Le nomadisme à l'INRIA Sophia Antipolis

Création: 4/7/2002
Modification: 24/11/2006

Introduction
Information réseau
Considérations de sécurité
Configuration DHCP
Configuration statique
Les nomades INRIA sur les sites INRIA
Les services fournis aux itinérants de Sophia
Chantiers en cours

Introduction

Ceci est un document d'aide pour les nomades du site. Il décrit les procédures à mettre en oeuvre pour configurer une machine fournie par Sophia Antipolis hors de nos murs. Il décrit également les services fournis par le site de Sophia Antipolis accessibles par ces nomades. C'est un document amené à évoluer en fonction des nouvelles fonctionnalités en cours de validation au SEMIR ainsi que des résultats du projet VISON, piloté par la DRSI.
Informations réseau

Pour configurer correctement votre machine sur un réseau d'accueil, deux possibilités sont offertes: un mode de configuration automatique DHCP ou un mode manuel (vous devez alors configurer manuellement vos paramètres de connexion propres à ce site). Votre hôte ou l'administrateur réseau de ce site vous renseignera sur le mode disponible sur place.
Considérations de sécurité

Attention, la connexion sur un réseau d'accueil a certaines implications en matière de sécurité.

D'une part, le site d'accueil peut exiger le respect d'une charte de sécurité du site d'accueil. Renseignez-vous auprès de ce site, pour ne pas risquer d'être en porte à faux vis-à-vis de cette éventuelle charte.

D'autre part, lorsque votre machine est sur un réseau extérieur à Sophia, la machine n'est plus protégée par nos procédures de sécurité locales (filtrage, surveillance, sauvegardes,...). Attention à ne pas lancer des services réputés non sûrs sur la machine (serveurs web, applicatifs que vous ne maîtrisez pas,...).
Configuration DHCP

La configuration en mode DHCP est la plus répandue, car très simple à gérer, pour vous comme pour le site d'accueil.

L'administrateur du réseau d'accueil peut vous demander de lui fournir l'adresse MAC (ou Ethernet) de votre carte réseau, pour bénéficier de ce service. Ceci n'est pas obligatoire, suivant la politique d'accès du site (leur service DHCP peut vous attribuer une adresse IP sans connaissance de votre adresse réseau)

Pour connaitre l'adresse MAC de votre machine, vous pouver utiliser les commandes suivantes:
- en Linux:
```
%  ifconfig -a | grep eth0
eth0      Link encap:Ethernet  HWaddr 00:D1:57:1B:FE:C3  
	
```
  Dans cet exemple, l'adresse MAC est: 00:D1:57:1B:FE:C3
- en NT:
```
C:\>  ipconfig /all

Configuration IP de Windows 2000

        Nom de l'hôte . . . . . . . . . . : xxxx
        Suffixe DNS principal . . . . . . : localdomain.com
        Type de noud. . . . . . . . . . . : Diffuser
        Routage IP activé . . . . . . . . : Non
        Proxy WINS activé . . . . . . . . : Non
        Liste de recherche de suffixe DNS : localdomain.com

Ethernet carte Connexion au réseau localÿ:

        Suffixe DNS spéc. 
 la connexion. : localdomain.com
        Description . . . . . . . . . . . : Carte AMD PCNET Family Ethernet PCI
        Adresse physique. . . . . . . . . : 00-C0-FE-04-11-D8
        DHCP activé . . . . . . . . . . . : Oui
        Autoconfiguration activée . . . . : Oui

        etc.....
		  
```
  Pour trouver l'adresse MAC, il faut repérer la carte réseau et ensuite l'Adresse physique de celle-ci. Ici: 00-C0-FE-04-11-D8
Il suffira ensuite pour vous de choisir le mode de configuration DHCP sur votre machine, copmme indiqué ci-après:
- Si vous disposez d'une machine Linux SEMIR, vous devez utiliser la commande /usr/local/bin/netconfig, installée par défaut sur votre machine. (documentation complète).
  
