FAQ du service eduroam.fr


Comparaison avec la fédération d'identité

Vous trouverez ici, une page dédiée à cette comparaison.

Qu'est ce ARREDU ?

ARREDU est l'ancêtre de eduroam.fr.

Le projet pilote ARREDU a cessé en Avril 2006. A cette date, est né le service mobilité pour la communauté RENATER, nommé eduroam.fr.

Problème d'authentification pour l'accès au compte eduroam.fr

Si depuis la page https://sec.cru.fr/shibboleth/src/accessl.php , vous rencontrez un problème d'authentification avant de contacter le support via "support-eduroam__AT__cru__DOT__fr", vérifiez que l'email fourni par votre IdP est le même que celui déclaré dans SAGA. En effet, l'authentification est basé sur cet identifiant.

Test de l'infrastructure d'authentification avant la validation du service eduroam

Vous aurez la possibilité de tester votre infrastructure d'authentification grâce à un service de test. Toute les informations nécessaires seront envoyées par email au correspondant technique, suite à la demande du service mobilité dans SAGA.

Affectation d'un vlan en fonction du realm

L'exemple ci dessous, vise à affecter les utilisateurs locaux de l'établissement A dans le VLAN 100, et les nomades en visite, dans le VLAN 600. 

# si user-name contient @etab-a.fr , que l'authentification et l'autorisation utilise le module LDAP, alors affectation dans le VLAN 100
DEFAULT User-Name =~ "@etab-a.fr",Autz-Type := ldap ,  Auth-Type := ldap
       User-Name = `%{User-Name}`,
       Tunnel-Type = VLAN,
       Tunnel-Medium-Type = 6,
       Tunnel-Private-Group-Id = 100,
       Fall-Through = 0,

# Si il y a un realm dans le login , pas etab-a.fr traité avant , affectation dans le VLAN 600 au retour de la requete proxyfiée
DEFAULT User-Name =~ "@"
       User-Name = `%{User-Name}`,
       Tunnel-Type = VLAN,
       Tunnel-Medium-Type = 6,
       Tunnel-Private-Group-Id = 600,
       Fall-Through = 0,

Affectation d'un vlan en fonction du média (FreeRADIUS)

Les NAS renvoient un champ Nas-Port-Type diffèrent selon que le type de média. Une borne d'accès sans fil renvoit "Wireless-802.11" alors qu'un commutateur renvoit "Ethernet".

Il faut donc créer une règle dans le fichier users pour affecter les personnes en fonction du média remonté.

Traçabilité par "remontée" de l'inner identity


Afin de pouvoir identifier la personne externe connectée sur l'infrastructure de son établissement, il faut que l'établissement d'apartenance remonte cette info vers le site de raccordement.
Dans le cas de FreeRadius, vous pouvez activer l'option "use_tunneled_reply" dans le fichier eap.conf.
Remarque : Pour une raison inconnu, ceci n'a pas été suffisant, et il nous a fallu rajouter dans le fichier "users", en début de section de traitement :

DEFAULT
       User-Name := `%{User-Name}`,
       Fall-Through = Yes

Restriction des méthodes d'authentification au niveau du serveur RADIUS de l'établissement