docDans le cadre de l`extension du projet « Point Etude
download 
Plainte Transcription
Dans le cadre de l`extension du projet « Point Etude
Cahier des Clauses Techniques Particulières Dans le cadre de l’extension du projet « Point Etude » : Etude de faisabilité Réseau Eduroam Fourniture, installation et paramétrage de hotspots Nom et adresse de l’organisme acheteur : Université de Rennes 1 2 rue du Thabor – CS 46510 35065 Rennes cedex 1|Page Informations générales Dans le cadre d’un projet mené en collaboration avec le Conseil régional de Bretagne et les Conseils généraux des Côtes d’Armor, du Finistère, d’Ille et Vilaine et du Morbihan, l’Université de Rennes 1 renouvelle les bornes wifi du réseau Point Etude et installe de nouveaux sites. Le projet « Point Etude » est né de la volonté des établissements d’enseignement supérieur de Bretagne et des collectivités de permettre aux étudiants, lycéens et collégiens d’accéder, près de leur lieu de résidence principal, à un point d’accès gratuit à leur Espace Numérique de Travail. Situés généralement au sein des bibliothèques/médiathèques, les Points Etude sont des espaces publics ouverts à tous les étudiants de Bretagne (Université de Rennes 1, de Rennes 2, de Bretagne Occidentale, de Bretagne Sud, de l’IUFM de Bretagne et de certaines grandes écoles). Ce dispositif prévoit la mise à disposition des équipements suivants : • Ordinateur fixe • Borne wifi A l’initiative de ce projet, l’Université de Rennes 1 lance une consultation divisée en 2 lots : - Lot 1 : Etude de faisabilité de déploiement d’un réseau Eduroam - Lot 2 : Fourniture, installation et maintenance de bornes wifi 2|Page Lot 1 - Etude de faisabilité du déploiement du réseau Eduroam 1. Etude de faisabilité En 2008, 40 bornes wifi ont été installées dans des bibliothèques municipales de Bretagne. Le mécanisme d’authentification utilisée est la fédération d’identité. La connexion à internet via ces bornes se décompose de la manière suivante : - L’usager se connecter au SSID « ENT » - Etablissement d’un tunnel VPN entre le Point Etude et l’université - Accès au portail captif de l’université de Rennes 1 qui demande une authentification sur l'IDP (Identity Provider) mis en place dans les établissements et qui relaie les requêtes vers les annuaires des différents établissements. Une fois l'authentification validée, l'accès à l'Internet est autorisé par le portail captif. Le matériel déployé : - Concentrateur Zyxel ZW 35 installé au Centre de Ressources informatiques de Rennes 1 - Borne routeur wifi Zywall 2W2G - Routeur Zywall 2W2P - Borne wifi Zyair G1000 L’objet de l’étude vise à définir s’il est possible d’installer un second réseau wifi : le réseau Eduroam. Le service eduroam vise à offrir un accès sans fil sécurisé à l’Internet, aux personnels des établissements d’enseignement supérieur et de recherche lors de leurs déplacements, à une échelle nationale ou internationale. L’infrastructure d’authentification mise en place s’appuie sur la norme 802.1X et utilise un protocole radius. En effet, les universités, en général, mettent à disposition des personnels, des enseignants et des étudiants deux réseaux wifi : la fédération d’identité et Eduroam. Le réseau Eduroam est en général utilisé par les enseignants chercheurs en mobilité. Le niveau de sécurité d’Eduroam est plus élevé que la fédération d’identité car tous les flux entre le poste client et la borne wifi sont chiffrées. Eduroam nécessite également la configuration d’un client 802.1X. Dans le cadre cette étude de faisabilité, il conviendra de définir si le déploiement d’Eduroam peut se faire dans le respect de la charte Eduroam (http://www.renater.fr/IMG/pdf/Charte_eduroamFR.pdf) qui oblige les établissements à : - Mettre en œuvre un service d’authentification Radius - Choisir une méthode d’authentification conforme au niveau de sécurité demandé - Informer ses utilisateurs sur l’existence du service et la façon d’y accéder - Informer ses utilisateurs sur l’obligation lors de leur déplacement - Offrir un service d’assistance à ses utilisateurs - Protéger les données d’authentification