Les différences entre les versions 2.5 et 2.6

Attention

La version 2.6 du module Amon n'est disponible qu'à partir de la version 2.6.1 d'EOLE.

La nouvelle version du module reproduit les mêmes fonctionnalités (iso-fonctionnel) que l'ancienne version.

La version 2.6 s'appuie sur la distribution GNU/Linux Ubuntu 16.04 LTS nommée également Xenial Xerus.

Ubuntu 16.04 LTS est disponible depuis le 21 avril 2016. Portant le label LTS[1], cette version est soutenue et mise à jour pendant une durée de cinq ans, son support s'arrête donc en avril 2021.

Noyau

Cette nouvelle version d'Ubuntu implique également un changement de version du noyau avec de nouvelles prises en charge matériel. Les modules EOLE 2.6 utilisent par défaut le noyau le plus récent de la distribution Ubuntu.

Gestion des services

systemd[2] est, dorénavant, la seule méthode valide pour la gestion des services. upstart[3] est encore accepté pour assurer la rétrocompatibilité. Cependant, le service est, dans tous les cas, géré par systemd.

Interfaces réseau

Sur la nouvelle version d'EOLE les cartes réseau respectent la convention Consistent Network Device Naming[4] de udev[5] pour le nommage des cartes réseau. Le nom des cartes est fixé en fonction de leur ordre d'attachement au système et non plus uniquement dans l'ordre matériel.

Sous EOLE, le nommage des interfaces réseau change, elles se nomment désormais em1, em2,..., emx.

Architecture AMD64 uniquement

L'architecture i386 n'est plus supportée par le projet EOLE à partir de cette version.

Installation UEFI

Les nouvelles images ISO générées par EOLE intègrent le support de l'UEFI[6].

Le support de l'UEFI est également disponible sur les nouvelles images générées pour les versions d'EOLE précédentes (images 2.4.2.1, 2.5.2.1, ...).

Gestion des certificats du serveur Zéphir

Dans le cas d'utilisation de certificats non reconnus par une autorité de certification, il faut, pour procéder à l'enregistrement d'un serveur, copier et intégrer le certificat de la CA locale du serveur Zéphir sur le serveur à enregistrer.

Creole

Des modifications ont été réalisées dans Creole :

  • du fait du passage à systemd, certains attributs de la balise <service> ont été supprimés : pty, startlevel et stoplevel ;
  • ajout d'un nouveau type password permettant de présenter les valeurs avec un affichage brouillé ;
  • ajout des nouvelles contraintes entre variables : mandatory_if_in et mandatory_if_not_in.

Restauration des sauvegardes

La restauration du catalogue s'effectue désormais après instanciation du serveur.

L'option --configeol du script bareosrestore.py permet d'extraire le fichier config.eol.

Choix du type de partitionnement à l'installation

Lors de l'installation d'EOLE avec une version supérieur ou égale à 2.5.1, une fenêtre propose de choisir entre un partitionnement manuel ou automatique, ce choix est également proposé sur Eolebase.

2.6.1

Partitionnement

Lors de l'installation d'EOLE avec une version supérieure ou égale à 2.5.1, une fenêtre propose de choisir entre un partitionnement manuel ou automatique, ce choix est également proposé sur Eolebase.

À partir de la version 2.6.1 d'EOLE il est possible d'ajouter des partitions supplémentaires et d'attribuer l'espace libre à une partition au travers de l'interface de configuration du module pour ajuster le partitionnement avant l’instance.

Mise à jour

Les modifications apportées au proxy transparent provoquent le blocage de certaines mises à jour. La déclaration du proxy est nécessaire pour effectuer les mises à jour d'un module EOLE qui serait protégé par un module Amon.

Ajout de dépôt supplémentaires

L'ajout de dépôt supplémentaires tels que les PPA est dorénavant géré nativement.

