ChangeLog

Image ISO sur http://isos.univnautes.entrouvert.com/

20140124

  • Gestion d'utilisateurs "en masse" dans l'IdP local

    • possibilité de créer plusieurs utilisateurs avec la même base de login (login-N)

    • import d'un fichier CSV pour créer/mettre à jour un ensemble d'utilisateurs

    • affichage des détails d'un utilisateur ou d'un ensemble d'utilisateurs

    • export CSV d'un ensemble d'utilisateurs

    • lors de la création ou de l'import d'un utilisateur, création du mot de passe s'il n'est pas fourni ; ces mots de passe sont affichés ou exportés dans les CSV

    • retrait de la limitation sur la durée de vie d'un utilisateur

  • Amélioration et optimisations

    • utilisation des "mdui" pour trouver les noms des ressources dans la fédération

    • possibilité de séparer les metadonnées des ressources IdP et SP

    • ajout d'une blacklist des URL qui ne doivent pas déclencher le portail captif

    • mise à jour des composants : lasso 2.4, authentic 2.1.2, Django 1.5, jQuery 1.10 ; leaflet 0.7 ; bootstrap 2.3.2

    • optimisation des sessions: limitées à une minute pour la page de login ; enregistrées en fichier au lieu de la base SQLite

    • synchronisation des sources et du constructeur d'ISO avec pfSense et FreeBSD

    • optimisations et adaptations mineures liées à Django 1.5 ou Authentic 2.1.2

    • correctifs pour compatibilité IE 9 à 11

20130503

  • Interface "Carte de France"

    • changement des templates pour affichage d'une carte de France

    • adaptation de la documentation concernant les textes (qui ne sont plus placés aux mêmes endroits)

    • mise en place de "cron" pour mettre à jour les infos géographiques des IdP (une fois par heure, avec les metadata)

    • paramétrage dans pfSense pour indiquer les sources des données géographiques et la zone géographique à afficher par défaut

    • gestion 100% javascript du discovery

    • ajout de tuiles locales pour l'affichage de la carte (20Mo, 680 tuiles)

    • ajout d'un proxy vers un moteur de tuile si les tuiles locales ne suffisent pas

    • suppression de la détection des mobiles, remplacée par une interface "responsive"

    • optimisation des vues Django

    • ajout de sous-pages : conditions d'utilisation (=disclaimer), licences, contact

  • Mises à jour

    • passage à django 1.4.5

    • mise à jour de la bibliothèque Lasso (patches de la version "master")

    • mise à jour des paquets FreeBSD, notamment tcpdump et lighttpd 1.4.32

    • mise à jour du config.xml livré sur l'ISO

  • Optimisations et corrections

    • synchro des codes et patches UnivNautes avec pfSense 2.0.3 + github/master

    • optimisation de la configuration de ligttpd (limitation du nombre de connexion par IP, limitation du keep-alive, gestion directe des /media)

    • utilisation de syslog pour les erreurs du ligttpd qui pilote UnivNautes

    • ajout d'un "cron" pour relancer le tcpdump/pflog une fois par jour (solution actuelle pour contrer une fuite mémoire)

20121010

  • synchronisation du code avec pfSense 2.0 (corrections de bogues)

  • mise à jour django 1.4.1

20120712

  • ajout du service "discovery"

  • ajout d'un formulaire de contact/déclaration de panne/etc

  • modifications dans la présentation des options de configuration (ordre peu plus logique)

  • mise à jour de la documentation Mallard

  • interne : mise à jour des composants jquery et jquerymobile

20120626

  • ajout de l'interface de gestion des comptes de l'IdP local

  • mise à jour complète du système

    • authentic 2.0.2 / lasso 2.3.99 (pre-2.4)

    • django 1.4

    • python 2.7

    • pfSense 2.0.1 (http://blog.pfsense.org/?p=633 + derniers patches 2.0.2RC2)

    • FreeBSD 8.1-RELEASE-p10

  • prise en charge du fuseau horaire (timezone) configuré dans le menu System/General Setup (par défaut positionné à Europe/Paris sur une installation depuis l'image ISO ; à vérifier sur les univnautes qui seront upgradées)

  • log "SSOREDIRECT" quand un utilisateur clique sur son IdP

  • interne : reprise à zéro du process de build des ISO (suivi du build officiel pfSense, utilisation de freesbie pour l'ajout des paquets)

  • interne : création du virtualenv basé sur pip (au lieu de easy_install)

  • interne : meilleur script de nettoyage après un upgrade (supprime bien les anciennes versions des paquets)

  • documentation passée en format Mallard http://projectmallard.org/

  • sources sur http://repos.entrouvert.org/univnautes.git

  • correction du bug dans pffedportal : le "cleanup" des sessions fonctionne désormais correctement

  • mise à jour de wget avec prise en charge des subjectAltName (résoud le pb de certificat de www.cru.fr pour la whitelist)

20111004

  • permettre des connexions multiples pour les comptes ayant le privilège «UnivNautes IdP - allow multiple connexions» (typiquement, les logins de colloque). Inclus un nouveau patch du portail captif pfsense.

