Skip to main content

Doc Olfeo On-prem

Principaux changements de la v7 par rapport à la v6

Changements majeurs

Architectures & intégrations supportées en v7

Seules les intégrations en proxy explicite et proxy transparent (interception) sont conservées. Dans ce dernier cas, la redirection des flux HTTP/S doit être faite par un dispositif externe (e.g firewall ou autre).

Les modes d'intégration en capture ne sont plus supportés ni possibles, qu'on soit avec une architecture réseau en copie ou en coupure.

NB : fonctionnellement intrinsèquement limités, les modes d'intégration en capture ne sont plus possibles quand Olfeo On Premises est exécuté dans une VM (un bridge ou une configuration en routeur est nécessaire, ce qui est très rarement le cas dans un contexte de VM).La v7 n'étant pas prévue pour être installée sur les appliances Olfeo, ces modes sont donc officiellement dépréciés.

Changement du mode de livraison des artefacts

Les artefacts officiellement publiés par Olfeo sont à présents des images de machines virtuelles Debian 12 au format .ova. (voir ci-dessous pour la politique de suivi de mise à jour).

Types de proxys supportés en v7

En v7. : seul le proxy HTTP/S est conservé.

Obsolètes et très peu utilisés, les proxys FTP, RTSP, SOCKS et TCP ne sont plus disponibles.

NB : le FTP over HTTP reste possible.

Simplification de la configuration de machines
olfeo-console - nouvel utilitaire en CLI pour la configuration du réseau des VM

olfeo-console, Un client de configuration en ligne de commande est disponible pour paramétrer le réseau de la machine virtuelle suite à la création de la VM pour lui permettre d'accéder à Internet et de valider la licence.

[7.8 et supérieures] Nouvel assistant de configuration initiale

L'assistant de configuration initiale d'une machine est enrichi et complètement revu (interface, ergonomie).

Il permet à présent :

  • de configurer un master pour un premier usage

  • d'automatiser et simplifier la création d'une machine esclave

  • de restaurer un maître depuis une configuration sauvegardée

Nouvelle interface d'administration

Nouvelle page d'accueil : le Trust-Center

Harmonisation progressive du look'n feel de l'interface d'administration sur le Design System d'Olfeo.

Séparation de l'interface de configuration du backend.

Nouvelles fonctionnalités et mises à jour

Changements techniques
Système

Passage à Debian 12 "Bookworm".

Support complet de systemd (abandon de l'usage de systemctl)

Principales mises à jour (en 7.5.0) :

  • MaJ vers Squid 6.8

  • MàJ vers ClamAV 1.0.

  • MàJ vers libssl 3

  • MàJ vers Postgre 17

  • MàJ vers Elastic 8

Politique de mise à jour des composants

Les composants principaux suivent les versions du canal debian-stable sauf pour squidcache pour lequel Olfeo On premises suit le cycle de debian-testing (meilleur compromis réactivité/stabilité).

Langages

Passage du code python 3.4 à 3.11

Passage du code python 2.x à 3.11 - en cours.

Pyhton 2.x & problématiques de sécurité

Le code python 2.x restant sera progressivement décommissionné à mesure de la refonte de l'interface d'administration du produit, ce chantier prendra encore du temps.

La sécurité d'Olfeo On premises n'est toutefois pas affectée, ce code n'étant pas accessible depuis l'extérieur d'une machine.

Journaux d'applications

La journalisation des applications et services utilise dorénavant journalctl.

Composants Olfeo

Une refonte profonde des composants clés d'Olfeo On premises a eu lieu :

  • Refonte de sysconfig : amélioration de l'exploitabilité

  • Refonte de userbase : amélioration des performances et d'évolutivité

  • Refonte de confbase : mise en place d'une architecture frontend/backend indépendants

Changements fonctionnels majeurs
Nouvelle gestion des administrateurs & des droits et support d'administrateurs provisionnés

Les administrateurs peuvent être locaux (iso v6) ou provisionnés depuis un annuaire d'entreprise (nouveau), l'authentification est faite contre l'annuaire dans ce dernier cas.

La gestion de droits d'administration a été simplifiée en "profils".

Il n'y a plus de notion de hiérarchie (père-fils) ou de notion d'appartenance d'objets.

Fonctionnalités dépréciées

Produits arrêtés

Les produits suivants ne sont plus disponibles en v7 :

  • Filtrage protocolaire

  • Portail public

  • intégration à Campus

Filtrage web
Catégories personnalisées

Il n'est plus possible de créer des catégories spécifiques ou de modifier les catégories Olfeo.

Politiques de filtrage

La sélection de types de flux spécifiques dans les politiques de filtrage n'est plus possible : tous les flux HTTP/S seront concernés par défaut.

L'allocation de quotas de consommation (en temps ou en volume de données) n'est plus possible

Paramétrage avancé du proxy HTTP
Types de proxys

Les proxy TCP, SOCKS, RTSP, FTP sont définitivement décommissionnés.

Le support du FTP over HTTP reste possible via le proxy HTTP.

Méthodes d'authentification du Proxy HTTP

Les méthodes d'authentification suivantes ne sont plus supportées :

  • Kerberos 2003

  • Kerberos (natif)

  • GSuite

Les méthodes d'authentification "transparentes" disponibles sont Kerberos 2008 et NTLM.

Déchiffrement TLS

L'usage de regex pour la définition de destinations dans les règles de déchiffrement n'est' plus possible.

La sélection de ports de proxy spécifiques n'est plus possible.

Cache

Le paramétrage avancé du cache et ses statistiques pour le proxy ne sont plus affichés (utile à une époque où la bande passante était une ressource rare, cette fonction de paramétrage avancé du cache n'a aujourd'hui plus beaucoup de sens).

Astuce

pour les cas les plus spécifiques, il reste possible d'appliquer des directives "sur-mesure" pour Squid

Administration de l'Olfeo
Moteurs de règles utilisateurs

L'onglet Connexion qui gère l'établissement des connexions aux destinations pour les serveurs TCP, SOCKS et FTP est supprimé.

L'onglet Aperçu qui gère l'analyse de fichiers en cours de réception est supprimé.

Dans l'onglet Accès, l'action suivante n'est plus possibles : SSO LDAP

Gestion des utilisateurs

L'attribution d'une adresse MAC par utilisateur n'est plus possible.

Messages

Entamée il y a 10 ans, la transition des "messages" s'achève et ils sont définitivement remplacés par le Studio pour la mise en place de pages de sensibilisation.

NB: l'authentification via le portail captif d'Olfeo On premises et les chartes utilisent encore ce composant.

Quotas

L'usage de quotas en temps ou en durée est déprécié en 7.7 et antérieures.

Retour des quotas en T2 2026 !

Suite à différents retours, les quotas en temps et en volume seront réintégrés au produit dans une version prochaine.

Paramétrage
Architectures : intégrations et connecteurs

Seule est conservée la possibilité de paramétrer une intégration en ICAP.

L'ensemble des intégrations et connecteurs prédéfinis aux proxys externes (Juniper, Cisco, Netscreen etc.) est supprimée.

Système : gestion de la console d'administration.

Le support du HTTPS est le choix par défaut pour l'affichage de l'interface d'administration : il n'est plus possible de passer l'interface d'administration en HTTP.

Réseau

La définition de passerelles SMS n'est plus possible pour la notification d'erreurs.

Supervision : onglet "Etat"

Du fait du changement de nature profonde du mode de livraison d'Olfeo On premises, l'onglet Etat n'a plus de sens et est donc supprimé.

Paramétrages avancés

ICAP : l'ajout de méthodes HTTP spécifiques ne sera plus possible

Passerelles : l'ajout de passerelles spécifiques ne sera plus possible.

DNS inverse : le mode d'usage d'Olfeo On premises en DNS inverse ne sera plus possible

Dans cette section​: