specif_tecnik

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
specif_tecnik [2018/06/19 09:49] – [Spécifications techniques] lumineauspecif_tecnik [2023/02/23 14:50] (Version actuelle) – [Infrastructure RADIUS] arnaud.lauriou@renater.fr
Ligne 1: Ligne 1:
 ====== Spécifications techniques ====== ====== Spécifications techniques ======
-<html+<WRAP 75% info
-<div data-closable class="small-12 medium-8 columns"> +Ce document est destiné aux administrateurs d'établissement ayant souscrit au service de mobilité eduroam. 
-<p class="callout  alert-callout-border primary icon text-center"> +</WRAP>
-  Ce document décrit les modalités de mise en oeuvre du service de mobilité eduroam. <br> Version : $Revision: 1.19 $, $Date: 2016/11/22 08:50:51 $. +
-  <button class="close-button" aria-label="Dismiss alert" type="button" data-close> +
-    <span aria-hidden="true">&times;</span> +
-  </button> +
-</p>   +
-</div> +
-</html>+
  
 ===== Architecture ===== ===== Architecture =====
  
-Chaque établissement raccorde son ou ses serveurs RADIUS au serveur proxy national (doublé) à qui il délègue toute demande d'authentification qui n'est pas de son ressort. Le serveur national remonte au serveur européen toutes les demandes ne concernant aucun des établissements français. Ces requêtes sont alors acheminées vers le bon pays puis l'établissement concerné. Les réponses suivent le chemin inverse.+eduroam est basé sur le protocole 802.1X et une hiérarchie de serveurs RADIUS responsables de l'authentification des utilisateurs.
  
-{{:architecture2.png|Architecture}}+Chaque établissement raccorde son ou ses serveurs RADIUS aux serveurs (proxies) nationaux à qui il délègue toute demande d'authentification qui n'est pas de son ressort. Les serveurs nationaux remontent aux serveurs racine (eduroam.org) toutes les demandes ne concernant aucun des établissements français. Ces requêtes sont alors acheminées vers le bon pays puis l'établissement concerné. Les réponses suivent le chemin inverse. 
 +\\ 
 +\\ 
 +{{::architecture-globale-complete.png?800|}} 
 +\\ 
 +\\ 
 +eduroam.fr est opéré par [[https://www.renater.fr/eduroam|RENATER]]
  
-===== Le compte eduroam-fr =====+eduroam.org est opéré par [[https://www.geant.org/eduroam|GEANT]]
  
-Ce compte, géré par les exploitants du service, est associé à l'établissement titulaire d'un agrément RENATER ayant souscrit au service mobilité. Il permet de gérer les informations nécessaires au fonctionnement du service au niveau national. Il est accessible au(x) correspondant(s) enregistré(s) dans PASS à l'url [[https://services.eduroam.fr/]] et créé automatiquement par la demande d'adhésion au service mobilité. +===== Rôles =====
-L'authentification est réalisée via la fédération d'identité Éducation-Recherche. Si l'établissement du correspondant n'en fait partie, il lui est possible de se créer un compte.+
  
-== Principales informations gérées : == +^ Abréviation ^  ^ Rôle ^ 
-  * noms de domaines (realms Radius) : tout utilisateur de la communauté eduroam a un identifiant de la forme [user]@[domaine]. La partie [domaine] est, à priori, un domaine DNS de l'établissement et doit se terminer par **".fr"** (exemple : "cru.fr") ou, éventuellement, en **".eu"** après accord des exploitants. C'est logiquement la partie domaine (ou une sous-partie) de l'identifiant institutionnel stocké dans l'attribut eduPersonPrincipalName des entrées de personnes dans l'annuaire SupAnn de l'établissement. Il peut en être déclaré plusieurs. Seuls ceux des communautés susceptibles d'utiliser le service eduroam doivent être déclarés. +| SP | Service Provider | Etablissement fournissant un réseau wifi eduroam; voir charte eduroam.fr | 
-  * serveur RADIUS principal : adresse ou nom du serveur principal +| IdP | Identity Provider | Etablissement authentifiant ses utilisateurs raccordés à un réseau wifi eduroam; voir charte eduroam.fr |
-  * serveur(s) RADIUS de secours : adresse(s) ou nom(s) du ou des serveurs de secours +
-  * ports : port utilisé pour l'authentification (ne pas utiliser l'accounting vers les proxies) +
-  * type d'authentification : la ou les méthodes d'authentification EAP utilisées +
-  * secret partagé : le secret partagé entre les serveurs RADIUS nationaux et les serveurs de l'établissement. Un secret initial est proposé, il peut être modifié +
-  * compte de test : afin d'effectuer des tests et de surveiller la disponibilité du service, un compte de test identique (même nom, même mot de passe) sur tous les realms déclarés sera créé. Le nom par défaut est "arredu" et un mot de passe est proposé automatiquement à la création du compte eduroam. Il est conseillé de le changer de temps en temps. Ce compte pourra être communiqué à d'autres correspondants eduroam-fr pour effectuer des tests de toute la chaîne entre eux et le site concerné. +
-  * SSID : identifiant du service (**"eduroam"** si chiffrement WPA2-AES) Le SSID à utiliser pour le service eduroam sera indiqué sur les pages d'informations du service et sur le portail Wi-Fi si un tel portail existe. +
-  * chiffrement radio : chiffrement mis en oeuvre au niveau 802.11 (**WPA2-AES**). Voir recommandations ci-dessous. +
-  * type de serveur : logiciel ou appliance RADIUS utilisé +
-  * pages d'information : url des pages publiques décrivant le service eduroam mis en place localement +
-  * coordonnées du service d'assistance : email et téléphone du service d'assistanceCes informations ne seront pas rediffusées +
-  * coordonnées du correspondant eduroam-fr +
-  * Latitude du site : latitude pour le positionnement sur la carte +
-  * Longitude du site : latitude pour le positionnement sur la carte +
  
-===== Infrastructure RADIUS, configuration ===== 
  
-Ce [[https://wiki.geant.org/display/H2eduroam/How+to+deploy+eduroam+on-site+or+on+campus|document]] est un bon point de départ pour configurer un serveur eduroam.+===== Guichet d'administration =====
  
-[[https://confluence.diamond.ac.uk/display/PAAUTH/Configuring+an+eduroam+FreeRADIUS+3.0+server|Celui-ci]] est orienté FreeRadius 3.+Le [[https://services.eduroam.fr/|guichet]] permet au(x) administrateur(s) de gérer les informations nécessaires au fonctionnement du service eduroam pour leur établissement. Il est accessible au(x) correspondant(s) techniques eduroam déclaré(s) dans PASS et créée automatiquement par la demande d'adhésion au service mobilité.
  
-Cas des serveurs Microsoft ce [[https://www.uninett.no/sites/default/files/imce/cbp-13_using-windows-nps-as-radius-in-eduroam_final.pdf|document]] décrit la mise en oeuvre de serveur NPS dans le cadre d'eduroam.+L'authentification est réalisée via la fédération Éducation-Recherche dans laquelle votre fournisseur d'identités (IdP) SAML doit renvoyer 5 attributs **displayName**, **givenName**, **mail**, **sn**  et 1 parmi : 
 +  * **eduPersonTargetedID** ou 
 +  * **pairwise-id** ou 
 +  * **subject-id**
  
-==Précisions :== +Si votre établissement ne fait pas partie de cette fédération ou si votre IdP SAML d'authentification ne fournit pas ces attributsvous pouvez utiliser un compte [[https://cru.renater.fr/|CRU]] pour vous authentifier.
-  * noms de domaines (realms) : configurer les domaines choisis (dans proxy.conf dans le cas de FreeRadius) +
-  * méthodes d'authentification : configurer la ou les méthodes d'authentification choisies (radius.confeap.conf dans le cas de FreeRadius) +
-  * compte de test configurer pour chaque domaine le compte de test enregistré dans le compte eduroam-fr (users par exemple dans le cas de FreeRadius) +
-  * sécurisation : les clients (points d'accès) et serveurs RADIUS doivent être configurés et administrés dans les règles de l'art (patchs de sécurité par exemple) et situés sur des réseaux/vlans dédiésLe trafic RADIUS ne doit pouvoir être intercepté en aucun point de la chaîne. +
-  * proxies nationaux de rattachement : configurer les proxies nationaux (rad1.eduroam.fr et rad2.eduroam.fr, ports 1812/1813) avec le secret partagé associé (clients.conf et proxy.conf dans le cas de FreeRadius)+
  
