Menu

Service mobilité pour la communauté RENATER


Spécifications techniques

Ce document est destiné aux administrateurs d'établissement ayant souscrit au service de mobilité eduroam.

Architecture

eduroam est basé sur le protocole 802.1X et une hiérarchie de serveurs RADIUS responsables de l'authentification des utilisateurs.

Chaque établissement raccorde son ou ses serveurs RADIUS aux serveurs (proxies) nationaux à qui il délègue toute demande d'authentification qui n'est pas de son ressort. Les serveurs nationaux remontent aux serveurs racine (eduroam.org) toutes les demandes ne concernant aucun des établissements français. Ces requêtes sont alors acheminées vers le bon pays puis l'établissement concerné. Les réponses suivent le chemin inverse.

Architecture

eduroam.fr est opéré par RENATER

eduroam.org est opéré par GEANT

Rôles

Abréviation Rôle
SP Service Provider Etablissement fournissant un réseau wifi eduroam; voir charte eduroam.fr
IdP Identity Provider Etablissement authentifiant ses utilisateurs raccordés à un réseau wifi eduroam; voir charte eduroam.fr

Interface d'administration

Cette interface permet au(x) administrateur(s) de l'établissement de gérer les informations nécessaires au fonctionnement du service eduroam. Elle est accessible au(x) correspondant(s) déclaré(s) dans PASS et créée automatiquement par la demande d'adhésion au service mobilité. L'authentification est réalisée via la fédération d'identité Éducation-Recherche. Si l'établissement du correspondant n'en fait pas partie, il lui est possible de se créer un compte CRU.

Principales informations gérées

  • Onglet 'Etablissement':
    • activé (en production) :
      • Non : l'établissement est dans l'infrastructure de tests qui dispose d'un serveur dédié. Cette infrastructure lui permet de faire la mise au point de sa configuration. C'est la situation par défaut lors de l'ajout d'un nouvel établissement dans eduroam.
      • Oui : l'établissement est dans l'infrastructure de production.
    • coordonnées du support local : email et téléphone du service d'assistance. Ces informations ne seront pas rediffusées.
    • pages d'information : url des pages publiques décrivant le service eduroam mis en place localement. Cette information est publiée sur la cartographie eduroam.
    • realm (nom de domaine RADIUS) : Il peut en être déclaré plusieurs. Seuls ceux des communautés susceptibles d'utiliser le service eduroam doivent être déclarés. L'utilisation de ce paramètre est détaillée dans la partie Infrastructure RADIUS.
    • serveur RADIUS principal : adresse ou nom du serveur principal.
    • serveur(s) RADIUS secondaire(s) : adresse(s) ou nom(s) du ou des serveurs de secours. Il est conseillé d'avoir un serveur RADIUS secondaire.
    • ports : port utilisé pour l'authentification (ne pas utiliser l'accounting vers les proxies).
    • type d'authentification : la ou les méthodes d'authentification EAP utilisées.
    • secret partagé : le secret partagé entre les serveurs RADIUS nationaux et les serveurs de l'établissement. Un secret initial est proposé, il peut être modifié.
    • compte de test : afin d'effectuer des tests et de surveiller la disponibilité du service, un compte de test identique (même nom, même mot de passe) sur tous les realms déclarés sera créé. Le nom par défaut est arredu@<realm> et un mot de passe est proposé automatiquement. Il est conseillé de le changer de temps en temps. Ce compte pourra éventuellement être communiqué à d'autres correspondants pour effectuer des tests de toute la chaîne entre eux et le site concerné.
    • SSID (nom du réseau wifi diffusé) : eduroam. Voir recommandations ci-dessous.
    • chiffrement radio : WPA2-AES. Voir recommandations ci-dessous.
    • type de serveur : logiciel ou appliance RADIUS utilisé.
  • Onglet 'Lieu(x) de diffusion' : pour chacun de vos sites géographiques diffusant eduroam, préciser sa latitude et sa longitude. Ces sites sont ensuite affichés sur les cartes géographiques de eduroam.fr, eduroam.org et eduroam companion.
  • Onglet 'Statut des serveurs' : le statut des serveurs de votre établissement vu par le proxy de l'infrastructure de test ou par les proxies nationaux de l'infrastructure de production.

Infrastructure sans fil, recommandations

  • Radio :
    • Fournissez la radio dans la bande de fréquences des 5 Ghz : normes 802.11a, 802.11n (en 5 Ghz) et 802.11ac.
    • En 2,4 Ghz : utilisez les canaux 1, 6 et 11.
  • SSID : eduroam. Exception possible : si vos locaux sont couverts par plusieurs infrastructures wifi différentes diffusant le réseau eduroam et que le chevauchement de ces réseaux crée des problèmes opérationnels, un SSID commencant par “eduroam-” peut être utilisé. Exemple : “eduroam-renater”. Si un autre SSID que eduroam est utilisé, les visiteurs doivent en être informés.
  • chiffrement radio : doit être WPA2-AES (aussi appellé WPA2-AES-CCMP).
  • support de 802.1X : l'infrastructure wifi donnant accès au service eduroam doit mettre en oeuvre ce protocole.
  • DHCP : un service DHCP doit communiquer les informations réseau de base aux clients : configuration IP, serveurs DNS, NTP.
  • un visiteur ne devra pas pouvoir se connecter via un accès n'offrant pas les garanties demandées dans la charte (portails captifs par exemple) sans être dûment informé que ses credentials et/ou son trafic peuvent être interceptés.

Cas des portails web dit captifs

Ces portails n'étant pas compatibles avec le protocole 802.1X, ils ne doivent pas être utilisés dans le cadre de eduroam.

Infrastructure RADIUS

Realm (domaine RADIUS)

Tout utilisateur de la communauté eduroam a un identifiant de la forme <login>@<realm>. La partie <realm> est un domaine ou un sous-domaine DNS de l'établissement. Dans le cas de l'utilisation d'un realm en-dehors de .fr, .pf ou .nc, il est necessaire de mettre en place un enregistrement NAPTR (Name Authority PoinTeR) dans la zone DNS concernée, cet enregistrement doit être :

<realm>.           43200   IN      NAPTR   100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.fr.

Exemple :

renater.org.       43200   IN      NAPTR   100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.fr.

Concernant la configuration des terminaux de vos utilisateurs, il est conseillé que le realm :

  • Soit configuré dans le paramètre Identité externe (ou outer identity ou anonymous identity) : ce paramètre est utilisé pour trouver votre serveur d'authentification dans la hiérarchie des serveurs RADIUS. Il peut être anonymous@<realm> ou (anon@<realm>). Anonymous (ou anon) sont facultatifs, ils servent juste à masquer l'identifiant de vos utilisateurs.
  • Peut être configuré dans le paramètre Identité interne (ou inner identity ou username) : ce paramètre correspond à l'identifiant de vos utilisateurs. Il doit être de la forme <login> ou <login>@<realm> en fonction de votre backend d'authentification.

Exemples de configurations possibles :

realm déclaré pour l'établissement Identité externe Identité interne Remarque
renater.fr anonymous@renater.fr jdupond ok
renater.fr anonymous@renater.fr jdupond@renater.fr ok
renater.fr jdupond@renater.fr ok mais configuration déconseillée : l'identité externe n'est pas définie. Dans ce cas c'est l'identité interne (avec le login de l'utilisateur) qui est utilisée et tracée par les proxies RADIUS.
renater.fr jdupond Nok : ne pas utiliser, aucun realm défini dans les identités.
Cette configuration ne fonctionnera pas à l'extérieur de votre établissement.

Méthodes d'authentification EAP

Les méthodes EAP les plus souvent utilisées dans la communauté eduroam sont :

  • EAP-TTLS/PAP ou EAP-TTLS/MSCHAPv2
  • PEAP/MSCHAPv2

Le choix de la méthode EAP est à adapter à votre établissement. Il est à faire en fonction du backend d'authentification utilisé (format d'empreinte du mot de passe) et des compétences internes disponibles pour administrer cette infrastructure.

Les serveurs RADIUS doivent être configurés pour imposer l'usage d'une de ces méthodes pour les utilisateurs du service eduroam. Toute tentative de connexion sur un accès eduroam n'utilisant pas une méthode EAP doit être rejetée.

Les méthodes LEAP et EAP-MD5 ne doivent pas être utilisées.