des utilisateurs (chiffrage des identifiants des utilisateurs - Protection du trafic utilisateurs 3|Page - Traçabilité : les mesures appropriées doivent être mises en œuvre pour pouvoir identifier l’utilisateur d’une adresse IP 2. Installation et paramétrage du réseau Eduroam Le candidat devra transmettre avec ses conclusions une proposition détaillée sur les volets technique et financier et les modalités de déploiement : - Calendrier - Pré-requis techniques à respecter par le site concerné et l’université de Rennes 1 Sur chaque site, la société procédera à l’installation d’Eduroam, s’assurera du bon fonctionnement de la borne et sera en mesure de certifier la connexion via le réseau Eduroam et via le réseau fédération d’identité depuis le poste informatique « Point Etude » vers Internet et les sites web de l’université. Le client s’engage à mettre à disposition du candidat tous les éléments nécessaires à la bonne réalisation de l’étude. 4|Page Lot 2 - Fourniture, installation et maintenance des bornes « Point Etude » 1. Fourniture des Hotspots L’université de Rennes 1 souhaite renouveler des bornes wifi Point Etude installées dans des bibliothèques municipales dans les quatre départements bretons ou installer des bornes wifi dans de nouveaux sites. L’objectif est d’harmoniser le mécanisme d’authentification avec les bornes wifi installées en 2008 qui fonctionnent avec une authentification basée sur la fédération d’identité et shibboleth. Voici ci-dessous les caractéristiques du matériel recherché dans le cadre de l’opération Point Etude. Spécifications techniques : Le Hotspot « Point Etude » devra assurer les fonctions suivantes : - Passerelle d’accès Internet pour les réseaux ADSL (gestion PPOE), avec contrôle d’accès - Point d’accès WLAN pour les stations nomades - Commutateur 4 ports pour les stations fixes - Gestion NAT dynamique - Possibilité de limitation du débit par utilisateur - Déploiement de 2 réseaux wifi : Eduroam et la fédération d’identité - Le Hotspot est accessible en télémaintenance pour le titulaire du marché et les services de l’université, quand le Point Etude est installé sur un réseau dédié. Sécurité : - Identification / Authentification des utilisateurs (le mot de passe de l’utilisateur peut accepter tous les caractères de la table ASCII (valeur décimale comprise entre 048 et 126) - Sécurité de connexion SSL - Les clients sont isolés les uns des autres a) Eduroam (cf caractéristiques de la charte Eduroam page 3) b) Fédération d’identité Pour pouvoir accéder à l'Internet, les utilisateurs doivent s'authentifier auprès des annuaires des établissements qui les accueillent. Le mécanisme employé est basé sur la fédération d'identité et Shibboleth : - La fédération d’identité a pour objectif de faciliter le partage de ressources numériques en ligne entre établissements d'enseignement supérieur en interconnectant leurs services d'authentification. Il 5|Page devient alors possible d'ouvrir l'accès à une ressource numérique (pédagogique, scientifique, éditoriale, application métier, etc.) à une population identifiée, sans devoir gérer localement l'enregistrement des utilisateurs. Shibboleth est une application Open Source, développée en Java. Elle améliore la sécurité de l'accès aux applications extérieures. Plus d’informations techniques sur la fédération d’identité et Shibboleth sur le site http://federation.cru.fr/. Deux mécanismes sont envisageables (annexe 1) : Variante 1: Mécanisme compatible à 100% avec la fédération d’identité Les points d'accès comprennent un portail captif capable d'échanger avec une fédération d'identité. Les utilisateurs, une fois identifiés, ont accès à l'Internet. Le mécanisme est le suivant: L'utilisateur se connecte sur le SSID du point d'accès. Se faisant, il tombe automatiquement sur un portail captif (présent dans le point d'accès ou lié à celui-ci) qui lui demande une authentification (phase 1) sur l'IDP (Identity Provider) mis en place dans les établissements et qui relaie les requêtes vers les annuaires des différents établissements (phase 2). Une fois l'authentification validée, l'accès à