specif_tecnik

Spécifications techniques

Ce document est destiné aux administrateurs d'établissement ayant souscrit au service de mobilité eduroam.

Architecture

eduroam est basé sur le protocole 802.1X et une hiérarchie de serveurs RADIUS responsables de l'authentification des utilisateurs.

Chaque établissement raccorde son ou ses serveurs RADIUS aux serveurs (proxies) nationaux à qui il délègue toute demande d'authentification qui n'est pas de son ressort. Les serveurs nationaux remontent aux serveurs racine (eduroam.org) toutes les demandes ne concernant aucun des établissements français. Ces requêtes sont alors acheminées vers le bon pays puis l'établissement concerné. Les réponses suivent le chemin inverse.



eduroam.fr est opéré par RENATER

eduroam.org est opéré par GEANT

Rôles

Abréviation Rôle
SP Service Provider Etablissement fournissant un réseau wifi eduroam; voir charte eduroam.fr
IdP Identity Provider Etablissement authentifiant ses utilisateurs raccordés à un réseau wifi eduroam; voir charte eduroam.fr

Guichet d'administration

Le guichet permet au(x) administrateur(s) de gérer les informations nécessaires au fonctionnement du service eduroam pour leur établissement. Il est accessible au(x) correspondant(s) techniques eduroam déclaré(s) dans PASS et créée automatiquement par la demande d'adhésion au service mobilité.

L'authentification est réalisée via la fédération Éducation-Recherche dans laquelle votre fournisseur d'identités (IdP) SAML doit renvoyer 5 attributs : displayName, givenName, mail, sn et 1 parmi :

  • eduPersonTargetedID ou
  • pairwise-id ou
  • subject-id

Si votre établissement ne fait pas partie de cette fédération ou si votre IdP SAML d'authentification ne fournit pas ces attributs, vous pouvez utiliser un compte CRU pour vous authentifier.

Les renseignements que vous devez saisir dans ce guichet et les informations auxquelles vous avez accès sont détaillés dans l'aide en ligne.

Infrastructure sans fil, recommandations

  • Radio :
    • Fournissez de préférence la radio dans la bande de fréquences des 5 Ghz : normes 802.11a, 802.11n (en 5 Ghz), 802.11ac et 802.11ax.
    • En 2,4 Ghz : utilisez les canaux 1, 6 et 11.
  • SSID : eduroam. Exception possible : si vos locaux sont couverts par plusieurs infrastructures wifi différentes diffusant le réseau eduroam et que le chevauchement de ces réseaux crée des problèmes opérationnels, un SSID commencant par “eduroam-” peut être utilisé. Exemple : “eduroam-renater”. Si un autre SSID que eduroam est utilisé, les visiteurs doivent en être informés.
  • chiffrement radio : doit être WPA2-AES (aussi appellé WPA2-AES-CCMP).
  • support de 802.1X : l'infrastructure wifi donnant accès au service eduroam doit mettre en oeuvre ce protocole.
  • DHCP : un service DHCP doit communiquer les informations réseau de base aux clients : configuration IP, serveurs DNS, NTP.
  • un visiteur ne devra pas pouvoir se connecter via un accès n'offrant pas les garanties demandées dans la charte (portails captifs par exemple) sans être dûment informé que ses identifiants et/ou son trafic peuvent être interceptés

Cas des portails web dit captifs

Ces portails n'étant pas compatibles avec le protocole 802.1X, ils ne doivent pas être utilisés dans le cadre de eduroam.

Infrastructure RADIUS

Realm (domaine RADIUS)

Définition

Tout utilisateur de la communauté eduroam a un identifiant de la forme <login>@<realm>. La partie <realm> est un domaine ou un sous-domaine DNS de l'établissement. Dans le cas de l'utilisation d'un realm en-dehors de .fr, .nc ou .pf, il est nécessaire de mettre en place un enregistrement NAPTR (Name Authority PoinTeR) dans la zone DNS concernée, cet enregistrement doit être :

<realm>.           43200   IN      NAPTR   100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.fr.

Exemple, ajout d'un enregistrement NAPTR dans la zone renater.org :

renater.org.       43200   IN      NAPTR   100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.fr.