Certificat serveur RADIUS

Toutes ces méthodes EAP impliquent l'utilisation d'un certificat côté serveur. Le certificat de l'AC doit être installé sur tous les clients wifi de vos utilisateurs pour que le certificat du serveur soit validé. Vous pouvez utiliser eduroam CAT (voir ci-dessous) pour vous assurer que ce certificat est bien installé sur les terminaux de vos utilisateurs.

Paramètres et attributs

Voici les paramètres et attribut RADIUS à configurer :

  • Proxy infrastructure de test : radtest.cru.fr avec le secret partagé associé
  • Proxies nationaux de production : rad1.eduroam.fr et rad2.eduroam.fr avec le secret partagé associé
  • Attribut Operator-Name (non supporté par le serveur RADIUS MS NPS): cet attribut doit être rajouté par le fournisseur d'accès wifi (SP). Il est de la forme “1ETABLISSEMENT.TLD” avec obligatoirement le chiffre 1 au début et ETABLISSEMENT.TLD pouvant correspondre au domaine DNS de votre établissement.
    • Exemple : Operator-Name = “1renater.fr”
  • Attribut Chargeable-User-Identity (ou CUI) : généré par le serveur RADIUS réalisant l'authentification de l'utilisateur (IdP), il permet au fournisseur d'accès wifi (SP) d'avoir un pseudonyme unique pour chaque utilisateur. Ce pseudonyme est calculé par le fournisseur d'identité en fonction de l'Operator-Name et de l'identifiant de l'utilisateur. Il peut être utilisé par le fournisseur d'accès wifi pour consolider ses traces ou éventuellement bloquer un visiteur en cas de problème (abus). Voir exemple de configuration freeradius 3.0.X ci-dessous.

Documentation serveurs RADIUS

Ce document est un bon point de départ pour configurer une infrastructure eduroam.

  • FreeRADIUS : Pour CentOS, Debian et Ubuntu vous pouvez utilisez les paquets disponibles ici plutôt que ceux fournis par ces distributions.
    • Exemples de configuration en version 3.0.X. Avec l'attribut Chargeable-User-Identity (version recommandée)
    • Exemples de configuration en version 2.X (cette version n'est plus à utiliser, migrer en version 3.0.X).
  • Serveurs Microsoft : ces documents décrivent la mise en oeuvre de serveur NPS dans le cadre d'eduroam:

Cloisonnements et filtrages

Il faudra veiller à laisser passer le trafic entre les deux proxies nationaux (rad1 et rad2) et le(s) serveur(s) local(aux) sur les ports déclarés pour le protocole radius (généralement 1812/UDP). Attention à bien laisser passer les réponses des proxies nationaux aux requêtes du ou des serveurs locaux : les serveurs FreeRadius utilisent le port 1814 comme port source de requêtes, les réponses ont donc ce numéro comme port destination.

Pour les établissements fournissant un réseau wifi eduroam (SP), les filtres mis en oeuvre doivent être cohérents avec la politique de sécurité de votre établissement. Ils devront tenir compte des points suivants :

  • Protection vis à vis de l'extérieur : le réseau d'accueil des utilisateurs du service eduroam doit être protégé des accès venant de l'extérieur.
  • Protection de votre réseau interne : il est conseillé d'attribuer un vlan au réseau des utilisateurs eduroam et de filtrer les accès entre ce vlan et vos autres réseaux internes.
  • Services réseau accessibles depuis le réseau eduroam : il ne devrait pas y avoir de filtrage sortant vers Internet. Dans le cas contraire, au moins les services suivants doivent être ouverts :
Service Protocole / Port
Standard IPSec VPN IP protocole 50 (ESP)
IP protocole 51 (AH)
UDP port 500 (IKE)
OpenVPN 2.0 UDP port 1194
IPv6 Tunnel broker service IP protocole 41
IPSec NAT-Traversal UDP port 4500
Cisco IPSec VPN over TCP TCP port 10000
PPTP VPN IP protocole 47 (GRE)
TCP port 1723
SSH TCP port 22
HTTP TCP port 80
TCP port 443
TCP port 3128
TCP port 8080
Mail (envoi) TCP port 465
TCP port 587
Mail (réception) TCP port 993
TCP port 995
FTP (passif) TCP port 21

Tests, mise au point

Afin de vous permettre de tester l'infrastructure, notamment la possibilité pour un utilisateur nomade de se connecter lors de son passage dans votre établissement, un compte de test spécifique à votre établissement est disponible. Ses caractéristiques sont les suivantes:

  • User: <votre realm>@cru.fr (example : renater.fr@cru.fr)
  • Password: <le mot de passe de votre compte de test>

Bien entendu, les caractéristiques exactes de ce compte ne sont pas à divulguer.