  • IdP local : envoie les privilèges des comptes pfSense en attribut (univnautesPrivileges)

  • IdP local : gestion du eduPersonTargetedId

  • le username ne contient plus de transientID

    • impact : le format de la blacklist change

    • impact : le format des logs change

  • builder: ne dépend plus de freebsd.org pour les pkg_add

  • suivi des évolutions côté pfSense (ajout de relayd dans les services)

20110920

20110916

  • désormais basé sur pfSense 2.0 RELEASE (core + patches FreeBSD + outils de génération des ISO)

  • mise à jour vers Django 1.2.7

  • mise à jour Authentic2

  • mise à jour jquery mobile 1.0 b3

  • « Fournisseur d'identités (IdP) local intégré »

    • ajout d'une application Django "pfidp" proposant un IdP SAML utilisant la fédération. Il authentifie les utilisateurs locaux à pfSense disposant d'un privilège spécifique à univnautes.

    • ajout de la configuration de cet IdP dans l'onglet Univnautes de l'interface admin web de pfsense

    • ajout du suivi du service IdP dans l'interface admin web de pfsense

    • ajout des logs de l'IdP dans l'onglet log/Portal Auth

20110724

  • passage sous pfSense 2.0 RC3 / FreeBSD 8.1

  • nouvelle version de la bibliothèque lasso avec gestion multi-clés

  • blacklist d'adresses MAC (en bas de l'onglet Univnautes)

  • détection des mobiles (iPhone, iPad, Android, etc) avec interface web dédiée (voir mobile)

  • mise à jour du système de construction des images (suivi des évolutions pfSense 2.0/2.1)

  • nouvelle présentation des logos du MESR et de l'UNPIdF en bas de page

20110424

  • correction de bogue : le portail captif comprend maintenant l'attribut eduPersonTargetedID via son OID.

  • (interne: disparition du local_settings.py pour pffedportal, tout est intégré par défaut)

  • (interne: rangement des codes sources, nettoyage du builder)

20110323

  • ajout d'un système de log de debug très verbeux pour les soucis complexes (désactivé par défaut, il faut faire LOG_DEBUG=True dans local_settings.py et relacer pffedportal pour l'activer)

20110319

  • ajout du module UCD dans le serveur bsnmpd, notamment pour suivre le nombre de sessions en cours sur le portail captif -- documentation sur Supervision de la plateforme

  • title (tooltips) sur les logos

  • « propulsé par » au lieu de « powered by »

  • suivi des correctifs de la RC1 (principalement, gestion des locks sur la base de session du portail captif)

20110308

20110307

  • pfSense 2.0 RC1

  • ajout de l'indication «choisissez votre établissement :» en haut du cadre bleu dans la page de login

  • textes par défaut visibles dans l'interface admin

  • logos retaillés

  • correction bug authsaml: permettre des IdP avec des noms identiques (bloquait la migration fédération renater test vers renater prod) [passage à authentic 1.9.1]

  • si pas d'URL de metadata, alors on supprime toutes les données de la fédération

  • widget captive_portal : n'affiche que les 10 derniers connectés

  • on peut maintenant placer des variables dans l'URL de redirection forcée (en format python, par exemple « %(ip)s » pour l'adresse IP)

20110224-1630

  • 1ère version candidate pour exploitation !

  • fin intégration graphique « bristol »

  • ajout des informations de connexion sur la page d'accueil

  • possibilité de redirection vers une URL fixée (au lieu de l'URL demandée)

  • (interne: correction d'un gros bug sur la gestion de la whitelist, qui était désactivée lors d'un reload des règles du firewall... très étonnant que personne ne l'ait signalé !)

  • (interne: synchro avec upstream, cp_api.inc désormais inutile)

20110221-1439

  • intégration graphique « bristol »

  • redirection vraiment instantanée si delai=0

  • paramétrage plus complet des textes dans l'onglet « Texts » de Services/Captive Portal.

  • traduction en français de l'écran intermédiaire « post »

20110217-1414

  • URL de redirection : système retiré (né d'une incompréhension)

  • redirection de l'utilisateur après son login vers l'URL demandée au départ, après un nombre de secondes configurable (ce nombre peut être égal à zéro pour redirection quasi-immédaite, et pouvant être « vide » si on ne veut pas de cette redirection).

