The mailing list for users of the eduroam Configuration Assistant Tool (CAT)

[Grégory Mounié <Gregory.Mounie AT imag.fr>]

 Bonjour

 Ayant 3 tutelles, j'ai 3 établissements qui me fournissent en 
permanence une authentification à Eduroam.
 Cela m'est fort utile pour contourner certains problèmes (exemples du 
moment, 1 problème chacun: filtrage du outer identity anonymous sur 
certains concentrateurs; authentification défaillante (je ne sais pas 
encore pourquoi); certificats ne passant plus le nouveau niveau minimal 
de sécurité par défaut de la libSSL)

 Je viens de me faire (re)-surprendre par les installeurs cat sous 
Linux, qui effacent sans avertissement toutes les connexions utilisant 
le SSID eduroam. (et deux autres points annexes à la fin)

 Deux alternatives me semblent possibles et peu coûteuses:

 1) Simple et facile: Prévenir l'utilisateur ! Comme pour le répertoire 
.cat_installer avec une fenêtre d'avertissement.

 Par exemple, vers la ligne 213 (avant le certificat)

 if ! ask "Le répertoire $HOME/.cat_installer existe. Certains des 
fichiers qu'il contient peuvent être écrasés." ...
# AJOUT
 if ! ask "Toutes les configurations de connections précédentes à 
'eduroam' vont être effacées" ...

 2) Une alternative serait de n'effacer que la connexion ayant l'id 
"eduroam", celle qui va être écrite

connection_settings = connection.GetSettings()
if connection_settings['connection']['type'] == '802-11-wireless':
     conn_ssid = 
self.byte_to_string(connection_settings['802-11-wireless']['ssid'])
     if conn_ssid == ssid and connection_settings['connection']['id'] 
== 'eduroam' :
          connection.Delete()

 Le deuxième choix change la sémantique de l'installeur (risque de 
résidus chez les utilisateurs), mais il n'a rien de "surprenant" 
(effacement d'un nombre quelconque de données de configuration sans 
préavis).

 Amicalement,
 Grégory Mounié

Annexe 1: Je trouve "peu sécurisé" de demander le mot de passe et forcer 
son stockage en clair par Networkmanager alors qu'il suffit de ne pas le 
demander (deux fenêtres de questions en moins; stockage crypté par le 
gestionnaire de secret de la session à la première connexion si besoin)

Annexe 2: l'utilisation de "nmcli" raccourcirait aussi beaucoup le 
script: 1 seule ligne pour créer le profil à la place de 150 lignes de 
python parlant dbus.

--
G. Mounié - Associate Prof., Univ. Grenoble Alpes (Grenoble-INP/Ensimag)
LIG - Datamove Inria team, off. 440, IMAG building,+33(0)457 421 533, FR