Skip to main content

Doc Olfeo On-prem

Notes de version d'Olfeo On premises

Retrouvez ici l'ensemble des notes de version d'Olfeo On premises v7.

Retrouvez ci-après les principaux changements et nouvelles fonctionnalités de la v7

Les notes de version de la v6 sont accessibles ici.

7.7.8

12 Mars 2025

Quoi de mieux ?

Gestion des utilisateurs synchronisés

Lors d'une synchronisation, si des utilisateurs doivent être supprimés, ils sont à présent bien supprimés de l'annuaire cible dans Olfeo On premises et apparaissent alors comme inconnus dans la vue "temps réel" (si cela est autorisé bien sur).

Gestion des logs

Les logs de REDIS sont à présent gérés par journalctl.

7.7.7

06 Février 2025

Quoi de mieux ?

Correctifs sur l'authentification

Accès à l'interface d'administration : l'authentification en LDAPS d'administrateurs provisionnés fonctionne à nouveau.

Navigation d'utilisateurs finaux : dans certains cas aux limites, l'authentification par portail public ne prend plus le dessus sur une authentification forte (kerberos) et les politiques appropriées sont bien appliquées.

Sortie d'un esclave du domaine olfeo

La réinitialisation de la base d'utilisateurs d'un esclave lors de sa sortie du domaine olfeo est améliorée.

Interface d'administration

Des mentions rémanentes aux proxys FTP et RTSP ont été supprimées.

Mises à jour de sécurité

Bien qu'inexploitables dans son contexte d'usage, Elasticsearch est mis à jour vers la version 8.17.1 pour corriger des CVE.

7.7.6

17 Janvier 2025

Quoi de mieux ?

Amélioration du support de Kerberos

Le moteur de filtrage supporte à présent l'usage des noms d'utilisateurs contenant une majuscule mais authentifiés en kerberos.

Fiabilisation suite à une mise à jour.

L'authentification sur un esclave lors des mises à jour de domaines est fiabilisée.

Mise à jour de l'OS vers Debian 12.9 & PostgreSQL 15.10

Cette version inclut également les diverses mises à jour de sécurité de Debian et le passage à Debian 12.9.

PostegreSQL est mis à jour vers la version 15.10 pour corriger la faille CVE-2024-10979

7.7.4

17 Décembre 2024

Quoi de mieux ?

Authentification sur l'interface d'administration

L'usage de caractères spéciaux dans les mots de passe est mieux supporté : tous les caractères spéciaux peuvent à présent être utilisés.

L'authentification est à nouveau possible après la restauration d'une sauvegarde sans redémarrage manuel du service d'authentification.

Modèles et messages

L'usage de modèles de messages personnalisés pour la configuration d'un portail captif authentification est à nouveau possible et ne génère plus d'erreurs.

Le serveur de pages de blocages n'échappe plus certaines balises HTML ajoutées au modèle par l'administrateur pour l'outrepassement d'un blocage.

Mise à jour

L'usage d'un proxy parent pour la récupération des paquets de mise à jour est à nouveau possible sans contournement spécifique.

Support

L'activation d'un tunnel support vers le Support olfeo est à nouveau possible.

7.7.3

20 Novembre 2024

Quoi de mieux ?

Améliorations d'ergonomie et de performances

La configuration du proxy a été ajustée pour corriger une fuite de mémoire affectant les performances sous forte charge.

La journalisation de BlockingPageServer est ajustée pour limiter l'empreinte sur les performances.

Les pages de sensibilisation n'affichent plus de bouton d'outrepassement à tort.

Mise à jour de l'OS vers Debian 12.8

Cette version inclut également les diverses mises à jour de sécurité de Debian et le passage à Debian 12.8.

7.7.2

25 Octobre 2024

Quoi de mieux ?

Divers correctifs ont été apportés à la gestion des droits :

  • Tous les administrateurs disposant des permissions "administrateurs" peuvent déclarer un esclave depuis l'interface de configuration.

  • La gestion de certains objets (diffusions par ex.) ne tient plus compte de l'ancien système de droits et de propriétés d'objets.

  • Un administrateur métier peut à nouveau (re)lancer des tâches, notamment de synchronisation.

  • Un lecteur ne peut plus modifier de politiques de sécurité sous certains cas aux limites.