20110214-1400

  • début intégration graphique (interface publique en CSS alternatif ; logo Univnautes sur la page de login de l'admin)

  • possibilité de configurer une URL de redirection "obligatoire" après la page d'accueil (refresh après 2 secondes)

  • système d'upgrade fonctionnel (sauf upgrade depuis interface web: à re-vérifier) + corrections du système dans le pfSense de base

  • widgets "captive portal" et "services" activées par défaut sur la page d'accueil

  • passage du timezone par défaut en Etc/UTC car certains logs ne se font qu'en UTC, même si on change le timezone

  • renforcement du système de déconnexion : retrouve le sessionid de pfsense en fonction de l'IP qui demande le logout

  • (interne: meilleure synchro entre sessions pfsense et pffedportal(django))

  • (interne: cron de nettoyage des sessions pffedportal(django))

  • (interne: mise à jour django en 1.2.5)

20110204-1517

  • affichage des infos eduPersonTargetedId + nameId + IdP sur Status/Captive Portal

  • mise en place d'un système de blacklist selon eduPersonTargetedId|nameId|IdP dans Status/Captive Portall (en bas de l'onglet Univnautes) avec possibilité de regex + logs des connexions blacklistées

  • affichage du dernier IdP choisi

  • affichage du displayName

  • gestion de metadonnées locales (pour ajout d'Idp hors fédération) : ajout d'un champ "local metadata" à remplir en XML dans la page Services/Captive Portal/Univnautes

  • logs des systèmes metadata/whitelist sont désormais visibles sur l'onglet "Portal Auth" dans Status/System Log

  • redémarrage automatique des services en cas de modification de configuration sur l'onglet Univnautes de Services/Captive Portal

  • meilleur ordre des onglets dans Services/Captive Portal (et effacement de l'onglet "allowed hostname" non fonctionnel)

  • affichage LAN/WAN dans le bon ordre lors de la première configuration

  • affichage de 'Entity ID' au lieu de 'URL' pour le champ de saisie de l'IdP par défaut

  • configuration simplifiée du WAN depuis la console (ne pose plus de question sur un retour en http, etc.)

  • correction d'un gros bogue (régression) : certificat HTTPS non pris en compte (merci à Benoit)

  • (interne : script d'update metadata et whitelist plus solides)

  • (interne : update de la whitelist IP plus "solide", évite de faire des flush de la table et sait supprimer les anciennes IPs)

  • (interne : meilleure gestion des metadonnées ; sync-metadata au lieu de load-metadata)

  • (interne : retour en mode "debug" par défaut pour django, pour aide au diagnostic en cas de soucis)

  • (interne : début de suppression des données de test)

20110127-1436

  • intégration des pages 'univnautes' dans Services/Captive Portal (au lieu d'une page séparée)

  • synchronisation avec pfsense (nouveauté : passthrough portail captif par hostname)

  • ssh vers le serveur complètement coupé par défaut (depuis LAN et WAN)

  • configuration cohérente des leases dhcp et timeouts sur le portail captif

  • passage de l'application pffedportal (django) en mode production (auparavant en mode debug)

  • (interne : meilleure initialisation des paramètres univnautes lors du boot)

  • (interne : corrections de bogues dans authsaml2)

  • (interne : suppression des paquets python inutiles dans le virtualenv)

20110125-1518

  • affichage du service cp_univnautes sur le widget des services

  • choix de l'IdP par défaut dans l'interface de config (i.e. dans le package univnautes)

  • mise à jour de la configuration par défaut du système de backup (ne conserve que les choses utiles)

  • modifications (mineures) pour mise en adéquation totale avec les recommandations http://www.opquast.com/

  • (interne: système de patch efface les anciennes versions)

  • (interne: correction dans authsaml2)

20110121-1650

  • page de configuration des paramètres Univnautes : certif SAML, URLs des whitelist et metadata, etc.

  • page de configuration de textes des pages du portail (header et footer, il s'agit juste d'une preuve de concept en attendant les designs finaux)

  • adaptation du filemanager du portail captif pour l'upload de fichiers (images, css, etc.)

  • la configuration du portail captif n'affiche plus que les paramètres gérés par univnautes (patch sur pfSense)

  • affichage du service cp_univnautes sur la page de suivi des services pfSense ; permet un stop/start/restart

  • (interne : système de patch de pfSense clairement distinct)

  • (interne : nom "eduspot" remplacé par "univnautes" partout où nécessaire)

20110118-1025

  • système de backup (Diagnostic/Backup Files)

  • ouvre le lien de la page d'accueil (après connexion) sur une nouvelle fenêtre

  • (interne : rationalisation du système de construction de l'iso, suite)

20110114-1511

  • règles de pare-feu par défaut : RC1

  • outils pour chargement manuel whitelist et metadata

  • (interne : rationalisation du système de construction de l'iso)

  • (interne : renommage des scripts ; modularisation)

20110113-1416

  • règles de pare-feu par défaut : RC1

  • outils pour chargement manuel whitelist et metadata

  • (interne : rationalisation du système de construction de l'iso)

  • (interne : renommage des scripts ; modularisation)

20110111-2220

  • première version, présentée au groupe le 12 janvier 2011