Traces

L'établissement doit garder pendant 1 an les logs nécessaires à la traçabilité d'un usager à partir de l'adresse IP utilisée : RADIUS local, DHCP, NAT, … Ces traces doivent comporter un horodatage fiable.

eduroam CAT

L'utilitaire eduroam Configuration Assistant Tool (CAT) permet de mettre en place et de diffuser la configuration des clients eduroam à vos utilisateurs. Il est disponible pour de nombreux OS, son utilisation est fortement recommandée plutôt qu'une configuration manuelle des clients.

Si certains paramètres de votre établissement ne sont pas pris en compte par CAT (par exemple une configuration spécifique de NetworkManager pour votre distribution linux), vous pouvez récupérer les scripts des profils générés par CAT, les modifier à votre convenance et les mettre à disposition de vos utilisateurs sur une infrastructure locale de votre établissement.

Pour que votre établissement soit pris en charge dans CAT, il suffit de le demander ici en précisant l'établissement concerné. Un jeton d'activation sera retourné pour créer votre compte d'administrateur CAT.

Support et informations aux utilisateurs de votre établissement

L'établissement doit informer et assister ses utilisateurs :

  • Sur la façon d'utiliser les accès 802.1X en fournissant des profils (via eduroam CAT ou votre infrastructure locale) ou en configurant les postes clients. En particulier, le paramètre suivant doit être correctement configuré :
    • Certificat AC (ou CA certificate) : le certificat de l'authorité de certification utilisée pour le certificat de votre serveur RADIUS. Surtout ne pas utiliser de certificat combo regroupant plusieurs AC, se limiter uniquement à l'AC utilisée pour votre serveur RADIUS.
  • De l'existence et de l'intérêt de l'infrastructure eduroam et de la façon de l'utiliser.
  • Sur les démarches à faire en cas de perte ou de vol de credentials.
  • Que la charte RENATER s'applique également sur les autres sites français partenaires.
  • De respecter les règles d'utilisation du réseau d'accueil.
  • Que le service d'assistance réseau (de l'établissement de rattachement) doit être contacté en cas de problème de connexion sur un autre site.

Support aux utilisateurs en mobilité

L'établissement offrant un réseau wifi eduroam doit :

  • Mettre en ligne une rubrique web publique décrivant le service eduroam local surtout s'il n'est pas standard (SSID différent de “eduroam”, zones de couvertes spécifiques, …) en français et en anglais. L'url de cette page sera communiquée dans les informations du compte d'administration et sera publiée sur le site eduroam.fr.
  • Si une page “portail” ouverte (accessible sans authentification par les visiteurs) est proposée, on pourra y référencer cette rubrique ainsi qu'autoriser l'accès au site cat.eduroam.org pour que les visiteurs n'ayant pas installés leur profil eduroam avant leur arrivée puissent le faire.
  • Informer les visiteurs des éventuelles conditions d'utilisation des ressources mises à leur disposition (exemple : charte informatique spécifique à l'établissement).

Le service informatique de l'établissement visité n'a pas à être sollicité par les visiteurs, ceux-ci doivent s'adresser à leur propre support en cas de problème.

Support national eduroam

Vous avez à votre disposition plusieurs listes de diffusion :

  • eduroam.fr@groupes.renater.fr : Liste d'échanges du service de mobilité eduroam.fr; inscription libre.
  • eduroam.fr-corres@groupes.renater.fr : Liste des correspondants eduroam.fr ; inscription automatique des correspondants d'établissements membres de eduroam.fr.
  • equipe-eduroam@listes.renater.fr : Liste des exploitants du service national eduroam.fr.

Pour toute demande de support, consultez https://assistance.renater.fr/

Références

eduroam Policy Service Definition

The eduroam Architecture for Network Roaming : rfc7593


{tr:about_reveal}