Diverses corrections sont apportées au nouveau module de gestion des administrateurs (ergonomie, cas aux limites, gestion de l'authentification).

  • L'édition d’un groupe importé affiche à nouveau bien ce groupe à la première étape de l'assistant d'édition.

  • Lors de la déclaration "groupée" ’ d’un grande nombre de groupes d'admins, la liste de ces groupes est désormais correctement affichée au sur la page listant les groupes d'administrateurs provisionnés.

  • Il n'est plus possible d'ajouter un administrateur sans scope de population à administrer.

  • La case "Sélectionner l'ensemble des populations" est désormais sélectionnée par défaut lors de la création d'un nouvel administrateur (local ou provisionné).

7.7.1

02 Octobre 2024

Quoi de mieux ?

Les mots de passe d'administrateurs existants sont bien conservés lors de la mise à jour depuis une 7.6

Certaines fonctionnalités soumises à licence d'usage étaient accessibles à tort.

Diverses corrections sont apportées au nouveau module de gestion des administrateurs (ergonomie, cas aux limites, gestion de l'authentification).

Les performances au démarrage sont améliorées.

7.7.0

17 Septembre 2024

Quoi de neuf ?

Refonte de la gestion des administrateurs et des droits

La gestion des administrateurs a été profondément revue pour plus de simplicité d'administration et l'adaptation aux contextes contemporains.

Il est désormais possible d'avoir des administrateurs "locaux" et des administrateurs "provisionnés" dont le cycle de vie est géré en dehors d'Olfeo On premises.

La gestion des niveaux de droits a été simplifiée pour définir 3 niveaux globaux de permissions, adressant la majorité des cas d'usages. Il est désormais possible de définir :

  • des administrateurs (globaux) : ils disposent de tous les droits -métier et technique, et peuvent consulter les statistiques.

  • des administrateurs métier, ils peuvent administrer les objets "métier" (politiques de filtrage, listes de domaines et d'URL, paramètres de sensibilisation (chartes informatiques, Studio)) et consulter les statistiques - adaptés aux administrateurs métier délégués ou au helpdek

  • des lecteurs, ils ne peuvent que visualiser les paramétrages et objets métier et consulter les statistiques - adaptés aux personnes en charge du contrôle ou aux managers métier par ex.

Problème connu

Suite à une mise à jour depuis une 7.6.x, les mots de passe des administrateurs ne sont pas conservés. il vous sera nécessaire de réinitialiser le mot de passe d'au moins un administrateur local depuis le shell via l'utilitaire /opt/olfeo/bin/admin_reset_password <admin_login> change_admin_password pour pouvoir vous connecter.

Ce problème sera réglé dans les tous prochains jours avec la 7.7.1

Déléguer la gestion du provisionnement et de l'authentification des administrateurs

Il est désormais possible de définir des groupes d'un annuaire synchronisé comme des groupes d'administrateurs pour faciliter la gestion des administrateurs d'Olfeo On premises.

Les membres de tels groupes bénéficient automatiquement des droits associés à ce groupe et peuvent s'authentifier sur l'interface d'administration en utilisant leur login et mot de passe d'annuaire.

Gestion des logs par journalctl

La gestion des logs techniques et applicatifs est désormais principalement confiée à l'outil standard journalctl.

NB : quelques services peuvent encore loguer certains messages dans /var/log mais cela constitue une exception rare qui disparaîtra dans les prochaines mises à jour.

Changement par rapport à Olfeo On premises v6

La consultation des journaux évolue en conséquence : les logs ne sont plus dans /var/log mais consultables via l'outil standard journalctl.

Supervision externe

L'ergonomie de la configuration de la supervision externe de vos Olfeo On premises via SNMP (v3) est améliorée.

Abandon du support de SNMP v2

Il n'est plus possible d'utiliser la v2 du protocole SNMP pour transmettre des informations de supervision. Seule la v3 reste supportée.

Quoi de mieux ?

Mise à jour de l'OS vers Debian 12.7

Le système hôte est mis à jour vers Debain 12.7

Refonte technique de la gestion du service des pages de sensibilisation

Le service gérant l'affichage des pages de sensibilisation et de blocage a été entièrement revu pour améliorer les performances et la stabilité de ce service. Aucun changement fonctionnel n'a été apporté.

Sécurité et Performances

Cette version apporte différents correctifs de sécurité et de performances, notamment lors du démarrage du système.