  C'est le mode simplifié de cette commande, il suffit de lancer la commande une fois (ou de l'avoir lancé une fois), pour configurer une entrée de type DHCP
  
  Il faut ensuite rebooter la machine et sélectionner la configuration Boot DHCP - Ne pas utiliser sur le reseau de Sophia lors du reboot
- Les machines Windows NT/2000/XP SEMIR et Fedora SEMIR sont déjà en mode DHCP par défaut dans leur configuration sophipolitaine.
Configuration statique

Dans le cas où le site d'accueil ne fournit pas de configuration automatique, il vous faut impérativement obtenir les informations suivantes auprès d'un administrateur du site pour paramétrer votre machine:
- numéro IP de la machine sur le réseau d'accueil (ex: 144.34.56.78)
- nom de la machine (ex: vis001)
- nom du domaine d'accueil (ex: reseau.net)
- netmask du réseau (ex: 255.255.0.0)
- adresse de broadcast (ex: 144.34.255.255, ou encore 144.34.0.0)
- numéro IP interne du gateway (ex: 144.34.0.254)
- avoir une liste de numéro IP de serveurs DNS, généralement on vous en fournira un ou deux (ex: 144.34.0.1, 144.34.104.33)
Si vous disposez d'une machine linux SEMIR, il faut utiliser la commande /usr/local/bin/netconfig et y entrer ces renseignements. (documentation complète).
Si vous disposez d'une machine windows, vous devez:
- aller dans le menu démarrage et cliquer sur Connexions réseau et accès à distance , puis
- cliquer sur Etablir une nouvelle connexion et de rentrer les renseignements

Les nomades INRIA sur les sites INRIA

Voila les procédures documentées pour connecter un nomade INRIA sur les sites INRIA:

Localisation Type de connexion Contacts Documentation

IRISA DHCP avec déclaration Fournir votre adresse MAC à: dhcp@irisa.fr Après avoir fourni son adresse MAC, on peut se connecter sur n'importe quelle prise active

LORIA DHCP banalisé Fournir votre adresse MAC à: dhcp@loria.fr http://docmi.loria.fr/users/connecter/kiosque

Montbonnot DHCP avec déclaration Fournir votre adresse MAC à: dhcp@inrialpes.fr Se connecter sur une prise estampillée Visiteur

Rocquencourt DHCP avec déclaration Fournir votre adresse MAC à: reseau-rocq@inria.fr Après avoir fourni son adresse MAC, on peut se connecter sur n'importe quelle prise active ( http://www-rocq.inria.fr/sir/themes/reseau/parametres-reseau.html)

Sophia Antipolis DHCP avec déclaration Fournir votre adresse MAC à: dhcp@sophia.inria.fr http://www-sop.inria.fr/semir/reseau/topologies/visiteurs_reseau.html
Remarque:
Comme annoncé en CUMI (28/6/2002), ceci est en cours de modification. Nous vous tiendrons informés.

Localisation	Type de connexion	Contacts	Documentation
IRISA	DHCP avec déclaration	Fournir votre adresse MAC à: dhcp@irisa.fr	Après avoir fourni son adresse MAC, on peut se connecter sur n'importe quelle prise active
LORIA	DHCP banalisé	Fournir votre adresse MAC à: dhcp@loria.fr	http://docmi.loria.fr/users/connecter/kiosque
Montbonnot	DHCP avec déclaration	Fournir votre adresse MAC à: dhcp@inrialpes.fr	Se connecter sur une prise estampillée Visiteur
Rocquencourt	DHCP avec déclaration	Fournir votre adresse MAC à: reseau-rocq@inria.fr	Après avoir fourni son adresse MAC, on peut se connecter sur n'importe quelle prise active ( http://www-rocq.inria.fr/sir/themes/reseau/parametres-reseau.html)
Sophia Antipolis	DHCP avec déclaration	Fournir votre adresse MAC à: dhcp@sophia.inria.fr	http://www-sop.inria.fr/semir/reseau/topologies/visiteurs_reseau.html Remarque: Comme annoncé en CUMI (28/6/2002), ceci est en cours de modification. Nous vous tiendrons informés.

Remarque: si vous êtes amenés à vous déplacer sur l'emsemble des sites INRIA, vous pouvez envoyer un mail à dhcp@inria.fr, pour y déclarer l'adresse MAC de votre machine. Ce mail sera envoyé à chacune des 5 listes ci-dessus.

Les services fournis aux itinérants de Sophia

Remarque: ce paragraphe est en cours de rédaction et est amené à évoluer en fonction d'expérimentation/validation en cours au SEMIR.

L'ensemble des services entrants (non spécifiques aux nomades) est décrit dans ce document.

Afin de faciliter la vie des nomades issus de Sophia, les services spécifiques suivants sont installés:

Service Description Documentation Statut Conditions d'utilisation

Connexion interactive avec SSH relai des mails par notre serveur sophia.inria.fr en mode TLS
authentification utilisateur + chiffrement Ce service permet à un utilisateur de Sophia de se connecter sur son serveur de projet. L'intérêt de ssh est la possibilité de tunneler des sessions TCP, permettant l'accès à des services filtrés par ailleurs (ex: IMAP, web intranet,agenda,...). La document complète de ce service est fournie ici Opérationnel Ce service est utilisable après une étape d'initialisation. Il est préférable d'utiliser ce service depuis une machine sûre (ex: site INRIA délocalisé, portable, machine perso)

Relai de messagerie relai des mails par notre serveur sophia.inria.fr en mode TLS
authentification utilisateur + chiffrement Ce service permet à un utilisateur de Sophia hors mur de continuer à utiliser le serveur de messagerie de Sophia pour y faire transiter ses mails. La document complète de ce service est fournie ici Opérationnel Est prévu pour fonctionner avec un portable INRIA Sophia. Si vous êtes dans un cybercafé ou sur la machine d'un copain, il y a pas mal de configuration à faire et les conditions de sécurité ne sont pas optimales (on peut vous piquer votre password).

Relève de mail relève du mail par IMAPS (IMAP chiffré en SSL)
authentification utilisateur + chiffrement Ce service permet à un utilisateur de Sophia hors mur de lire ses nouveaux mails et ses dossiers.
Documentation dédiée de configuration pour Thunderbird Opérationnel Toutes conditions (cybercafé ;-). Attention à ne pas stocker votre password sur le disque de la machine de laquelle vous venez.

WebMail Possibilité de consulter son nouveau mail et ses dossiers, ou d'envoyer rapidement un mail avec son identité INRIA
authentification utilisateur + chiffrement Accès par l'interface SquirrelMail Opérationnel Toutes conditions (cybercafé ;-). Attention à ne pas stocker votre password sur le disque de la machine de laquelle vous venez.

Accès web chiffré possibilité de lire des pages web en mode SSL. Les pages internes sont accessibles de partout. Il suffit d'utiliser une URL de type https://www-sop.inria.fr/ma/belle/page à la place de http://www-sop.inria.fr/ma/belle/page (https au lieu de http)

Validation du certificat: le certificat est validé par l'autorité de certification ca-sop. Vous pouvez valider cette autorité de certification ici

L'ensemble des comptes des utilisateurs INRIA est défini dans un annuaire LDAP. Si vous obtenez une demande de d'authentification, utilisez votre login et password habituels (ceux de votre compte unix ou NT). Opérationnel
Toutes conditions (cybercafé ;-)

Accès agenda partagé consulter et mettre à jour son agenda partagé via le web Accès sécurisé à l' agenda Opérationnel Toutes conditions (cybercafé ;-)

Accès News (forums de discussion) consulter et poster des articles, en mode authentification utilisateur + chiffrement Informations générales d'accès au service
Documentation dédiée de configuration pour Thunderbird Opérationnel Toutes conditions (cybercafé ;-)

Accès par un VPN Ce service permet à une machine distante d'accéder à de nombreux service du réseau local : partage de disque windows et SAMBA ; serveur de licence ; etc. La brève documentation des points spécifiques à l'INRIA Sophia ; la documentation complète INRIA des VPN. Opérationnel Ce service est accessible après une étape d'initialisation ( installation de logiciel client, ouverture de compte ). Il est préférable d'utiliser ce service depuis une machine sûre ( ex : délocalisé, portable INRIA, machine perso ).