-**__Exemple pour proxy.conf, dans le cas de FreeRadius 2.x :__** +Les renseignements que vous devez saisir dans ce guichet et les informations auxquelles vous avez accès sont détaillés dans l'aide en ligne.
-<code> +
-# 1er proxy national : +
-home_server rad1.eduroam.fr { +
-        type            = auth +
-        ipaddr          = 193.49.160.187 +
-        port            = 1812 +
-        secret          =  +
-        require_message_authenticator = yes +
-        response_window = 20 +
-        zombie_period   = 40 +
-        status_check    = status-server +
-        check_interval  = 20 +
-        num_answers_to_alive = 3 +
-}+
  
-# 2eme proxy national +===== Infrastructure sans fil, recommandations ===== 
-home_server rad2.eduroam.fr { +  * Radio :  
-        type            = auth +    * Fournissez de préférence la radio dans la bande de fréquences des 5 Ghz : normes 802.11a, 802.11n (en 5 Ghz), 802.11ac et 802.11ax
-        ipaddr          = 193.49.159.82 +    * En 2,4 Ghz : utilisez les canaux 1, 6 et 11. 
-        port            = 1812 +  * SSID : **eduroam**Exception possible : si vos locaux sont couverts par plusieurs infrastructures wifi différentes diffusant le réseau eduroam et que le chevauchement de ces réseaux crée des problèmes opérationnels, un SSID commencant par "eduroam-" peut être utiliséExemple : "eduroam-renater". Si un autre SSID que eduroam est utilisé, les visiteurs doivent en être informés
-        secret          =  +  * chiffrement radio : doit être **WPA2-AES** (aussi appellé WPA2-AES-CCMP). 
-        require_message_authenticator = yes +  * support de 802.1X : l'infrastructure wifi donnant accès au service eduroam doit mettre en oeuvre ce protocole. 
-        response_window = 20 +  * DHCP : un service DHCP doit communiquer les informations réseau de base aux clients : configuration IP, serveurs DNS, NTP. 
-        zombie_period   = 40 +  * un visiteur ne devra pas pouvoir se connecter via un accès n'offrant pas les garanties demandées dans la charte (portails captifs par exemple) sans être dûment informé que ses identifiants et/ou son trafic peuvent être interceptés
-        status_check    = status-server +
-        check_interval  = 20 +
-        num_answers_to_alive = 3 +
-}+
  
-home_server_pool pool-eduroam-fr { +=== Cas des portails web dit captifs ===
-        type fail-over +
- home_server rad1.eduroam.fr +
- home_server rad2.eduroam.fr +
-}+
  
-realm  DEFAULT { +Ces portails n'étant pas compatibles avec le protocole 802.1X, ils ne doivent pas être utilisés dans le cadre de eduroam. 
-       auth_pool pool-eduroam-fr + 
-       nostrip +===== Infrastructure RADIUS ===== 
-}+=== Realm (domaine RADIUS) === 
 +== Définition == 
 +Tout utilisateur de la communauté eduroam a un identifiant de la forme <login>@<realm>. La partie <realm> est un domaine ou un sous-domaine DNS de l'établissement. Dans le cas de l'utilisation d'un realm en-dehors de .fr, .nc ou .pf, il est nécessaire de mettre en place un enregistrement NAPTR (Name Authority PoinTeR) dans la zone DNS concernée, cet enregistrement doit être : 
 +<code> 
 +<realm>          43200   IN      NAPTR   100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.fr.
 </code> </code>
-**__Exemple pour clients.conf, dans le cas de FreeRadius 2.:__**+Exempleajout d'un enregistrement NAPTR dans la zone renater.org :
 <code> <code>
-# 1er proxy national : +renater.org.       43200   IN      NAPTR   100 10 "s" "x-eduroam:radius.tls" "" _radsec._tcp.eduroam.fr.
-client  193.49.160.187 { +
-        secret          =  +
-        shortname       = rad1.eduroam.fr +
-+
- +
-# 2ème proxy national : +
-client  193.49.159.82 { +
-        secret          =  +
-        shortname       = rad2.eduroam.fr +
-}+
 </code> </code>
-**__Testsmise au point :__**+//Note// : Contactez nous si vous déclarez un realm en //.edu//un enregistrement NAPTR n'est pas suffisant pour ce domaine de premier niveau. 
 +== Configuration == 
 +Concernant la configuration des terminaux de vos utilisateurs, le realm : 
 +  Doit être configuré dans le paramètre //identité externe// (ou //outer identity// ou //anonymous identity//) : ce paramètre est utilisé pour trouver votre serveur d'authentification dans la hiérarchie des serveurs RADIUS. Il est conseillé d'utiliser anonymous@<realm>. anonymous servant juste à masquer l'identifiant de vos utilisateurs. 
 +  Peut être configuré dans le paramètre //identité interne// (ou //inner identity// ou //username//) : ce paramètre correspond à l'identifiant de vos utilisateurs. Il doit être de la forme <login> ou <login>@<realm> en fonction de votre backend d'authentification.\\ 
 +\\ 
 +Exemples de configurations possibles : 
 +^ Realm déclaré pour l'établissement ^ Identité externe ^ Identité interne ^ Remarque ^ 
 +| renater.fr | anonymous@renater.fr | jdupond | ok | 
 +| renater.fr | anonymous@renater.fr | jdupond@renater.fr | ok | 
 +| renater.fr | | jdupond@renater.fr | ok mais configuration déconseillée : l'identité externe n'est pas définie. Dans ce cas c'est l'identité interne (avec le login de l'utilisateur) qui est tracée par tous les serveurs RADIUS utilisés. | 
 +| renater.fr | | jdupond | Nok : ne pas utiliser, aucun realm défini dans les identités.\\ Cette configuration ne fonctionnera pas à l'extérieur de votre établissement. |
  