7.6

7.6.3

12 Juillet 2024
Quoi de mieux ?
Améliorations de la mise à jour des bases Olfeo

Les bases de données Olfeo sont dorénavant mises à jour de façon incrémentale toutes les demi-heures.

Par sécurité, une mise à jour complète est effectuée toutes les nuits.

Correctifs divers

Cette version corrige un problème lors du téléchargement d'éléments depuis l'interface.

Lors de l'installation d'une nouvelle VM et de son paramétrage initial avec olfeo-console, le paramétrage du serveur de noms est dorénavant bien effacé s'il n'est plus nécessaire (présence d'une interface en DHCP).

Les données de métrologie et les URL inconnues sont à nouveau correctement remontées à Olfeo pour analyse (lorsque les remontées d'information sont activées).

Sécurité & Mises à jour

Cette version inclut également les diverses mises à jour de sécurité et le passage à Squid 6.10.

7.6.2

02 Juillet 2024
Quoi de mieux ?
Améliorations de l'installation

Lors de l'installation d'une nouvelle VM, olfeo-console permet à présent de configurer directement un serveur de nom dans le cas où l'interface réseau est définie avec une IP statique.

Amélioration de l'assistant de configuration initiale

Il est désormais à nouveau possible d'utiliser un proxy parent pour router le trafic "administratif" de votre Olfeo On premises vers Internet.

L'assistant de configuration initiale intègre une nouvelle étape pour permettre ce paramétrage indispensable pour valider la licence dans un environnement où l'accès direct à internet n'est pas permis.

Pour les installations comportant de nombreuses machines, il est désormais possible d'exporter le contenu de la configuration initiale lots de l'installation de la première machine pour l'importer en début d'assistant et gagner du temps et de la sécurité de saisie lors de l'installation des machines suivantes.

Améliorations diverses

Cette version corrige quelques régressions sur l'interface de configuration.

Mise à jour de l'OS vers Debian 12.6

Cette version inclut également les diverses mises à jour de sécurité de Debian et le passage à Debian 12.6.

7.6.1

22 Mai 2024
Quoi de mieux ?

Cette version corrige quelques régressions (pages non-affichées dans le menu, fonction de "zoom" des statistiques)

Le chiffrement des images de VM est dorénavant compatible avec les hyperviseurs vCenter récents de VMWare.

7.6.0

25 avril 2024
Quoi de neuf ?
Premières pages natives dans la nouvelle interface d'administration

Les pages de gestion des connexions syslog sont migrées dans le nouveau modèle d'ergonomie.

Nouvel assistant de configuration

L'assistant de configuration change de look'n feel et se simplifie pour rendre l'expérience de configuration plus moderne, simple et fluide.

Configuration des VM : nouvel utilitaire de configuration en CLI

olfeo-console remplace confconsole introduit en 7.3.

Il est désormais lançable en root et permet de modifier le mot de passe de l'utilisateur root, de modifier les paramètres réseau de la VM ainsi que la langue du clavier du système hôte.

Changement pour les utilisateurs familiers d'Olfeo On premises v6

Lorsque vous démarrez une VM d'Olfeo On premises v7 pour la première fois, connectez-vous en SSH pour ajuster le paramétrage des interfaces réseau à votre convenance et modifier le mot de passe root (celui-ci n'est plus modifiable depuis l'assistant de configuration) !

Quoi de mieux ?
Meilleure prise en compte des modifications de listes de domaines ou d'URL par le proxy

Le proxy prend mieux en charge certaines modifications de configuration et limite les impacts sur les utilisateurs, notamment lors de la modification d'éléments utilisés dans les configurations du filtrage (listes de domaines ou d'URL par exemple.)

Plus largement, les occurrence où le proxy doit redémarrer ont été très drastiquement limitées pour préférer un rechargement de configuration quand cela est possible et limiter l'impact sur les utilisateurs lorsque ces modifications sont apportées en horaires ouvrés.

Configuration par défaut & connexion en SSH

Un nouveau message d'accueil est affiché lors de la connexion en SSH.

Par défaut, le réseau des VM est configuré pour se connecter en DHCP sur eth0.

Fix de sécurité

Cette version apporte différents correctifs de sécurité et de performances.

Mise à jour de l'OS vers Debian 12.5

Le système hôte est mis à jour vers Debain 12.5.

