cat_admin

Guide administrateur eduroam CAT

Le terme IdP est utilisé à de nombreuses reprises dans cette documentation. Il signifie “Identity Provider” (Fournisseur d'Identité).
Dans le contexte eduroam, il s'agit d'un serveur RADIUS raccordé à votre référentiel utilisateur.
Dans le contexte de la Fédération d'Identité, il s'agit d'un fournisseur d'identité SAML.
Afin d'éviter les incompréhension les termes suivants seront utilisés :

  • IdP ou IdP RADIUS : Le(s) serveur(s) RADIUS de votre établissement
  • IdP SAML : Le fournisseur d'identité SAML de votre établissement

Présentation du service eduroam CAT

eduroam CAT (Configuration Assistant Tool) est l'outil d'aide à la configuration d'eduroam. Son but est de vous aider, en tant qu'administrateur de fournisseur d'identité (IdP) eduroam, en générant des installateurs eduroam personnalisés pour différentes plateformes. La personnalisation comprend le nom, l'emplacement et le logo de votre établissement, les coordonnées de votre service d'assistance et, bien sûr, les paramètres RADIUS dont les utilisateurs ont besoin pour s’identifier à votre IdP lors de leur mobilité.
Les installateurs peuvent être produits en plusieurs langues ; de cette façon, vous pouvez même proposer à vos utilisateurs un installateur dans leur langue maternelle !
Enfin, eduroam CAT peut également vous aider à déboguer votre propre configuration RADIUS en comparant vos entrées au comportement réel de votre configuration dans l'infrastructure eduroam.

Les installateurs eduroam CAT spécifiques à votre établissement peuvent être téléchargés depuis la section utilisateurs du site, ou vous pouvez choisir de les distribuer via votre site web.



Ajouter son établissement à eduroam CAT

L’inscription à eduroam CAT n’est pas automatique, elle nécessite l’intervention de RENATER et se fait en 2 étapes :

  1. Obtention d'un ticket d'activation :
    • Vous devez être enregistré comme correspondant technique du service eduroam dans PASS
    • Votre établissement doit être dans l'infrastructure de production eduroam.fr depuis plus de 24h : paramètre Activité (en production) à Oui dans https://services.eduroam.fr/
    • Votre IdP SAML doit être dans eduGAIN et renvoyer les attributs eduPersonTargetedID, displayName et mail
      • Si votre IdP SAML ne répond pas à ces prérequis, nous vous invitons à solliciter les administrateurs de celui-ci afin qu'il soit mis en conformité. Les informations utiles pour l'administrateur de votre IDP SAML sont :
      • Si votre établissement n'a pas d'IdP SAML, vous pouvez créer un compte CRU avec le mail associé à votre compte PASS
    • Demandez l’inscription de votre établissement au service eduroam CAT sur https://assistance.renater.fr/
    • Vous allez recevoir un ticket d’activation par mail qu’il faut valider sous 24h
  2. Validation du ticket d'activation :
    • Cliquer sur le lien d’activation reçu par mail.
    • Sélectionnez votre IdP SAML :
      • dans l’onglet eduGAIN si votre établissement a un IdP saml
      • dans l'onglet experimental » CRU Accounts, si vous utilisez un compte CRU.


Cette étape est (normalement) à faire 1 seule fois sauf si des modifications sont apportées à votre IdP SAML. par exemple le changement de l’attribut eduPersonTargetedID lors d’une montée de version, ou le passage d'un compte CRU à une connexion avec l'IdP SAML de votre établissement.



Se connecter à eduroam CAT

L’étape précédente Ajouter son établissement à eduroam CAT est prérequise.
À partir de la page d’accueil https://cat.eduroam.org/, choisir le menu Gérer » Accès administrateur eduroam® puis cliquer sur le bouton Identifiant.
Sélectionnez votre IdP SAML :

  • dans l’onglet eduGAIN si votre établissement a un IdP saml
  • dans l'onglet experimental » CRU Accounts, si vous utilisez un compte CRU.



Configurer son établissement dans eduroam CAT

Pour certains paramètres l'option sélectionnez la langue est disponible, elle vous permet de renseigner le paramètre dans plusieurs langues. Si vous ne sélectionnez rien (ou défaut/autre language) alors le paramètre aura toujours la même traduction quelque soit la langue sélectionnée par l'utilisateur.

Pour configurer votre établissement dans CAT, vous aurez 3 étapes à accomplir :

  1. Paramétrer les informations globales de votre établissement
  2. Configurer le(s) profil(s) EAP
  3. Tester votre profil

Vue globale de Fournisseur d'Identité

Il s’agit des informations globales relatives à votre établissement, par défaut ces informations seront héritées par vos profils EAP. Il y a 4 sections configurables :

  1. Informations générales : vous devez y définir les propriétés de votre établissement :
    • le nom
    • le logo
  2. Détails du service d'assistance pour tous les utilisateurs : vous devez y renseigner les informations d’assistance (helpdesk) que vous mettez à disposition de vos utilisateurs : courriel, téléphone et service web.
  3. Propriétés réseau : cette section est optionnelle, vous pouvez y définir des paramètres réseaux spécifiques qui sont décrits dans la documentation officielle de CAT.
  4. Localisation : il s’agit de la localisation principale de votre établissement, elle sera utilisée par la fonction de géolocalisation de CAT pour proposer un établissement géographiquement proche de l’utilisateur.


Le QR code est automatiquement généré et permet à vos utilisateurs d’arriver directement sur la page de téléchargement des installateurs de votre établissement.

Exemple récapitulatif :

Profils EAP

Dans cette partie vous allez configurer le(s) profil(s) EAP correspondant(s) à la configuration mise en œuvre sur vos serveurs RADIUS. C’est à partir de la définition de ce(s) profil(s) que sont générés les installateurs CAT. Il y a 5 sections configurables.
Pour créer un nouveau profil, cliquer sur Ajouter un nouveau profil RADIUS/EAP …
Il faut ensuite compléter les sections suivantes (détaillées plus bas) :

  • Propriétés générales du profil
  • Méthodes EAP supportées
  • Détails de l'assistance Helpdesk pour ce profil
  • Détails EAP pour ce profil
  • Propriétés réseau pour ce profil

Propriétés générales du profil

Nom du profil et domaine RADIUS

Plusieurs paramètres sont disponibles :

  • Nom affiché pour le profil : le nom du profil que verront vos utilisateurs, conseillé pour donner plus de lisibilité, indispensable si vous avez plusieurs profils. Par défaut c’est ‘0’.
  • Description du profil : indispensable si vous avez plusieurs profils, cette description permettra à vos utilisateurs de choisir le bon installateur.
  • Prêt pour la production : cocher cette case quand votre profil est prêt à être utilisé. Tant que cette case n’est pas cochée l’installateur correspondant ne pourra pas être téléchargé par vos utilisateurs.
  • Domaine : obligatoire, précisez votre realm sans le caractère ‘@’. Si vous utilisez plusieurs realms, il faut créer un profil pour chacun d’eux.
  • Suffixe pour le nom de l’installateur personnalisé : ajoute un suffixe à la fin du nom de l’installateur, pas indispensable.
Options du domaine

Traitement de l'identité externe :

  • Activer l'identité externe anonyme : option fortement conseillée, elle permet de définir une identité externe de la forme anonymous@<domaine>, sans cette identité externe c’est l’identifiant de l’utilisateur qui sera utilisé et tracé par tous les serveurs RADIUS utilisés.
  • Utiliser une identité externe spécifique pour les tests RADIUS du domaine : si vous voulez que CAT teste votre realm avec une identité externe spécifique il faut l’indiquer ici. Sinon, c’est l’identité externe anonyme standard qui sera utilisée.

Traitement de l'identité interne (identifiant) :

  • Imposer le domaine en suffixe de l'identifiant : force l’utilisateur à saisir son identifiant accompagné d’un realm. Exemple : la saisie pierre.jean@<domaine> sera acceptée, la saisie pierre.jean sera rejetée.
  • Forcer le domaine dans l'identifiant : force @<domaine> dans la saisie de l’identifiant sans laisser le choix à l’utilisateur du domaine utilisé.
Emplacement de téléchargement de l’exécutable d'installation

Par défaut les utilisateurs téléchargent les installateurs CAT depuis https://cat.eduroam.org/. Si vous voulez que vos utilisateurs soient redirigés vers un service web spécifique pour télécharger votre installateur, indiquez l’URL dans cette option.

