EDUVPN, ACCÈS AU SI INTERNE DE SON ÉTABLISSEMENT

Techniquement, eduVPN c'est quoi ?

Le service eduVPN est un service « free/libre/open-source software » (FLOSS), basé sur plusieurs protocoles et solutions open-source, il peut être déployé sur certaines distributions courantes de Linux : CentOS & Red Hat Enterprise Linux 7. Le déploiement sur la distribution Debian est en cours d’expérimentation. EduVPN est constitué principalement de cinq éléments :

  • OpenVPN 2.x : le logiciel utilisé pour monter des tunnels VPN ;
  • Un portail web : il permet aux utilisateurs de visualiser la liste des appareils qu’ils ont configurés, et d’enregistrer leur périphérique de confiance comme second facteur, s’ils désirent utiliser cette fonctionnalité.
  • Un SP Shibboleth : utilisé pour protéger le portail web et gérer l’authentification à ce dernier via la Fédération Éducation-Recherche ; il permet également de récupérer les identifiants techniques des utilisateurs après l’issue de l’authentification ;
  • Un serveur Node : utilisé pour générer les configurations OpenVPN ainsi que les règles firewall ;
  • Un serveur API : utilisé par les applications mobiles pour simplifier l’expérience utilisateur. Cet API utilise OAuth pour les échanges entre le client eduVPN et le serveur.

L'établissement de la liaison VPN est basée sur des certificats. La configuration d'un périphérique (téléphone ou poste de travail) se base sur la fédération d'identité. Une fois connecté, le client va auto-configurer le périphérique. Il ne sera plus nécessaire de se reconnecter via la fédération une fois le périphérique configuré. D'un point de vue utilisateur, le mécanisme ressemble beaucoup à la mise en place d'eduroam sur un périphérique. Un tutoriel est disponible pour aider les utilisateurs à installer eduVPN.

Déploiements possibles

Il existe deux façons de déployer eduVPN:

  1. Déploiement sur 1 machine (VM), est le plus simple, dans ce cas tous les composants sont installés sur le même machine. Il est possible d'atteindre jusqu'à 1000 utilisateurs connectés simultanément (avec 16 CPU et une connectivité >= 10 Gbit).
  2. Déploiement sur plusieurs machines (VM), le portail, le SP, et l'API du serveur sont installés sur une machine et le nœud du serveur sur les autres machines.

Procédures techniques

  1. La procédure technique est décrite sur Github du projet selon l'OS utilisé.
  2. Tester son déploiement, en accédant à l'application eduVPN et en renseignant l'URL de votre serveur VPN dans “Use Custom URL”.

Une fois les procédures techniques terminées, vous pouvez suivre les démarches administratives pour apparaître sur l'application eduVPN.

Liens utiles