264 lines
9.4 KiB
Plaintext
264 lines
9.4 KiB
Plaintext
<page xmlns="http://projectmallard.org/1.0/"
|
|
type="topic" style="task"
|
|
id="config-parametres" xml:lang="fr">
|
|
|
|
<info>
|
|
<link type="guide" xref="configuration" group="config-parametres"/>
|
|
<link type="seealso" xref="configuration-avancee"/>
|
|
<desc>Détails des onglets Univnautes dans la fenêtre Services/Captive portal</desc>
|
|
<revision pkgversion="20120605" version="1.0" date="10-06-2012" status="final"/>
|
|
<credit type="author">
|
|
<name>Thomas Noël</name>
|
|
<email>tnoël@entrouvert.com</email>
|
|
</credit>
|
|
<credit type="maintainer">
|
|
<name>Pierre Cros</name>
|
|
<email>pcros@entrouvert.com</email>
|
|
</credit>
|
|
</info>
|
|
|
|
<title>Paramètres Univnautes</title>
|
|
|
|
<figure>
|
|
<title>Menu services</title>
|
|
<media type="image" mime="image/png" src="figures/services_cp.png" >
|
|
</media>
|
|
</figure>
|
|
|
|
<p>Un onglet Univnautes dans la fenêtre Services/Captive portal permet d'accéder aux paramètres spécifiques à Univnautes, notamment à la gestion de l'authentification via la fédération.</p>
|
|
|
|
<figure>
|
|
<title>Menu services</title>
|
|
<media type="image" mime="image/png" src="figures/onglets.png" >
|
|
</media>
|
|
</figure>
|
|
|
|
<p>On peut ainsi définir :</p>
|
|
|
|
<section id="onglet1">
|
|
<title>Onglet «UnivNautes»</title>
|
|
|
|
Cet onglet permet la configuration de la partie technique du portail, notamment
|
|
ce qui concerne la fédération SAML.
|
|
|
|
<section id="options1.1">
|
|
<title>Options «Captive portal: User interface»</title>
|
|
<p>Définition du comportement de base du portail captif.</p>
|
|
|
|
<listing>
|
|
<title>Default IdP (Entity ID)</title>
|
|
<p>l'entityId du fournisseur d'identité (IdP) à présenter par défaut,
|
|
c'est-à-dire qui sera accessible en un clic sur la page de connexion. On y indique
|
|
en général l'IdP de son propre établissement, en supposant que la plupart des utilisateurs
|
|
qui utilisent eduspot en seront issus.</p>
|
|
</listing>
|
|
|
|
<listing>
|
|
<title>Redirection delay</title>
|
|
<p>Le délai de redirection de l'utilisateur vers l'URL qu'il avait demandé au
|
|
départ. Si aucun délai n'est indiqué, après login l'utilisateur restera sur la
|
|
page d'accueil du portail captif ; l'URL qu'il avait demandée sera juste
|
|
affichée et il pourra cliquer dessus. Si le délai est 0, après login l'utilisateur
|
|
sera directement envoyé vers l'URL qu'il avait demandé sans afficher la page
|
|
d'accueil.</p>
|
|
</listing>
|
|
|
|
<listing>
|
|
<title>Redirection URL</title>
|
|
<p>Si une URL est définie, l'utilisateur sera envoyé vers cette URL, et non
|
|
vers l'URL qu'il avait demandé avant connexion au portail captif. Cette URL
|
|
peut contenir des variables au format Python, par exemple
|
|
<code>http://www.univ-test.fr/eduspot?%(ip)s</code> (liste des variables
|
|
disponibles affichée sur la page de configuration).
|
|
</p>
|
|
</listing>
|
|
</section>
|
|
|
|
<section id="options1.2">
|
|
<title>Options «SAML 2.0 Service Provider»</title>
|
|
<p>Clés du portail captif, fournisseur de service inscrit dans la fédération.</p>
|
|
<listing>
|
|
<title>SAML Private Key et SAML Signing Key (Certificate)</title>
|
|
<p>La clé privée et le certificat (clé publique) du fournisseur de service SAML
|
|
2.0, tel qu'enregistré dans la fédération.</p>
|
|
</listing>
|
|
</section>
|
|
|
|
<section id="option1.3">
|
|
<title>Options «SAML 2.0 Local Identity Provider»</title>
|
|
<listing>
|
|
<title>Enable local IdP</title>
|
|
<p>UnivNautes intègre un petit fournisseur d'identités SAML 2.0 local (local
|
|
IdP) qui peut être ajouté aux IdP de la fédération, par exemple pour permettre
|
|
à des utilisateurs de passage d'utiliser le service. Pour activer cet IdP
|
|
local, il faut cocher la case «Enable local IdP» puis configurer les clés
|
|
ci-dessous.