Méthodes EAP supportées

Glisser dans la zone verte la(es) méthode(s) EAP souhaitée(s) (et configurée(s) sur vos serveurs RADIUS).
Si vous déclarez plusieurs méthodes, l’ordre est important : la méthode 1 sera toujours utilisée avant la suivante. Si la méthode 1 n’est pas disponible dans l’OS client alors la méthode 2 sera utilisée.

Cette option ne permet pas de créer un profil regroupant plusieurs méthodes EAP que l'OS client utilisera à sa convenance. Elle permet, à l'OS client, d’utiliser la méthode secondaire si la méthode primaire n’est pas implémentée par son supplicant.


Exemple avec 2 méthodes déclarées :

  1. EAP-PWD
  2. PEAP/MSCHAPv2


Sous Android (et certains Linux) c’est la méthode 1 qui sera utilisée.
Sous Windows 10 c’est la méthode 2 qui sera utilisée car EAP-PWD n’est pas pris en charge par le supplicant de Windows 10.

Détails EAP pour ce profil

Pour toute méthode EAP (sauf EAP-pwd) vous devez obligatoirement renseigner :

  • Fichier de certificat d’AC : déclarez le certificat racine (R) et les éventuels certificats intermédiaires (I) que vous avez utilisés pour générer le certificat de votre serveur RADIUS.
  • Nom du serveur d’authentification (CN) : le nom commun (CN) défini dans le certificat de votre serveur. Ce nom doit obligatoirement être au format FQDN.


Même si le paramètre CN peut être ajouté plusieurs fois, 1 seul CN (le 1er) sera utilisé par le client. Si vous avez plusieurs serveurs RADIUS il faut donc utiliser un CN unique pour tous les certificats de vos serveurs (voir exemple ci-dessous).

Il est conseillé d’utiliser des certificats électroniques différents (et avec des dates de validité décalées) sur chacun de vos serveurs avec :

  • La même AC : vous pouvez déclarer plusieurs AC dans CAT mais leurs prises en compte ne sont pas garanties par tous les OS clients (certaines versions d’Android par exemple)
  • Le même CN : vous pouvez faire la différence entre vos serveurs avec le paramètre SAN - Subject Alternative Name – d’un certificat.


Exemple avec un établissement ayant deux serveurs RADIUS :

  • Serveur1 : rad1.renater.fr
    • Certificat :
      • CN : radius.renater.fr
      • SAN : radius.renater.fr, rad1.renater.fr
  • Serveur2 : rad2.renater.fr
    • Certificat :
      • CN : radius.renater.fr
      • SAN : radius.renater.fr, rad2.renater.fr
  • Configuration CAT : Renseigner l’AC utilisée et le CN unique : radius.renater.fr



Remarques importantes et spécifiques aux certificats : Presque toutes les méthodes EAP nécessitent l’utilisation d’un certificat électronique qui est présenté par votre serveur RADIUS au client (supplicant).
CAT vous permet de définir l’AC (Authorité de Certification) et le CN (Common Name) du certificat de votre serveur RADIUS. Ces informations seront utilisées par le supplicant pour garantir à l’utilisateur qu’il s’adresse au bon serveur RADIUS. Le CN n’est pas utilisé par tous les supplicants.
Le service RADIUS n’étant pas un service web, l’AC que vous allez utiliser n’a pas besoin d’être connue par les navigateurs web, vous pouvez donc utiliser des certificats signés par une AC privée ou des certificats publics : TCS by RENATER par exemple.

Le principal intérêt des certificats privés se trouve dans leur AC : vous pouvez utiliser une AC ayant une date d’expiration très éloignée minimisant ainsi son renouvellement dans CAT. Mais cette solution a aussi des inconvénients dont le principal est l’expertise nécessaire à la génération de certificats robustes (méthode de chiffrement, longueur, algorithme de signature, extensions obligatoires, CRL, …) et peut éventuellement avoir des effets de bord lors de l’importation sur le terminal client (l’AC privée ajoutée au magasin de certificats pourra être utilisée par d’autres services).

Si vous ne savez pas garantir cette expertise dans la durée ou si vous doutez : utilisez un certificat TCS ou équivalent. Vous trouverez plus d’informations sur ce sujet ici.

