Virtualbox / configuration

La VM a été réalisée avec VirtualBox 5.1.30, nous vous conseillons d'utiliser cette version et d'utiliser les VBoxGuestAdditions pour avoir le plein écran.

Elle correspond à une CentOs 7.4 en 64bits (on a choisi une CentOs pour son support de openjdk).

Nous l'avons utilisé en lui allouant 4 CPUs et 4 GB de RAM.

Téléchargement ici (4,5GB bzippé, 8.7GB décompressé) : http://www.esup-portail.org/incoming/grouper-esup-2017.vdi.bz2

Une fois lancée, une session dans mate de l'utilisateur 'grouper' s'ouvre et le navigateur se lance avec pour urls d'accueil ces pages de documentation esup et l'ihm du grouper, cad https://grouper.univ-ville.fr

Description

Dotée de l'environnement de bureau MATE, l'idée est d'utiliser cette VM en autonomie et de manipuler le grouper à l'intérieur de la VM (utilisation de firefox pour accéder à l'IHM de grouper).

Le fichier /etc/hosts a été modifé pour qu'un certain nombre de services correspondent à 127.0.0.1, soit la machine elle-même.

Aussi cette VM embarque : 

• un postgresql
• un openldap ldap.univ-ville.fr
• un apache avec mod_shib et des virtualhosts (ssl) qui sert : 
  • https://idp.univ-ville.fr
  • https://grouper.univ-ville.fr
• un tomcat correspondant donc à un IdP Shibboleth (v3) servi par idp.univ-ville.fr
• le service grouper
  • un tomcat correspondant à l'UI de Grouper servi par grouper.univ-ville.fr
  • scripts & co grouper

Le SSL HTTPS fonctionne avec des certificats auto-signés, on a ainsi dû mettre en place un keystore java.

Le Java utilisé est le openjdk7 proposé par CentOS - on déconseille ici d'utiliser une version du JDK7 d'Oracle qui n'est plus maintenue (publiquement/gratuitement disponible).

Les mots de passe demandés et configurés ont tous été mis à 'esup' (sauf pour le keystore java où le mot de passer est esupesup).

Utilisateurs

Pour vous authentifier sur grouper et donc dans la mire d'authentification Shibboleth univ-ville.fr, vous devez utiliser un login/password intégré dans le openldap embarqué.

Rappel : tous les mots de passe sont 'esup'.

Les utilisateurs (logins) sont les suivants ... et seul joe est administrateur de grouper bien sûr ici  

• joe
• jack
• william
• averell

Ldapbrowser

Dans la VM, un ldapbrowser configuré pour accéder au ldap interne est également disponible (raccourci donné sur le bureau), cela peut vous permettre d'ajouter des utilisateurs, de voir les groupes se synchroniser effectivement, ...

Note sur cette VM

Attention, si cette VM se veut être un bon point de départ pour une installation de grouper, elle n'est pas parfaite, de plus dans une installation institutionnelle de ces différents services, il y aurait un certain nombre de points à revoir.

Liste non exhaustive des points que l'on peut améliorer : 

• la partie logs n'est pas (ou pas complètement) configurée : logrotate, rsyslog, log4j, ...
• les configurations apache sont minimes (pas de cache dans les header, de memcache ou autre)
• les certificats ssl pour les virtualhost sont auto-signés 
• l'arborescence de grouper n'est pas réfléchi - n'hésitez pas à consulter les Contributions d'établissements à ce propos
• le ldap pourrait contenir un peu plus d'utilisateurs que la seule famille daltons
• peu de groupes sont proposés : nous n'avons pas fait de groupes composites ni de groupes dynamiques très avancées avec SQL_GROUP_LIST par exemple - nous avons cependant un groupe dynamique SQL_SIMPLE basé sur une table postgresql qui est mis à jour toutes les 30 minutes par requêtes sql depuis le crontab de la VM
• ...

Screenshots

Copies d'écran depuis la VM Grouper d'ESUP
Mire d'authentification de l'IdP intégré	Authentification/identification shibboleth	IHM de Grouper avec arborescence
Focus sur un groupe dynamique utilisant une BD postgresql de la VM	Groupe dynamique configuré via l'ancienne IHM de grouper	Affichage et requêtage ldap au travers de ldapbrowser et ldapsearch
VM Grouper Esup avec VirtualBox