|
|
</p>
|
|
</listing>
|
|
<listing>
|
|
<title>Local IdP SAML Private Key / Local IdP SAML Signing Key (Certificate)</title>
|
|
<p>La clé privée et le certificat (clé publique) du fournisseur d'identité SAML
|
|
2.0.</p>
|
|
</listing>
|
|
</section>
|
|
|
|
<section id="option1.4">
|
|
<title>Options «Federation: metadata download»</title>
|
|
<p>Ces options définissent la fédération utilisée. Pour ce qui concerne Renater, voir <link href="https://services.renater.fr/federation/technique/metadata">https://services.renater.fr/federation/technique/metadata</link>.</p>
|
|
<listing>
|
|
<title>Metadata URL</title>
|
|
<p>L'URL des métadonnées de la fédération choisie.</p>
|
|
</listing>
|
|
<listing>
|
|
<title>Metadata CA (https certificate issuer)</title>
|
|
<p>Certificat de l'autorité qui a délivré le certificat x509 du serveur (https)
|
|
qui délivre les métadonnées</p>
|
|
</listing>
|
|
<listing>
|
|
<title>Metadata certificate</title>
|
|
<p>Certificat permettant de vérifier la signature des métadonnées elles-mêmes.</p>
|
|
</listing>
|
|
</section>
|
|
|
|
<section id="option1.5">
|
|
<title>Options «Federation: IP whitelist, for IdPs»</title>
|
|
<p>Les fournisseurs d'identités doivent être joignables par les clients même
|
|
quand le portail captif est "fermé". Pour cela, on fourni une liste blanche
|
|
d'adresses IP à ouvrir. Pour Renater, voir <link
|
|
href="https://services.renater.fr/mobilite/eduspot/whitelist">https://services.renater.fr/mobilite/eduspot/whitelist</link>.</p>
|
|
<listing>
|
|
<title>IP whitelist URL</title>
|
|
<p>L'URL de whitelist d'IP eduspot</p>.
|
|
</listing>
|
|
<listing>
|
|
<title>IP whitelist CA (https certificate issuer)</title>
|
|
<p>Certificat de l'autorité qui a émis le certificat du serveur https qui délivre la liste blanche.</p>
|
|
</listing>
|
|
<listing>
|
|
<title>Whitelist statics IP</title>
|
|
<p>Une whitelist d'IP additionnelle, pour permettre de contacter des IdP
|
|
absents de la whitelist IP fournie par eduspot. Par exemple, des IdP de test
|
|
ou des IdP ajoutés (voir «Local metadata» ci dessous).</p>
|
|
</listing>
|
|
</section>
|
|
|
|
<section id="option1.6">
|
|
<title>Options «Federation: local metadata (SPs and IdPs)»</title>
|
|
<listing>
|
|
<title>Local metadata</title>
|
|
<p>Des métadonnées additionnelles, pour ajouter des fournisseurs d'identités
|
|
(IdP) utilisables par le portail captif, pour des fournisseurs de service (SP)
|
|
utilisables par l'IdP local intégré à UnivNautes.</p>
|
|
</listing>
|
|
</section>
|
|
|
|
<section id="option1.7">
|
|
<title>Options «Discovery Service»</title>
|
|
<listing>
|
|
<title>IdP Discovery Service endpoints (read)</title>
|
|
<p>Liste d'URL «IdP Discovery Service» à contacter pour déterminer l'IdP préféré de l'utilisateur. Vous pouvez en indiquer plusieurs, mais pas trop : ces services seront tous contactés par chaque utilisateur qui affichera la page de connexion. Attention à bien ajouter les IP correspondantes dans la liste blanche locale (voir ci-dessus).</p>
|
|
</listing>
|
|
<listing>
|
|
<title>IdP Discovery Service endpoints (write)</title>
|
|
<p>Liste d'URL «IdP Discovery Service» à contacter pour <em>enregistrer</em>
|
|
l'IdP préféré de l'utilisateur (implémentant le protocole DiscoJuiceReadWrite).