-Afin de vous permettre de tester l'infrastructure, notamment la possibilité pour un utilisateur nomade de se connecter lors de son passage dans votre établissement, un compte de test spécifique à votre établissement est disponible. Ses caractéristiques sont les suivantes: +== Protection contre les boucles d'authentifications == 
-  * **User**: <votre realm>@cru.fr (example renater.fr@cru.fr) +Vous ne devez pas nous envoyer les requêtes d'authentifications contenant votre realm :  
-  * **Password**: <le mot de passe de votre compte de test>+ces requêtes doivent être traitées par votre service RADIUS interne à votre établissement. Si vous nous transmettez ces requêtes, le risque de création d'une boucle d'authentification infinie entre vos serveurs et les nôtres est important et ces boucles peuvent dégrader le service eduroam pour l'ensemble de la communauté.\\  
 +//Note septembre 2020// : pour se prémunir de cette situation un filtre sur les requêtes EAP d'authentifications a été rajouté sur les proxies nationaux eduroam.fr : toute requête d'authentification dont le SP (//client// ou //source//) à la même @IP que l'IdP (//home_server// ou //serveur d'authentification//est rejetée.
  
-Bien entendu, les caractéristiques exactes de ce compte ne sont pas à divulguer.+=== Méthodes d'authentification EAP ===
  
-===== Infrastructure sans fil, recommandations ===== +Les méthodes EAP les plus souvent utilisées dans la communauté eduroam sont : 
-  * type : 802.11g +  * EAP-TTLS/PAP ou EAP-TTLS/MSCHAPv2 
-  * canaux utilisés : pour pouvoir accueillir des visiteurs provenant de pays dont la réglementation d'utilisation de la bande 2.4GHz est plus restrictive que la nôtre, il est conseillé de ne pas utiliser les canaux au-delà de 11 pour les points d'accès eduroam. +  * PEAP/MSCHAPv2 
-  * SSID : le choix effectué dans le cadre d'eduroam est "eduroam". Il doit être diffusé par les bornes (broadcast) et associé au chiffrement WPA2-AES (cf ci-dessous). Si un autre SSID est utilisé les visiteurs doivent en être informés. +  * EAP-TLS (certificat utilisateur X.509) 
-  * chiffrement : doit être WPA2-AES dans le cadre du profil standard eduroam. Si ce chiffrement n'est pas possible il faut utiliser un SSID de la forme eduroam-chiffrement soit "eduroam-wpa2-tkip" pour WPA2-TKIP, "eduroam-wpa-tkip" pour WPA-TKIP ou "eduroam-wpa-aes" pour WPA-AESLe WEP est exclu. Le(s) type(s) de chiffrement utilisé devra(ont) être indiqué(s) sur les pages d'informations. +\\ 
-  * support de 802.1X : les points d'accès au service eduroam doivent mettre en oeuvre le protocole d'accès 802.1X +Le [[https://wiki.geant.org/display/H2eduroam/eap-types|choix de la méthode EAP]] est à adapter à votre établissementIl est à faire en fonction du backend d'authentification utilisé ([[http://deployingradius.com/documents/protocols/compatibility.html|format d'empreinte du mot de passe]]) et des compétences internes disponibles pour administrer cette infrastructure.
-  * DHCP un service DHCP doit communiquer les informations réseau de base aux clients +
-  * services réseau accessibles : **il ne devrait pas y avoir de filtrage sortant**, dans le cas contraire au moins les services suivants doivent être ouverts vers l'Internet : +
-    * HTTP et HTTPS, +
-    * domaine (DNS), +
-    * ICMP (echo/reply), +
-    * IPSec (ESP, AH, IKE), +
-    * OpenVPN, +
-    * SSH, +
-    * POPs, +
-    * IMAPs, +
-    * NTP, +
-    * submission (smtp/auth),  +
-  * protection vis à vis de l'extérieur : le réseau d'accueil des utilisateurs du service eduroam doit être protégé des accès venant de l'extérieur +
-  * un visiteur ne devra pas pouvoir se connecter via un accès n'offrant pas les garanties demandées dans la charte (portails captifs par exemplesans être dûment informé que ses credentials et/ou son trafic peuvent être interceptés+
  
-===== Filtragefirewall =====+**Les serveurs RADIUS doivent être configurés pour imposer l'usage d'une de ces méthodes EAP pour authentifier les utilisateurs eduroam. Toute tentative d'authentification n'utilisant pas une méthode EAP (authentification en RADIUS simple par exemple) doit être rejetée.** Si ce type de requêtes arrivent aux proxies nationaux eduroam.frelles sont systématiquement rejettées.  
 +\\ 
 +Les méthodes LEAP et EAP-MD5 ne doivent pas être utilisées.
  
-Il faudra veiller à laisser passer le trafic entre les deux proxies nationaux (rad1 et rad2) et le(s) serveur(s) local(aux) sur les ports déclarés pour le protocole radius (généralement 1812/UDP). +=== Certificat serveur RADIUS ===
-Attention à bien laisser passer les réponses des proxies nationaux aux requêtes du ou des serveurs locaux : les serveurs FreeRadius utilisent le port 1814 comme port source de requêtes, les réponses ont donc ce numéro comme port destination.+
  
-===== Méthodes d'authentification, certificats =====+Toutes ces méthodes EAP impliquent l'utilisation d'un certificat côté serveur. Le certificat de l'AC (Authorité de Certification) doit être installé sur tous les clients wifi de vos utilisateurs pour que le certificat du serveur soit validé. Vous pouvez utiliser eduroam CAT (voir ci-dessous) pour vous assurer que ce certificat est bien installé sur les terminaux de vos utilisateurs.\\ 
 +Des informations complémentaire sur les certificats avec EAP sont disponibles [[certifs|ici]].
  
-Le respect des critères de sécurisation garantis aux utilisateurs à travers la charte du service implique l'utilisation de méthodes d'authentification sûres et mutuelles c'est-à dire à base de tunnel SSL avec authentification du serveur d'authentification par le client. +=== Paramètres et attributs ===
-Ces méthodes sont :+
  
-  EAP/TLS +Voici les paramètres et attribut RADIUS à configurer : 
-  * EAP/TTLS +  Proxy infrastructure de test : radtest.eduroam.fr avec le secret partagé associé 
-  * EAP/PEAP+  * Proxies nationaux de production : rad1.eduroam.fr et rad2.eduroam.fr avec le secret partagé associé  
 +  * Attribut //Operator-Name// (non supporté par le serveur RADIUS MS NPS): cet attribut doit être rajouté par le fournisseur d'accès wifi (SP). Il est de la forme "1ETABLISSEMENT.TLD" avec obligatoirement le chiffre 1 au début et ETABLISSEMENT.TLD pouvant correspondre au domaine DNS de votre établissement. 
 +    * Exemple : Operator-Name = "1renater.fr"  
 +  * Attribut //Chargeable-User-Identity// (ou //CUI//) : généré par le serveur RADIUS réalisant l'authentification de l'utilisateur (IdP), il permet au fournisseur d'accès wifi (SP) d'avoir un pseudonyme unique pour chaque utilisateur. Ce pseudonyme est calculé par le fournisseur d'identité en fonction de l'//Operator-Name/et de l'identifiant de l'utilisateur. Il peut être utilisé par le fournisseur d'accès wifi pour consolider ses traces ou éventuellement bloquer un visiteur en cas de problème (abus). Voir exemple de configuration freeradius 3.0.X ci-dessous.
  