Vue dans CAT avec des certificats TCS génération Sectigo :

Détails de l'assistance Helpdesk pour ce profil

Les informations générales de votre établissement déclarées dans la partie correspondante sont reprises dans cette section, vous pouvez les modifier si besoin.

Propriétés réseau pour ce profil

Les informations générales de votre établissement déclarées dans la partie correspondante sont reprises dans cette section, vous pouvez les modifier si besoin.

Tester son profil

En cliquant sur Vérifier l’accessibilité du domaine vous pouvez effectuer quelques tests sur votre profil :

  • Vérifications DNS : vérifie l'éventuel présence d'un enregistrement NAPTR (voir les spécifications techniques) pour votre realm.
  • Tests statiques de connectivité : Test EAP avec le serveur RADIUS alive associé au realm, ce test permet de confirmer :
    • que votre realm est bien connu et associé à un serveur RADIUS
    • que votre serveur RADIUS :
      • est joignable depuis des 2 proxies RADIUS européens eduroam.org via les proxies français eduroam.fr
      • répond bien à la 1ère méthode EAP déclarée dans le profil
      • supporte la version de TLS 1.2
      • présente une chaine de certification conforme, c'est à dire :
        • Valide
        • Avec certaines extensions présentes et correctement configurées : CN (qui doit correspondre à celui déclaré dans CAT), SAN (avec une syntaxe FQDN), BasicConstraints et CRL.
        • N'est pas signée avec un algorithme faible (SHA-1 par exemple)
        • Contient le certificat du serveur, l'AC l'ayant signée et les éventuelles autres AC intermédiaires. C'est inutile de renvoyer l'AC racine, cela surcharge inutilement les échanges EAP lors de l'authentification de vos utilisateurs. La chaîne de certification complète est à renseigner coté supplicant c'est à dire dans le profil eduroam de vos utilisateurs.
  • Tests dynamiques de connectivité : ne concerne que les realms ayant un enregistrement NAPTR. Différents tests TCP/TLS sont effectués sur les serveurs RadSec associés au realm. Pour tous les établissements rattachés à eduroam.fr, il s'agit des serveurs rad1.eduroam.fr et rad2.eduroam.fr.
  • Test de connexion en ligne : vous permet de tester une authentification EAP avec des identifiants valides.



Notes et cas particuliers

Android

Seules les versions Android ≥ 4.3 sont supportées par CAT.
Pour installer un profil CAT sous Android il est conseillé d’utiliser une application dédiée. En fonction de la version Android vous pouvez utiliser :

Linux

NetworkManager est nécessaire pour installer le profil CAT.
Lors de l’installation du profil, le mot de passe utilisateur (ou la clé pour lire le certificat personnel en EAP-TLS) est stocké et mémorisé sur la machine dans le mode par défaut de NetworkManager fourni par la distribution.
Exemple : system-wide connection pour Fedora, ie : mot de passe mémorisé, stocké en clair dans un fichier uniquement accessible par root.
Après installation du profil, vous pouvez changer ce type de préférence dans NetworkManager.

Windows

- Depuis fin 2019 le supplicant GéANTLink a été retiré de l’installateur CAT.
Normalement si le périphérique a été mis à jour depuis l’été 2019 vous n’avez plus besoin de l’utiliser : le supplicant natif à Windows 10 peut être utilisé même pour une méthode EAP type TTLS. Vous pouvez cependant toujours rajouter son installation en sélectionnant l’option Paramètres avancés et téléchargement de l’exécutable d’installation » Options spécifiques de l’appareil » Ajouter une nouvelle option, sélectionnez Utiliser le supplicant TTLS GEANTlink (Windows 8 et 10), cochez la case et Sauvegardez les données.
- Si vous rencontrez des problèmes lors de l’exécution de l’installateur, vous pouvez le lancer en ligne de commande (cmd.exe) avec l’option -DEBUG=4 pour avoir des traces.

OS non supporté par CAT

Vous devez configurer l’équipement avec les informations contenues dans le ficher standard eap-config disponible au format xml.



Références

Pour plus d'informations nous vous invitons à lire la documentation officielle eduroam CAT.

Nous vous invitons également à vous inscrire à la liste de diffusion cat-users@lists.geant.org


{tr:about_reveal}