Domotiser la maison - partie I
Table of contents
Introduction à Jeedom
Préambule
J'ai à la base, pensé à écrire un article sur la domotique de ma maison et ses bienfaits. En réfléchissant au thème je me suis rapidement aperçu que ça ne serait pas un, mais bien plusieurs articles, tellement le sujet est vaste.
La série à venir est donc un condensé du déploiement de Jeedom et des objets connectés installés sur plusieurs années, de l'évolution de son utilisation au sein de mon domicile et des résultats réellement apportés. Pour commencer nous aborderons ici les premiers pas après l'installation de la solution domotique, on se concentrera sur une installation propre et à minima sécurisée du logiciel.
Découverte de Jeedom
Vous l'aurez compris, la base c'est Jeedom
. Non, je n'ai pas de part de marché chez eux, mais je vais en dire beaucoup de bien :)
En effet, c'est la seule solution que j'ai commencé à tester en 2016, et immédiatement adopté. J'ai - comme beaucoup d'entre nous - découvert la domotique avec le déploiement de Jeedom sur un raspberry, pour rapidement acheter la box officielle (qui n'existe plus depuis) Jeedom Smart Z
lorsque j'ai emménagé dans ma nouvelle maison.
Les raisons sont multiples:
- une communauté très développée et active (je vous invite à aller sur le forum officiel voir le nombre de postes par jour)
- une solution
OpenSource
- c'est robuste et bien foutu: l'interface est conviviale et simple d'accès. L'aspect graphique a quelque peu changé ces dernières années, mais tout en gardant la touche particulière à la marque
- c'est Français, et fait par des passionnés.
- la domotique c'est (encore) le
Far West
: de nombreuses marques et protocoles propriétaires se bataillent sur le marché. Jeedom gère un très grand nombre de ces derniers. - De nombreux plugins permettent la gestion de matériel sous l'interface, ou en communiquant avec les API mises à disposition par lesdites marques.
Quelques loupés observés:
- quid du suivi du socle système des box? Dans mon cas précis ma box a été livrée en Debian 9, puis une procédure de mise à jour a été proposée par les équipes quelques années après. C'est déjà louable, mais je doute qu'une procédure officielle soit mise à disposition pour Debian 11 (Bullseye) et encore moins pour
Bookworm
- un plugin peut un beau jour disparaitre du magasin Jeedom, malheur à vous si vous le supprimez de votre installation, vous ne le retrouverez pas.
- on en parle de la version mobile? je n'ai jamais vu une application aussi buggé. Pourtant je l'utilise régulièrement, mais c'est gonflant les fermetures systèmatiques de l'appli au bout de quelques minutes. A noter qu'une version bêta est en cours de test.
- il arrive que ça se passe mal lors de la mise à jour d'un plugin. La faute en général à l'adhérence au socle Linux, il faudra alors interroger la communauté pour obtenir une précieuse aide.
Pour autant ça reste des inconvénients très marginaux vu l'utilisation quotidienne que j'ai de Jeedom et de tout l'écosystème d'appareils domotiques chez moi.
A noter également que d'autres marques sont présentes sur le marché. En quelques années j'en ai vu plusieurs tenter de faire leur trou sans succès, mais Home Assistant
semble appréciée du public. Pour ma part je ne connais pas, je n'ai aucun avis sur son concurrent.
Comparaison des deux solutions: https://www.bricomachin.com/articles/-jeedom-vs-home-assistant-comparaison-compl-te-des-deux-plateformes-de-domotique-open-source-pour-une-maison-connect-e-articles-288.html. La conclusion sur la pérennité de Jeedom est selon moi bidon...
Pour clôturer cette longue introduction, en regardant avec recul mon installation maison je ne regrette ni l'investissement pécunier ni celui de mon temps libre sur le sujet. Amené prochainement à m'expatrier avec ma famille, mon ordinateur portable et ma domotique seront pour sûr mes deux compagnons de route vers notre nouvel habitat.
Petit tour du proprio
Je démarre avec comme principe d'avoir une installation fonctionnelle. Si vous lisez ce tuto pour savoir comment installer Jeedom, vous n'êtes pas au bon endroit!
Les box livréés sont prêtes à l'emploi. Pour la majorité des utilisateurs utilisant un support maison (raspberry, mini-pc...) il y a de nombreux sites et autres blogs à lire, dont le principal intéressé:
https://doc.jeedom.com/fr_FR/installation/
https://www.domo-blog.fr/installer-jeedom-raspberry-pi-nouvelle-procedure-jeedom-4/
https://jeedomiser.fr/article/installer-jeedom-sur-un-raspberry-pi-3b-plus/
Réseau local et et gestion des accès depuis Internet
Tout d'abord trouvons sa place à notre nouveau jouet au sein de notre réseau.
Potentiellement Jeedom va piloter de nombreux objets connectés, dont une partie gérant la sécurité de la maison. Cette réflexion m'a amené à privilégier deux axes:
- éviter à Jeedom d'être exposé directement à Internet
- privilégier les protocoles sécurisés, et que tout soit centralisé via Jeedom (dans l'idéal, ça sera l'unique périphérique qui contactera les API)
Hébergement local
Ayant un réseau local séparé d'Internet par un routeur / pare-feu, j'ai au départ imaginé faire une redirection de flux vers Jeedom depuis Internet. La gestion depuis l'application du téléphone, la synchronisation en local d'un calendrier partagé et bien d'autres nécessitent une box accessible depuis le net.
Le fait de prendre une box m'a grandement aidé dans cette tâche, à savoir qu'à l'époque (je ne sais pas si c'est encore le cas) il y avait certains services offerts à l'achat. Parmi ceux ci, un hébergement DNS pour l'accès à la box (de type xxx.eu.jeedom.link) hébergé sur leur infrastructure et géré par leur soin. Pour y avoir accès et rediriger le nom de domaine vers la box, un tunnel OpenVPN est monté au démarrage.
En place depuis l'achat du matériel, je n'ai jamais eu à y revenir. (Peut être une fois lorsque jeedom a changé ses DNS, mais c'est très fiable.)
L'avantage ici est que ce système peut aisément être mis en place dans le cadre d'un auto-hébergement (avec OpenVPN
ou encore WireGuard
) sous condition d'avoir un service disponible sur Internet type VPS ou autre. Plus facilement, on peut mettre un proxy dans la DMZ locale...enfin les solutions sont nombreuses pour éviter d'avoir Jeedom en frontal.
Un schéma rapide pour illustrer mes propos:
>> Utilisateurs
D'autre part vous pouvez affiner les droits d'accès réseau et utilisateurs pour restreindre le périmètre d'attaque. Par défaut un admin est créé, avec les droits d'accès adéquats. Je vous invite fortement à créer un ou plusieurs profils.
Cela permettra d'une part d'avoir un accès restreint depuis internet (notez la case Local
de cochée sur la ligne de l'Admin) uniquement pour ces utilisateurs, et d'autre également un accès à une interface personnalisée pour chacune des personnes référencées.
Très pratique notamment pour l'accès depuis le smartphone. My bad, vous voyez que je n'ai pas encore mis en place la double authentification
...
> Réglages > Système > Utilisateurs
Vous pouvez également avoir connaissance des sessions actives et des connexions précédémment autorisées.
>> Accès réseau
Attention sur cette partie ça peut différer selon si vous avez une box ou un auto hébergement. Dans le second cas la gestion du réseau est certainement portée par l'OS
.
Ici c'est Jeedom qui gère le réseau, on peut d'ailleurs spécifiquement indiquer de ne pas le faire.
On voit qu'on peut restreindre les classes CIDR selon les besoins, il y a également la gestion de l'accès VPN (qui concrètement se gère via le plugin Openvpn
dans mon cas.
Vous remarquerez que je n'ai pas d'accès HTTPS d'activé, tout simplement parceque le Dashboard
est accessible en clair sur mon réseau local, et en chiffré via l'infrastructure mise à disposition par Jeedom depuis Internet.
>> Une couche de sécurité en plus
Tant qu'à faire allons un peu plus loin sur la sécurité de la bestiole. On est d'accord que c'est une hausse de la sécurité sur la partie logicielle, la gestion de l'OS étant décorrelée.
> Réglages > Préférences
Puis onglet Sécurité
. Vous pouvez ici activer la double authentification, que je viens (enfin) de mettre en place.
Notez que celle ci est uniquement disponible pour les accès distant, par pour une connexion locale. Dans les faits rien de plus simple:
- on scan le
QR Code
avec son application préférée (Authy dans mon cas) - on valide sous Jeedom le premier code généré pour l'utilisateur souhaité
- la double auth est immédiatement disponible comme on peut le voir dans la gestion des utilisateurs
> Réglages > Système > Configuration
Tout se passe dans l'onglet Securité
:
J'ai laissé les paramètres par défaut, je trouve que c'est tout à fait correct. Je n'ai enfin ni LDAP ni SSO sur mon réseau, mais c'est une bonne option si vous avez ce genre de technos à disposition.
Peaufinons notre installation
La sauvegarde
La sauvegarde est un gros plus sous Jeedom, car ça fonctionne vraiment bien.
J'ai eu à plusieurs reprises l'occasion de remonter des sauvegardes de plusieurs jours/semaines en arrière, et c'est vraiment simple à restaurer. A noter que dans la grande majorité des cas c'était un rollback
suite à une erreur de ma part (test foireux, suppression de métriques...), une seule fois j'ai eu ma box qui s'est retrouvée en PLS un beau matin sans raison apparente.
Heureusement les sauvegardes journalières sont disponibles sur mon NAS, et je n'ai comme évoqué j'ai eu de problème à faire machine arrière.
Tout d'abord mettons en place la sauvegarde journalière sur un partage Samba. L'onglet est un peu compliqué à trouver, les informations de connexion se trouve ici:
> Réglages > Système > Configuration > Mises à jour/Market
Une fois les identifiants validés via le bouton Tester
, vous pouvez vous rendre sur la gestion des sauvegardes.
> Réglages > Sauvegardes
Vous avez juste en bas à coche la case Envoi des sauvegardes
, à éventuellement indiquer le nombres de jours de rétention et de sauvegarder.
La première sauvegarde effectuée, vous pourrez tenter une restauration (toujours depuis la même fenêtre), partie Sauvegardes locales
, en indiquant la sauvegarde souhaitée et ensuite cliquer sur Restaurer la sauvegarde
. En général une restauration prends environ 30 minutes, redémarrage de la box inclus.
Le Market
Pour bénéficier des plugins (gratuits ou payants) il faudra au préalable vous créer un compte sur le market jeedom accessible depuis:
> Plugins > Gestion des plugins > Market
.
En haut à droite vous pouvez vous connecter, ou vous inscrire le cas échéant.
Une fois ceci effectué, retournons sur la page de paramétrage de Samba, mais cette fois l'onglet qui se situe à coté, Market
.
Comme pour Samba on y renseigne ses identifiants. La possibilité de désactiver le SSL (évidement déconseillé) et également ses identifiants pour l'accès au cloud Jeedom si vous y avez souscrit. Le principe est le même que pour la sauvegarde en local, mais sur leur infrastructure.
Si le test de connexion est valide, on peut y accéder et commencer à télécharger les plugins indispensables à l'interconnexion des objets connectés.
Conclusion
Nous voilà au bout de ce premier article. Nous avons abordé les paramètres post-installation de Jeedom, mais ce n'est qu'une toute petite partie...
Vous aurez peut être eu l'occasion de voir que de nombreux autres menus sont disponibles, c'est une grosse machine qui se prends doucement en main. C'est justement ce que nous verrons lors d'un second article, avec installation des premiers objets connectées via les plugins associés, et gestion des scénarios qui vont bien avec.
à bientôt!