défaut).</p>
+<p>Texte en bas de la page d'accueil (vide par défaut), affiché après la
+réussite de l'authentification, au retour de l'IdP.</p>
 </listing>
+</section>
+
+<section id="option2.3">
+<title>Options «Email form configuration (/mail)»</title>
+<p>Ces options permettent d'activer un formulaire disponible sur l'URL
+<code>https://eduspot.univ-xxx.fr/mail</code> destiné aux utilisateurs qui
+veulent signaler un soucis avec l'utilisation d'UnivNautes. Pour que le
+formulaire soit activé, il faut indiquer au moins un destinataire (Recipient)
+et un serveur SMTP à contacter (Host).</p>
+<listing>
+<title>Possible subjects</title>
+<p>Liste de sujets de pannes classiques que l'utilisateur peut sélectionner dans le formulaire.</p>
+</listing>
+<listing>
+<title>Recipient</title>
+<p>Courriel du destinataire.</p>
+</listing>
+<listing>
+<title>Host</title>
+<p>Nom du serveur SMTP à utiliser. Si vide, le système est désactivé.</p>
+</listing>
+<listing>
+<title>Port</title>
+<p>Port de connexion sur le serveur SMTP (587 par défaut)</p>
+</listing>
+<listing>
+<title>User</title>
+<p>En cas d'authentification SMTP, nom d'utilisateur à utiliser. Si vide, aucune authentification ne sera tentée.</p>
+</listing>
+<listing>
+<title>Password</title>
+<p>En cas d'authentification SMTP, mot de passe de l'utilisateur ci-dessus.</p>
+</listing>
+<listing>
+<title>Use TLS</title>
+<p>Cocher si la communication avec le serveur SMTP doit utiliser TLS (connexion
+chiffrée), ce qui est en général nécessaire en cas d'authentification.</p>
+</listing>
+<listing>
+<title></title>
+<p></p>
+</listing>
+</section>
+
+</section><!-- onglet 2 -->

 </page>
--- a/help/fr/figures/onglets.png
+++ b/help/fr/figures/onglets.png