Note : Contactez nous si vous déclarez un realm en .edu, un enregistrement NAPTR n'est pas suffisant pour ce domaine de premier niveau.

Configuration

Concernant la configuration des terminaux de vos utilisateurs, le realm :

  • Doit être configuré dans le paramètre identité externe (ou outer identity ou anonymous identity) : ce paramètre est utilisé pour trouver votre serveur d'authentification dans la hiérarchie des serveurs RADIUS. Il est conseillé d'utiliser anonymous@<realm>. anonymous servant juste à masquer l'identifiant de vos utilisateurs.
  • Peut être configuré dans le paramètre identité interne (ou inner identity ou username) : ce paramètre correspond à l'identifiant de vos utilisateurs. Il doit être de la forme <login> ou <login>@<realm> en fonction de votre backend d'authentification.


Exemples de configurations possibles :

Realm déclaré pour l'établissement Identité externe Identité interne Remarque
renater.fr anonymous@renater.fr jdupond ok
renater.fr anonymous@renater.fr jdupond@renater.fr ok
renater.fr jdupond@renater.fr ok mais configuration déconseillée : l'identité externe n'est pas définie. Dans ce cas c'est l'identité interne (avec le login de l'utilisateur) qui est tracée par tous les serveurs RADIUS utilisés.
renater.fr jdupond Nok : ne pas utiliser, aucun realm défini dans les identités.
Cette configuration ne fonctionnera pas à l'extérieur de votre établissement.
Protection contre les boucles d'authentifications

Vous ne devez pas nous envoyer les requêtes d'authentifications contenant votre realm : ces requêtes doivent être traitées par votre service RADIUS interne à votre établissement. Si vous nous transmettez ces requêtes, le risque de création d'une boucle d'authentification infinie entre vos serveurs et les nôtres est important et ces boucles peuvent dégrader le service eduroam pour l'ensemble de la communauté.
Note septembre 2020 : pour se prémunir de cette situation un filtre sur les requêtes EAP d'authentifications a été rajouté sur les proxies nationaux eduroam.fr : toute requête d'authentification dont le SP (client ou source) à la même @IP que l'IdP (home_server ou serveur d'authentification) est rejetée.

Méthodes d'authentification EAP

Les méthodes EAP les plus souvent utilisées dans la communauté eduroam sont :

  • EAP-TTLS/PAP ou EAP-TTLS/MSCHAPv2
  • PEAP/MSCHAPv2
  • EAP-TLS (certificat utilisateur X.509)


Le choix de la méthode EAP est à adapter à votre établissement. Il est à faire en fonction du backend d'authentification utilisé (format d'empreinte du mot de passe) et des compétences internes disponibles pour administrer cette infrastructure.

Les serveurs RADIUS doivent être configurés pour imposer l'usage d'une de ces méthodes EAP pour authentifier les utilisateurs eduroam. Toute tentative d'authentification n'utilisant pas une méthode EAP (authentification en RADIUS simple par exemple) doit être rejetée. Si ce type de requêtes arrivent aux proxies nationaux eduroam.fr, elles sont systématiquement rejettées.
Les méthodes LEAP et EAP-MD5 ne doivent pas être utilisées.

Certificat serveur RADIUS

Toutes ces méthodes EAP impliquent l'utilisation d'un certificat côté serveur. Le certificat de l'AC (Authorité de Certification) doit être installé sur tous les clients wifi de vos utilisateurs pour que le certificat du serveur soit validé. Vous pouvez utiliser eduroam CAT (voir ci-dessous) pour vous assurer que ce certificat est bien installé sur les terminaux de vos utilisateurs.
Des informations complémentaire sur les certificats avec EAP sont disponibles ici.

Paramètres et attributs

Voici les paramètres et attribut RADIUS à configurer :

  • Proxy infrastructure de test : radtest.eduroam.fr avec le secret partagé associé
  • Proxies nationaux de production : rad1.eduroam.fr et rad2.eduroam.fr avec le secret partagé associé
  • Attribut Operator-Name (non supporté par le serveur RADIUS MS NPS): cet attribut doit être rajouté par le fournisseur d'accès wifi (SP). Il est de la forme “1ETABLISSEMENT.TLD” avec obligatoirement le chiffre 1 au début et ETABLISSEMENT.TLD pouvant correspondre au domaine DNS de votre établissement.
    • Exemple : Operator-Name = “1renater.fr”
  • Attribut Chargeable-User-Identity (ou CUI) : généré par le serveur RADIUS réalisant l'authentification de l'utilisateur (IdP), il permet au fournisseur d'accès wifi (SP) d'avoir un pseudonyme unique pour chaque utilisateur. Ce pseudonyme est calculé par le fournisseur d'identité en fonction de l'Operator-Name et de l'identifiant de l'utilisateur. Il peut être utilisé par le fournisseur d'accès wifi pour consolider ses traces ou éventuellement bloquer un visiteur en cas de problème (abus). Voir exemple de configuration freeradius 3.0.X ci-dessous.

Documentation serveurs RADIUS

Ce document est un bon point de départ pour configurer une infrastructure eduroam.

  • FreeRADIUS : Pour CentOS, Rocky Linux, RHEL, Debian et Ubuntu vous pouvez utilisez les paquets disponibles ici plutôt que ceux fournis de base avec ces distributions, ces paquets sont maintenus par les développeurs de FreeRADIUS.
  • Serveurs Microsoft NPS :
  • CISCO ISE : quelques documents et pointeurs ici

Cloisonnements et filtrages

Il faudra veiller à laisser passer le trafic entre les deux proxies nationaux (rad1 et rad2) et le(s) serveur(s) local(aux) sur les ports déclarés pour le protocole radius (généralement UDP 1812). Attention à bien laisser passer les réponses des proxies nationaux aux requêtes du ou des serveurs locaux.

Pour les établissements fournissant un réseau wifi eduroam (SP), les filtres mis en oeuvre doivent être cohérents avec la politique de sécurité de votre établissement. Ils devront tenir compte des points suivants :

  • Protection vis à vis de l'extérieur : le réseau d'accueil des utilisateurs du service eduroam doit être protégé des accès venant de l'extérieur.
  • Protection de votre réseau interne : il est conseillé d'attribuer un vlan au réseau des utilisateurs eduroam et de filtrer les accès entre ce vlan et vos autres réseaux internes.
  • Services réseau accessibles depuis le réseau eduroam : il ne devrait pas y avoir de filtrage sortant vers Internet. Dans le cas contraire, au moins les services suivants doivent être ouverts :
Service Protocole / Port
Standard IPSec VPN IP protocole 50 (ESP)
IP protocole 51 (AH)
UDP port 500 (IKE)
OpenVPN 2.0 UDP port 1194
IPv6 Tunnel broker service IP protocole 41
IPSec NAT-Traversal UDP port 4500
Cisco IPSec VPN over TCP TCP port 10000
PPTP VPN IP protocole 47 (GRE)
TCP port 1723
SSH TCP port 22
HTTP TCP port 80
TCP port 443
TCP port 3128
TCP port 8080
Mail (envoi) TCP port 465
TCP port 587
Mail (réception) TCP port 993
TCP port 995
FTP (passif) TCP port 21

Tests, mise au point

Afin de vous permettre de tester l'infrastructure, notamment la possibilité pour un utilisateur nomade de se connecter lors de son passage dans votre établissement, un compte de test spécifique à votre établissement est disponible. Ses caractéristiques sont les suivantes:

  • User: <votre_realm>@cru.fr (exemple : renater.fr@cru.fr)
  • Password: <le mot de passe de votre compte de test>

Bien entendu, les caractéristiques exactes de ce compte ne sont pas à divulguer.
Ce compte doit être utilisé uniquement en EAP (pas en RADIUS simple) & en TLS 1.2 minimum, l'utilitaire eapol_test est conseillé pour ça, il doit vous renvoyer un SUCCESS ou Access-Accept.
Si vous n'avez pas de réponse (timeout) : il y a un problème de communication entre votre serveur et les serveurs eduroam.fr.