|
|
Vous pouvez en indiquer plusieurs, mais pas trop : ces services seront tous
|
|
contactés par chaque utilisateur qui se connectera. Attention à bien ajouter
|
|
les IP correspondantes dans la liste blanche locale (voir ci-dessus).</p>
|
|
</listing>
|
|
</section>
|
|
|
|
<section id="option1.8">
|
|
<title>Options «Blacklists»</title>
|
|
<listing>
|
|
<title>User blacklist</title>
|
|
<p>Liste de «nameId|entityId» à interdire, entityId indiquant l'IdP et nameId
|
|
le pseudonyme de l'utilisateur renvoyé par ces IdP.</p>
|
|
</listing>
|
|
<listing>
|
|
<title>MAC blacklist</title>
|
|
<p>Liste d'adresses Ethernet (MAC) à interdire, une adresse par ligne.</p>
|
|
</listing>
|
|
</section>
|
|
|
|
</section><!-- onglet -->
|
|
|
|
<section id="onglet2">
|
|
<title>Onglet «UnivNautes UI» (User Interface)</title>
|
|
|
|
<section id="option2.2">
|
|
<title>Options «Texts (HTML)»</title>
|
|
|
|
<p>
|
|
Ces textes peuvent être en HTML, voire afficher des images avec des balises
|
|
img. Dans ce dernier cas, ajouter d'abord le logo via l'onglet File manager.
|
|
</p>
|
|
|
|
<listing>
|
|
<title>Header</title>
|
|
<p>Un texte à ajouter en haut des pages (on peut indiquer du code HTML).</p>
|
|
</listing>
|
|
|
|
<listing>
|
|
<title>Footer</title>
|
|
<p>Un texte à ajouter en bas des pages.</p>
|
|
</listing>
|
|
|
|
<listing>
|
|
<title>Disclaimer</title>
|
|
<p>Texte affiché sur la page «Conditions d'utilisation».</p>
|
|
</listing>
|
|
|
|
<listing>
|
|
<title>Local informations</title>
|
|
<p>Texte en bas de la page d'accueil, affiché après la réussite de
|
|
l'authentification.</p>
|
|
</listing>
|
|
</section>
|
|
|
|
<section id="option2.3">
|
|
<title>Options «Email form configuration (/mail)»</title>
|
|
<p>Ces options permettent d'activer un formulaire disponible sur l'URL
|
|
<code>https://eduspot.univ-xxx.fr/mail</code> destiné aux utilisateurs qui
|
|
veulent signaler un souci avec l'utilisation d'UnivNautes. Pour que le
|
|
formulaire soit activé, il faut indiquer au moins un destinataire (Recipient)
|
|
et un serveur SMTP à contacter (Host).</p>
|
|
<listing>
|
|
<title>Possible subjects</title>
|
|
<p>Liste de sujets de pannes classiques que l'utilisateur peut sélectionner dans le formulaire.</p>
|
|
</listing>
|
|
<listing>
|
|
<title>Recipient</title>
|
|
<p>Courriel du destinataire.</p>
|
|
</listing>
|
|
<listing>
|
|
<title>Host</title>
|
|
<p>Nom du serveur SMTP à utiliser. Si vide, le système est désactivé.</p>
|
|
</listing>
|
|
<listing>
|
|
<title>Port</title>
|
|
<p>Port de connexion sur le serveur SMTP (587 par défaut)</p>
|
|
</listing>
|
|
<listing>
|
|
<title>User</title>
|
|
<p>En cas d'authentification SMTP, nom d'utilisateur à utiliser. Si vide, aucune authentification ne sera tentée.</p>
|
|
</listing>
|
|
<listing>
|
|
<title>Password</title>
|
|
<p>En cas d'authentification SMTP, mot de passe de l'utilisateur ci-dessus.</p>
|
|
</listing>
|
|
<listing>
|
|
<title>Use TLS</title>
|
|
<p>Cocher si la communication avec le serveur SMTP doit utiliser TLS (connexion
|
|
chiffrée), ce qui est en général nécessaire en cas d'authentification.</p>
|
|
</listing>
|
|
<listing>
|
|
<title></title>
|
|
<p></p>
|
|
</listing>
|
|
</section>
|
|
|
|
</section><!-- onglet 2 -->
|
|
|
|
</page>
|