EAD 3

Une nouvelle version de l'EAD est disponible sur les modules et peut être activée. Pour le moment il ne remplace pas l'EAD existant, son activation permet de le découvrir, de l'utiliser ou de travailler à son développement.

Proxy inverse

Le paramétrage du proxy inverse est disponible sur tous les modules, il permet de relayer des accès extérieurs vers des serveurs situés derrière le pare-feu.

Le proxy inverse permet dorénavant la redirection de domaines.

Publication d'applications web par Nginx

L'accès à des applications web telles que l'EAD3 et l'interface de configuration du module se fait au travers de Nginx. Si un client accède au serveur avec un nom de domaine non déclaré, le flux est redirigé vers le domaine renseigné.

Désactivation de variables Creole entre esclaves du même groupe

À partir de la version 2.6.1 d'EOLE, il est possible de gérer la désactivation d'une variable esclave en fonction de la valeur d'une autre variable esclave du même groupe.

Dans les versions précédentes, il était possible de désactiver totalement une variable esclave mais pas de le faire pour une seule de ses valeurs.

Agrégation de liens Ethernet

Il est possible d’agréger plusieurs interfaces réseau physiques pour les utiliser comme s’il s’agissait d’une seule. Le but est d'accroître le débit au-delà des limites d'un seul lien, et éventuellement de mettre en œuvre de la redondance[7] de liens Ethernet.

Gestion des certificats Let's Encrypt

L'autorité de certification Let's Encrypt[8] permet de mettre en place, gratuitement, des certificats dont la distribution et le renouvellement sont automatisés.

Vous pouvez à présent gérer des certificats Let's Encrypt pour des serveurs accessibles depuis Internet ou au travers d'un proxy inverse.

Bastion

À partir de la version 2.6.1, seules les commandes reconfigure et bastion regen régénèrent les règles de pare-feu.

La commande service bastion restart (ou ses variantes telles que systemctl restart bastion) ne font que recharger les règles en cache.

Voici le détail de la simplification du script bastion :

  • Les options start et stop ne sont utilisables qu'avec Systemd : service bastion start / stop ;

  • suppression de l'option status : utiliser service bastion status ;

  • suppression de l'option reload qui ne faisait que stop puis start : utiliser service bastion restart ;

  • option restart dépréciée mais toujours utilisable et utilisée (dans l'EAD par exemple) : remplacée par l'option regen ;

  • modification de l'aide qui propose uniquement bastion regen ;

  • suppression de la gestion du lock (géré par Systemd).

Exceptions proxy

L'ajout d'exceptions de proxy pour des IP et adresses réseaux source est désormais intégré. Ce type d'exception spécifique à ERA permet de déclarer une adresse IP ou une plage d'adresses IP source qui sera autorisée à contourner le proxy.

Proxy

Les chemins des fichiers de configuration du logiciel Squid ont été modifiés :

  • /etc/squid3//etc/squid/

  • /usr/lib/squid3/usr/lib/squid

Navigation sans proxy

À partir d'EOLE 2.6, la redirection transparente HTTP est remplacée par une redirection vers une page d'information proposée par Nginx.

Techniquement, cela se traduit par le remplacement de la redirection des accès directs HTTP (port 80) vers le proxy local (port 3128) par une redirection vers une adresse dédiée (port 81) dans les modèles ERA. On retrouve ainsi le même fonctionnement que pour la navigation HTTPS.

Depuis une station sur laquelle est appliquée une interdiction de navigation web (avec ou sans horaires), la navigation sans proxy ne subit plus de restrictions particulières. Elle s'effectuera donc avec les règles en place sur le module (par défaut : affichage d'une page d'erreur indiquant que le proxy n'est pas configuré).

Authentification NTLM/SMB

À partir de la version EOLE 2.6.1, l'authentification NTLM/SMB nécessite l'enregistrement du module Amon/AmonEcole dans le domaine Samba. L'enregistrement au domaine est proposé lors de l'instanciation du module. Il n'est plus possible de configurer plusieurs contrôleurs de domaine.