Améliorations techniques et préparation des releases suivantes

Cette version apporte de profonds changements (invisibles pour l'instant) sur la gestion des utilisateurs et du modèle sous-jascent de gestion des objets de configuration qui sont nécessaires pour préparer les prochaines versions.

7.5

7.5.3

04 avr. 2024
Quoi de mieux ?
Mise à jour de Squid

Squid est mis à jour vers la version 6.8 pour tenir compte des CVE récentes (CVE-2024-25111 notamment)

7.5.2

22 Jan. 2024
Quoi de mieux ?
Mise à jour de Squid

Squid est mis à jour ers la version 6.5

Plus généralement, la mise à jour du composant Olfeo On premisessquid dans suivra dorénavant un processus de mise à jour qui suit celui de debian-testing pour inclure plus rapidement les correctifs de sécurité sur la dernière version stable de Squid.

Mise à jour du système hôte

Debian est mis à jour vers la version 12.4.

7.5.1

21 Déc. 2023
Quoi de mieux ?
Gestion du cache

La gestion du cache a été ajustée pour régler un problème qui pouvait empêcher la navigation des utilisateurs.

Gestion des mises à jour

Diverses améliorations générales sont apportées pour faciliter la mise à jour d'Olfeo On premises.

7.5.0

15 déc. 2023

Toute première release beta privée de la v7 - cette note récapitule les principaux changements par rapport à la v6.

Principaux changements de la v7 par rapport à la v6

Changements majeurs

Architectures & intégrations supportées en v7

Seules les intégrations en proxy explicite et proxy transparent (interception) sont conservées. Dans ce dernier cas, la redirection des flux HTTP/S doit être faite par un dispositif externe (e.g firewall ou autre).

Les modes d'intégration en capture ne sont plus supportés ni possibles, qu'on soit avec une architecture réseau en copie ou en coupure.

NB : fonctionnellement intrinsèquement limités, les modes d'intégration en capture ne sont plus possibles quand Olfeo On Premises est exécuté dans une VM (un bridge ou une configuration en routeur est nécessaire, ce qui est très rarement le cas dans un contexte de VM).La v7 n'étant pas prévue pour être installée sur les appliances Olfeo, ces modes sont donc officiellement dépréciés.

Changement du mode de livraison des artefacts

Les artefacts officiellement publiés par Olfeo sont à présents des images de machines virtuelles Debian 12 au format .ova. (voir ci-dessous pour la politique de suivi de mise à jour).

Types de proxys supportés en v7

En v7. : seul le proxy HTTP/S est conservé.

Obsolètes et très peu utilisés, les proxys FTP, RTSP, SOCKS et TCP ne sont plus disponibles.

NB : le FTP over HTTP reste possible.

Nouvelle interface d'administration

Nouvelle page d'accueil : le Trust-Center

Harmonisation du look'n feel de l'interface d'administration sur le Design System d'Olfeo.

Séparation de l'interface de configuration du backend.

Nouvelles fonctionnalités et mises à jour

Changements techniques
Système

Passage à Debian 12 "Bookworm".

Support complet de systemd (abandon de l'usage de systemctl)

Principales mises à jour (en 7.5.0) :

  • MaJ vers Squid 6.8

  • MàJ vers ClamAV 1.0.

  • MàJ vers libssl 3

  • MàJ vers Postgre 17

  • MàJ vers Elastic 8

Politique de mise à jour des composants

Les composants principaux suivent les versions du canal debian-stable sauf pour squidcache pour lequel Olfeo On premises suit le cycle de debian-testing (meilleur compromis réactivité/stabilité).

Segmentation du stockage des données

Séparation du stockage sur quatre volumes : système (et olfeo), données PG et données ES

Langages

Passage du code python 3.4 à 3.11

Passage du code python 2.x à 3.11 - en cours.

Pyhton 2.x & problématiques de sécurité

Le code python 2.x restant sera progressivement décommissionné à mesure de la refonte de l'interface d'administration du produit, ce chantier prendra encore du temps.

La sécurité d'Olfeo On premises n'est toutefois pas affectée, ce code n'étant pas accessible depuis l'extérieur d'une machine.

Journaux d'applications

La journalisation des applications et services utilise dorénavant journalctl.