l'Internet est autorisé par le portail captif (phase 3). Le paramétrage des points d'accès sera mené en collaboration avec les équipes techniques de l'université. Variante 2 : Mécanisme incluant un concentrateur VPN Le mécanisme est plus complexe. Tous les flux des bornes, encapsulés dans des VPN, sont ramenés sur un concentrateur de VPN (phase 1). L'utilisateur se connecte sur le SSID du Point Etude. Son authentification est ramenée sur le concentrateur de VPN (phase 2). Il tombe alors automatiquement sur un portail captif (du concentrateur ou de l'Université). Celui-ci relaie la requête sur l'IDP (phase 3). Celui-ci relaie la requête vers les annuaires des différents établissements (phase 4). Une fois l'authentification validée, l'accès à l'Internet à travers le concentrateur est autorisé. Ce mécanisme avait été mis en place pour les bornes déployées en 2008. Si cette option est retenue par le candidat, il sera tenu de tenir compte de l’infrastructure existante à Rennes 1 c'est-à-dire du concentrateur VPN Zywall ZY-ZW1050. Le paramétrage des points d'accès et du concentrateur VPN sera mené en collaboration avec les équipes techniques de l'université. 6|Page 2. Installation et paramétrages des Hot Spots Outre la fourniture des Hot Spots, la société retenue devra s’engager à acheminer le matériel jusqu’aux sites retenus sur l’ensemble du territoire breton. Sur chaque site d’utilisation, la société procédera à l’installation de la borne, s’assurera du bon fonctionnement de la borne et sera en mesure de certifier la connexion au réseau local depuis le poste informatique fourni par l’Université au site utilisateur, vers Internet et les sites web de l’université. Pour cela, le titulaire s’engagera à : - Installer la borne à proximité du poste Informatique « Point Etude » - Paramétrer le Hot Spot selon les besoins de l’université : Si le Point Etude est installé sur une ligne téléphonique spécifique. Le compte d’accès Internet est mis à disposition par le site utilisateur du Hot Spot. Le fonctionnement de la ligne ADSL aura été vérifié dans le cadre de la fourniture et de l’installation du modem. Que ce soit en abonnement dédié ou sur du réseau existant, le titulaire du lot devra : - S’assurer du bon fonctionnement complet du Hot Spot : la vérification est effectuée en établissant une connexion Internet depuis le poste de travail fourni par l’Université (en wifi ou en Ethernet selon la configuration) via l’utilisation d’un compte de démonstration fourni par l’Université). - Valider l’installation avec l’Université de Rennes 1: le technicien appellera Laëtitia Casimir, chargée de projet UEB C@mpus joignable au 02 23 23 52 61 ou le CIRM au 02 23 23 39 99 pour lui communiquer les login et mot de passe des bornes. La chargée de projet situé au CIRM de Rennes 1 devra pouvoir se connecter à distance à la borne. Le matériel sera garanti un an pièce et main d’œuvre. Le titulaire transmettra une proposition détaillé pour une extension de garantie de deux ans Le titulaire proposera une hotline pour assurer l’accueil et le traitement des signalisations concernant le fonctionnement du Hot Spot. Cette hotline sera ouverte dans les plages de fonctionnement des sites d’utilisation (6 jours sur 7, du lundi au samedi de 8 heures à 18 heures) Le titulaire proposera un contrat d’assistance pour la maintenance du hot Spot qui inclut : - Le rétablissement à j+1 du fonctionnement du routeur en cas de panne - La vérification du paramétrage réseau des postes du réseau local - La vérification du paramétrage du navigateur Internet Le coût annuel de ces deux prestations de hotline et de maintenance sera précisé dans la réponse à ce lot. Le titulaire aura à charge ces deux prestations. Quantité maximale : 72 pièces 7|Page Annexe 1: Schéma d’illustration des mécanismes de fédération d’identité Option 1 : Mécanisme compatible à 100% avec la fédération d’identité Internet Point d'accès 3 UBS Portail captif Shibolleth IDP 2 1 UHB UR1 Option 2 : Mécanisme incluant un concentrateur VPN Internet Point d'accès UBS 1 5 Concentrateur VPN IDP 4 UHB 2 3 Portail captif Shibboleth UR1 8|Page