Proxy NTLM

À partir de la version 2.6.1, la configuration a été adaptée afin que Cntlm redirige les requêtes provenant d'une interface vers le proxy qui écoute sur cette même interface.

En effet, sur les versions antérieures, le proxy Cntlm faisait suivre les requêtes proxy vers une seule adresse de proxy (proxy écoutant sur l'interface 1 sur le module Amon) ce qui ne permettait pas de bénéficier correctement des politiques de filtrage liées aux interfaces et source de journaux systèmes erronés.

Le proxy Cntlm fonctionne également en mode une carte, il est donc possible d'avoir ce service sur Eolebase équipé du paquet eole-proxy.

Attention

Le mode modérateur n'est pas compatible avec l'authentification NTLM : #19351.

Filtrage

La gestion du cache e2guardian a été modifiée, les répertoires contenant les différents caches de e2guardian sont désormais dans /var/spool/. Le cache n'est conservé qu'une journée par l'intermédiaire d'eole-schedule[9].

La valeur de pondération du filtrage syntaxique est modifiable.

Certaines règles du mode safe search ont été revues et d'autres ajoutées.

La base de filtrage des sites de traduction a été ajoutée aux bases de filtres optionnels.

Si la deuxième instance de Squid et le filtrage web sont activés, il est désormais possible de configurer les politiques de filtrage associées au 3ème filtre web dans l'EAD (menu filtrage web 3).

RVP

Les opérations du service rvp ont été intégrées dans le service strongswan, il faut donc l'utiliser en remplacement :

root@amon:~# service strongswan start

et

root@amon:~# service strongswan stop

Freeradius

L'activation du proxy RADIUS est désormais possible, celui-ci permet de relayer les requêtes d'authentification vers un autre RADIUS. Certains serveur NAS nécessitent un serveur proxy RADIUS pour le bon fonctionnement de l'authentification.

2.6.2

Accès au backend EAD

À partir de la version EOLE 2.6.2, pour permettre à un frontend EAD[10] distant de se connecter au serveur de commandes de l'EAD local, il faut l'autoriser explicitement pour chaque interface.

Par défaut, l'accès au backend est bloqué pour chaque interface.

Proxy inverse

Le proxy inverse permet dorénavant la redirection des sous-domaines.

Partitionnement et utilisation de l'espace libre

Le partitionnement à l'installation est toujours le modèle EOLE, mais il est modifiable avant l'instance par l'intermédiaire de l'interface de configuration du module.

L'administrateur a donc le choix entre :

  • le modèle de répartition de l'espace disque EOLE : un pourcentage pour chaque volume en fonction des fonctionnalités propres au module et l'espace libre est attribué à l'un des volumes (exemple : /home sur Scribe et Horus) ;

  • un partitionnement entièrement personnalisé : il est possible de créer des volumes et d'indiquer pour chaque volume quel pourcentage de l'espace libre il va utiliser en plus.

Certificat SSL

À partir de cette version, le choix du certificat SSL (autosigné, manuel ou Let's Encrypt) est disponible en mode basique. La commande diagnose affiche tous les noms DNS renseignés dans le certificat du serveur[11].

Serveurs de secours NTP

Il est désormais possible de désactiver l'utilisation d'un pool de serveurs de secours pour la synchronisation de l'horloge.

Cela s'effectue par le biais d'une variable disponible dans le nouvel onglet du mode expert : Ntp.

e2guardian en version 4

Dans la version 4 du logiciel e2guardian, l'ensemble des paramètres liés à la gestion des processus a été remplacé par le paramètre httpworkers qui définit le nombre de processus lancés au démarrage de l'instance de e2guardian.

Paramétrer plus finement les timeout de Squid

Certains paramètres du logiciel Squid étaient en minutes et sont désormais en secondes.

La mise à jour des valeurs s'effectue de manière transparente au chargement de l'ancienne configuration.