Traces

L'établissement doit garder pendant 1 an les logs nécessaires à la traçabilité d'un usager à partir de l'adresse IP utilisée : RADIUS local, DHCP, NAT, …
Ces traces doivent comporter un horodatage fiable.

eduroam CAT

L'utilitaire eduroam Configuration Assistant Tool (CAT) permet de mettre en place et de diffuser la configuration des clients eduroam à vos utilisateurs. Il est disponible pour de nombreux OS, son utilisation est fortement recommandée plutôt qu'une configuration manuelle des clients.

Si certains paramètres de votre établissement ne sont pas pris en compte par CAT (par exemple une configuration spécifique de NetworkManager pour votre distribution linux), vous pouvez récupérer les scripts des profils générés par CAT, les modifier à votre convenance et les mettre à disposition de vos utilisateurs sur une infrastructure locale de votre établissement.

Pour que votre établissement soit pris en charge dans CAT, il suffit de le demander ici en précisant l'établissement concerné. Un jeton d'activation sera retourné pour créer votre compte d'administrateur CAT.

Pour vous connecter à CAT en tant qu'administrateur d'établissement, il faut être membre de la fédération eduGAIN et que votre fournisseur d'identités (IdP) renvoie bien l'un des trois attributs : subject-id ou pairwise-id ou ou eduPersonTargetedID. Si ce n'est pas le cas, vous pouvez utiliser un compte CRU pour vous authentifier en sélectionnant l'onglet 'experimental' à la place de 'eduGAIN'.

Documentations :
Guide de référence (an anglais)
Guide administrateur (en français)
FAQ

Support et informations aux utilisateurs de votre établissement

L'établissement doit informer et assister ses utilisateurs :

  • Sur la façon d'utiliser les accès 802.1X en fournissant des profils (via eduroam CAT ou votre infrastructure locale) ou en configurant les postes clients. En particulier, le paramètre suivant doit être correctement configuré :
    • Certificat AC (ou CA certificate) : le certificat de l'authorité de certification utilisée pour le certificat de votre serveur RADIUS. Surtout ne pas utiliser de certificat combo regroupant plusieurs AC, se limiter uniquement à l'AC utilisée pour votre serveur RADIUS.
  • De l'existence et de l'intérêt de l'infrastructure eduroam et de la façon de l'utiliser.
  • Sur les démarches à faire en cas de perte ou de vol d'identifiants.
  • Que la charte RENATER s'applique également sur les autres sites français partenaires.
  • De respecter les règles d'utilisation du réseau d'accueil.
  • Que le service d'assistance réseau (de l'établissement de rattachement) doit être contacté en cas de problème de connexion sur un autre site.

Support aux utilisateurs en mobilité

L'établissement offrant un réseau wifi eduroam doit :

  • Mettre en ligne une rubrique web publique décrivant le service eduroam local surtout s'il n'est pas standard (SSID différent de “eduroam”, zones de couvertes spécifiques, …) en français et en anglais. L'url de cette page sera communiquée dans les informations du compte d'administration et sera publiée sur le site eduroam.fr.
  • Si une page “portail” ouverte (accessible sans authentification par les visiteurs) est proposée, on pourra y référencer cette rubrique ainsi qu'autoriser l'accès au site cat.eduroam.org pour que les visiteurs n'ayant pas installés leur profil eduroam avant leur arrivée puissent le faire.
  • Informer les visiteurs des éventuelles conditions d'utilisation des ressources mises à leur disposition (exemple : charte informatique spécifique à l'établissement).

Le service informatique de l'établissement visité n'a pas à être sollicité par les visiteurs, ceux-ci doivent s'adresser à leur propre support en cas de problème.

Support national eduroam

Vous avez à votre disposition plusieurs listes de diffusion :

  • eduroam.fr@groupes.renater.fr : Liste d'échanges du service de mobilité eduroam.fr; inscription libre.
  • eduroam.fr-corres@groupes.renater.fr : Liste des correspondants eduroam.fr ; inscription automatique des correspondants d'établissements membres de eduroam.fr.
  • equipe-eduroam@listes.renater.fr : Liste des exploitants du service national eduroam.fr.

Pour toute demande de support, consultez https://assistance.renater.fr/

Références

eduroam Policy Service Definition

The eduroam Architecture for Network Roaming : rfc7593


{tr:about_reveal}