Chantiers en cours

Pour augmenter la sécurité des portables, ainsi que la sécurité des transactions portables/Sophia, certains chantiers SEMIR sont en cours. Nous vous tiendrons informés des progrès dans ce domaine, via le CUMIR.
- connexion des nomades INRIA sur notre réseau sans support
- chiffrement des disques durs
- blindage de la pile IP des portables (IP firewall)

Service	Description	Documentation	Statut	Conditions d'utilisation
Connexion interactive avec SSH	relai des mails par notre serveur sophia.inria.fr en mode TLS authentification utilisateur + chiffrement	Ce service permet à un utilisateur de Sophia de se connecter sur son serveur de projet. L'intérêt de ssh est la possibilité de tunneler des sessions TCP, permettant l'accès à des services filtrés par ailleurs (ex: IMAP, web intranet,agenda,...). La document complète de ce service est fournie ici	Opérationnel	Ce service est utilisable après une étape d'initialisation. Il est préférable d'utiliser ce service depuis une machine sûre (ex: site INRIA délocalisé, portable, machine perso)
Relai de messagerie	relai des mails par notre serveur sophia.inria.fr en mode TLS authentification utilisateur + chiffrement	Ce service permet à un utilisateur de Sophia hors mur de continuer à utiliser le serveur de messagerie de Sophia pour y faire transiter ses mails. La document complète de ce service est fournie ici	Opérationnel	Est prévu pour fonctionner avec un portable INRIA Sophia. Si vous êtes dans un cybercafé ou sur la machine d'un copain, il y a pas mal de configuration à faire et les conditions de sécurité ne sont pas optimales (on peut vous piquer votre password).
Relève de mail	relève du mail par IMAPS (IMAP chiffré en SSL) authentification utilisateur + chiffrement	Ce service permet à un utilisateur de Sophia hors mur de lire ses nouveaux mails et ses dossiers. Documentation dédiée de configuration pour Thunderbird	Opérationnel	Toutes conditions (cybercafé ;-). Attention à ne pas stocker votre password sur le disque de la machine de laquelle vous venez.
WebMail	Possibilité de consulter son nouveau mail et ses dossiers, ou d'envoyer rapidement un mail avec son identité INRIA authentification utilisateur + chiffrement	Accès par l'interface SquirrelMail	Opérationnel	Toutes conditions (cybercafé ;-). Attention à ne pas stocker votre password sur le disque de la machine de laquelle vous venez.
Accès web chiffré	possibilité de lire des pages web en mode SSL. Les pages internes sont accessibles de partout.	Il suffit d'utiliser une URL de type https://www-sop.inria.fr/ma/belle/page à la place de http://www-sop.inria.fr/ma/belle/page (https au lieu de http) Validation du certificat: le certificat est validé par l'autorité de certification ca-sop. Vous pouvez valider cette autorité de certification ici L'ensemble des comptes des utilisateurs INRIA est défini dans un annuaire LDAP. Si vous obtenez une demande de d'authentification, utilisez votre login et password habituels (ceux de votre compte unix ou NT).	Opérationnel	Toutes conditions (cybercafé ;-)
Accès agenda partagé	consulter et mettre à jour son agenda partagé via le web	Accès sécurisé à l' agenda	Opérationnel	Toutes conditions (cybercafé ;-)
Accès News (forums de discussion)	consulter et poster des articles, en mode authentification utilisateur + chiffrement	Informations générales d'accès au service Documentation dédiée de configuration pour Thunderbird	Opérationnel	Toutes conditions (cybercafé ;-)
Accès par un VPN	Ce service permet à une machine distante d'accéder à de nombreux service du réseau local : partage de disque windows et SAMBA ; serveur de licence ; etc.	La brève documentation des points spécifiques à l'INRIA Sophia ; la documentation complète INRIA des VPN.	Opérationnel	Ce service est accessible après une étape d'initialisation ( installation de logiciel client, ouverture de compte ). Il est préférable d'utiliser ce service depuis une machine sûre ( ex : délocalisé, portable INRIA, machine perso ).