Composants Olfeo

Une refonte profonde des composants clés d'Olfeo On premises a eu lieu :

  • Refonte de sysconfig : amélioration de l'exploitabilité

  • Refonte de userbase : amélioration des performances et d'évolutivité

  • Refonte de confbase : mise en place d'une architecture frontend/backend indépendants

Changements fonctionnels majeurs
Nouvelle gestion des administrateurs & des droits et support d'administrateurs provisionnés

Les administrateurs peuvent être locaux (iso v6) ou provisionnés depuis un annuaire d'entreprise (nouveau), l'authentification est faite contre l'annuaire dans ce dernier cas.

La gestion de droits d'administration a été simplifiée en "profils".

Il n'y a plus de notion de hiérarchie (père-fils) ou de notion d'appartenance d'objets.

Nouvelle interface de configuration du réseau

olfeo-console, Un client de configuration en ligne de commande est disponible pour paramétrer le réseau de la machine virtuelle suite à la création de la VM pour lui permettre d'accéder à Internet et de valider la licence.

Fonctionnalités dépréciées

Produits arrêtés

Les produits suivants ne sont plus disponibles en v7 :

  • Filtrage protocolaire

  • Portail public

  • intégration à Campus

Filtrage web
Catégories personnalisées

Il n'est plus possible de créer des catégories spécifiques ou de modifier les catégories Olfeo.

Politiques de filtrage

La sélection de types de flux spécifiques dans les politiques de filtrage n'est plus possible : tous les flux HTTP/S seront concernés par défaut.

L'allocation de quotas de consommation (en temps ou en volume de données) n'est plus possible

Paramétrage avancé du proxy HTTP
Types de proxys

Les proxy TCP, SOCKS, RTSP, FTP sont définitivement décommissionnés.

Le support du FTP over HTTP reste possible via le proxy HTTP.

Méthodes d'authentification du Proxy HTTP

Les méthodes d'authentification suivantes ne sont plus supportées :

  • Kerberos 2003

  • Kerberos (natif)

  • GSuite

Les méthodes d'authentification "transparentes" disponibles sont Kerberos 2008 et NTLM.

Déchiffrement TLS

L'usage de regex pour la définition de destinations dans les règles de déchiffrement n'est' plus possible.

La sélection de ports de proxy spécifiques n'est plus possible.

Cache

Le paramétrage avancé du cache et ses statistiques pour le proxy ne sont plus affichés (utile à une époque où la bande passante était une ressource rare, cette fonction de paramétrage avancé du cache n'a aujourd'hui plus beaucoup de sens).

Astuce

pour les cas les plus spécifiques, il reste possible d'appliquer des directives "sur-mesure" pour Squid

Administration de l'Olfeo
Moteurs de règles utilisateurs

L'onglet Connexion qui gère l'établissement des connexions aux destinations pour les serveurs TCP, SOCKS et FTP est supprimé.

L'onglet Aperçu qui gère l'analyse de fichiers en cours de réception est supprimé.

Dans l'onglet Accès, l'action suivante n'est plus possibles : SSO LDAP

Gestion des utilisateurs

L'attribution d'une adresse MAC par utilisateur n'est plus possible.

Messages

Entamée il y a 10 ans, la transition des "messages" s'achève et ils sont définitivement remplacés par le Studio pour la mise en place de pages de sensibilisation.

NB: l'authentification via le portail captif d'Olfeo On premises et les chartes utilisent encore ce composant.

Paramétrage
Architectures : intégrations et connecteurs

Seule est conservée la possibilité de paramétrer une intégration en ICAP.

L'ensemble des intégrations et connecteurs prédéfinis aux proxys externes (Juniper, Cisco, Netscreen etc.) est supprimée.

Système : gestion de la console d'administration.

Le support du HTTPS est le choix par défaut pour l'affichage de l'interface d'administration : il n'est plus possible de passer l'interface d'administration en HTTP.

Réseau

La définition de passerelles SMS n'est plus possible pour la notification d'erreurs.

Supervision : onglet "Etat"

Du fait du changement de nature profonde du mode de livraison d'Olfeo On premises, l'onglet Etat n'a plus de sens et est donc supprimé.

Paramétrages avancés

ICAP : l'ajout de méthodes HTTP spécifiques ne sera plus possible

Passerelles : l'ajout de passerelles spécifiques ne sera plus possible.

DNS inverse : le mode d'usage d'Olfeo On premises en DNS inverse ne sera plus possible

Dans cette section​: