FAQ du service eduroam.fr


Comparaison avec la fédération d'identité

Vous trouverez ici, une page dédiée à cette comparaison.

Qu'est ce ARREDU ?

ARREDU est le nom de l'ancêtre de eduroam.fr.

Le projet pilote ARREDU a cessé en Avril 2006. A cette date, est né le service mobilité pour la communauté RENATER, nommé eduroam.fr.

Où trouver de la documentation technique pour la mise en oeuvre d'eduroam dans un établissement ?

Ce document est la référence. Il traite les cas des serveurs Radius les plus répandus (FreeRadius, Radiator,...) dans les rôles d'IDP et de SP.

Problème d'authentification pour l'accès au compte eduroam.fr

Si depuis la page https://services.eduroam.fr/, vous rencontrez un problème d'authentification avant de contacter le support via "support-eduroam__AT__cru__DOT__fr", vérifiez que l'email fourni par votre IdP est le même que celui déclaré dans PASS et que votre IDP fournit également les attributs displayname et eduPersonTargetedID. En effet, l'authentification est basé sur ces identifiants.

Test de l'infrastructure d'authentification avant la validation du service eduroam

Vous avez la possibilité de tester votre infrastructure d'authentification grâce à un service de test. Toute les informations nécessaires sont envoyées par email au correspondant technique, suite à la demande du service mobilité dans PASS.

Affectation d'un vlan en fonction du realm

L'exemple ci dessous, vise à affecter les utilisateurs locaux de l'établissement A dans le VLAN 100, et les nomades en visite, dans le VLAN 600.

# si user-name contient @etab-a.fr , que l'authentification et l'autorisation utilise le module LDAP, alors affectation dans le VLAN 100
DEFAULT User-Name =~ "@etab-a.fr",Autz-Type := ldap ,  Auth-Type := ldap
       User-Name = `%{User-Name}`,
       Tunnel-Type = VLAN,
       Tunnel-Medium-Type = 6,
       Tunnel-Private-Group-Id = 100,
       Fall-Through = 0,

# Si il y a un realm dans le login , pas etab-a.fr traité avant , affectation dans le VLAN 600 au retour de la requête proxyfiée
DEFAULT User-Name =~ "@"
       User-Name = `%{User-Name}`,
       Tunnel-Type = VLAN,
       Tunnel-Medium-Type = 6,
       Tunnel-Private-Group-Id = 600,
       Fall-Through = 0, 

Liste des administrateurs eduroam français

Les administrateurs eduroam d'établissement, ou encore correspondants eduroam, sont rassemblés dans la liste de diffusion eduroam.fr-corres__AT__groupes.renater.fr. Cette liste permet aux administrateurs nationaux de communiquer de l'information aux correspondants mais peut également servir de lieu d'échanges entre correspondants. Elle permet également aux correspondants de connaitre les autres correspondants, via la liste des abonnés, en cas de besoin de contacter directement un administrateur d'autre établissement.

Affectation d'un vlan en fonction du média (FreeRADIUS)

Les NAS renvoient un champ Nas-Port-Type différent selon que le type de média. Une borne d'accès sans fil renvoie "Wireless-802.11" alors qu'un commutateur renvoie "Ethernet".

Il faut donc créer une règle dans le fichier users pour affecter les personnes en fonction du média remonté.

Traçabilité par "remontée" de l'inner identity


Afin de pouvoir identifier la personne externe connectée sur l'infrastructure de son établissement, il faut que l'établissement d'appartenance remonte cette info vers le site de raccordement.
Dans le cas de FreeRadius 1.x, vous pouvez activer l'option "use_tunneled_reply" dans le fichier eap.conf.
Remarque : Pour une raison inconnue, ceci n'a pas été suffisant, et il nous a fallu rajouter dans le fichier "users", en début de section de traitement :

DEFAULT Freeradius-Proxied-To == 127.0.0.1
       User-Name := `%{User-Name}`,
       Fall-Through = Yes

Restriction des méthodes d'authentification au niveau du serveur RADIUS de l'établissement