-Les serveurs RADIUS doivent être configurés pour imposer l'usage d'une de ces méthodes pour les utilisateurs du service eduroam. Toute tentative de connexion sur un accès eduroam n'utilisant pas une de ces méthodes doit être rejetée. Toutes ces méthodes impliquent l'utilisation d'un certificat côté serveur. Ce certificat doit être vérifié côté client. +=== Documentation serveurs RADIUS ===
-L'utilisation de certificat commercial n'est pas nécessaire, voire pas souhaitable. Ce document décrit ce qu'il faut savoir sur les certificats utilisés pour EAP.+
  
-===== Traçabilité =====+Ce [[https://wiki.geant.org/pages/viewpage.action?pageId=121346259|document]] est un bon point de départ pour configurer une infrastructure eduroam.
  
-L'établissement doit garder les traces nécessaires à l'identification d'un usager à partir de l'adresse IP utilisée en cas d'abus constaté accounting RADIUS local, logs DHCP, NAT,... Ces traces doivent comporter un horodatage fiable.+  * FreeRADIUS : Pour CentOS, Rocky Linux, RHEL, Debian et Ubuntu vous pouvez utilisez les paquets disponibles [[http://packages.networkradius.com/|ici]] plutôt que ceux fournis de base avec ces distributions, ces paquets sont maintenus par les développeurs de FreeRADIUS. 
 +    * Exemples de configuration en [[freeradius-3.0.X| version 3.0.X et 3.2.Y]].  
 +      * Avec l'attribut [[freeradius-cui-3.0.X|Chargeable-User-Identity]] (version recommandée) 
 +      * Avec affectation de [[freeradius-vlans-3.0.X|VLAN]] en fonction du realm des utilisateurs.  
 +  * [[https://archive.geant.org/projects/gn3/geant/services/cbp/Documents/cbp-79_guide_to_configuring_eduroam_using_the_aruba_wireless_controller_and_clearpass.pdf|Aruba/HPE ClearPass]] 
 +  * Serveurs Microsoft NPS :  
 +    * Documentations : 
 +      * [[https://eduroam.ac.za/static/cbp-13_using-windows-nps-as-radius-in-eduroam_final.pdf|GEANT]] 
 +      * [[https://community.jisc.ac.uk/system/files/257/eduroam%28UK%29%20Microsoft%20NPS%20Configuration%20Guide.pdf|JISC]] 
 +    * Webinar [[https://www.youtube.com/playlist?list=PLbKeiLya4JyA_6A10XKhnCzEY4eyApG4M|YouTube]] 
 +  * CISCO ISE : quelques documents et pointeurs [[https://community.jisc.ac.uk/library/janet-services-documentation/cisco-acsise-configuration-eduroam|ici]]
  
-===== Cas des portails web dit captifs ===== 
  
-Ces portails posent généralement des problèmes de sécurité à plusieurs niveaux +===== Cloisonnements et filtrages ===== 
-  * de par l'absence de 802.1X, il n'y a pas de protection du contenu des requêtes RADIUS. Il y a un risque de crackage si le flux RADIUS peut être intercepté à un endroit quelconque de la chaîne. Les mots de passe peuvent également être exposés par le simple fonctionnement en mode debug de l'un des serveurs RADIUS traversésLa compromission de la machine supportant le portail exposerait les données d'authentification des utilisateurs. +Il faudra veiller à laisser passer le trafic entre les deux proxies nationaux (rad1 et rad2) et le(s) serveur(s) local(aux) sur les ports déclarés pour le protocole radius (généralement UDP 1812). Attention à bien laisser passer les réponses des proxies nationaux aux requêtes du ou des serveurs locaux. 
-  * le lien radio n'étant pas protégé, le trafic des utilisateurs est "à la disposition" de tous ceux qui sont dans la zône de couverture du point d'accès (voire plus)+\\ 
-  * outre l'interception des données (éventuellement sensibles), des attaques de type MIM sont possibles ainsi que le vol de session (faux point d'accès, faux portailfaux serveur d'authentification...) pouvant révéler les crédentiels des usagers+\\ 
 +Pour les établissements fournissant un réseau wifi eduroam (SP), les filtres mis en oeuvre doivent être cohérents avec la politique de sécurité de votre établissement. Ils devront tenir compte des points suivants 
 +  * Protection vis à vis de l'extérieur : le réseau d'accueil des utilisateurs du service eduroam doit être protégé des accès venant de l'extérieur. 
 +  * Protection de votre réseau interne : il est conseillé d'attribuer un vlan au réseau des utilisateurs eduroam et de filtrer les accès entre ce vlan et vos autres réseaux internes
 +  * Services réseau accessibles depuis le réseau eduroam : **il ne devrait pas y avoir de filtrage sortant vers Internet**. Dans le cas contraire, au moins les services suivants doivent être ouverts : 
 + 
 +^ Service ^ Protocole / Port ^ 
 +| Standard IPSec VPN | IP protocole 50 (ESP)\\ IP protocole 51 (AH)\\ UDP port 500 (IKE) | 
 +| OpenVPN 2.0 | UDP port 1194 | 
 +| IPv6 Tunnel broker service | IP protocole 41 | 
 +| IPSec NAT-Traversal | UDP port 4500 | 
 +| Cisco IPSec VPN over TCP | TCP port 10000 | 
 +| PPTP VPN | IP protocole 47 (GRE)\\ TCP port 1723 | 
 +| SSH | TCP port 22 | 
 +| HTTP | TCP port 80\\ TCP port 443\\ TCP port 3128\\ TCP port 8080 | 
 +| Mail (envoi) | TCP port 465\\ TCP port 587 | 
 +| Mail (réception) | TCP port 993\\ TCP port 995 | 
 +| FTP (passif) | TCP port 21 | 
 + 
 +===== Tests, mise au point ===== 
 + 
 +Afin de vous permettre de tester l'infrastructure, notamment la possibilité pour un utilisateur nomade de se connecter lors de son passage dans votre établissement, un compte de test spécifique à votre établissement est disponibleSes caractéristiques sont les suivantes: 
 +  * **User**: <votre_realm>@cru.fr (exemple : renater.fr@cru.fr) 
 +  * **Password**: <le mot de passe de votre compte de test> 
 + 
 +Bien entendules caractéristiques exactes de ce compte ne sont pas à divulguer. 
 +\\ 
 +Ce compte doit être utilisé uniquement en EAP (pas en RADIUS simple) & en TLS 1.2 minimuml'utilitaire [[eapol_test|eapol_test]] est conseillé pour ça, il doit vous renvoyer un //SUCCESS// ou //Access-Accept//\\ 
 +Si vous n'avez pas de réponse (//timeout//: il y a un problème de communication entre votre serveur et les serveurs eduroam.fr.
  
-Pour ces raisons ce type d'accès ne peut être utilisé dans le cadre d'eduroam. Les établissements en ayant déployé devront veiller à ce qu'ils n'utilisent pas l'infrastructure eduroam et mettre en garde clairement, sur la page d'accueil de leur portail, les utilisateurs sur les risques liés et indiquer comment utiliser les accès protégés 802.1X.+===== Traces =====
  
-===== Pages web =====+L'établissement doit garder pendant 1 an les logs nécessaires à la traçabilité d'un usager à partir de l'adresse IP utilisée : RADIUS local, DHCP, NAT, ...\\ 
 +Ces traces doivent comporter un horodatage fiable.
  
-Chaque établissement doit mettre en ligne une rubrique web publique décrivant le service eduroam local (SSID utilisé, chiffrement supporté, zônes couvertes,...) en français et en anglais. S'il offre une page "portail" ouverte (accessible sans authentification par les visiteurs) il pourra y référencer cette rubrique ainsi qu'autoriser l'accès au site [[http://www.eduroam.fr/|eduroam.fr]].+===== eduroam CAT =====
  
-L'url de la page "portail" ou, sinon, de la page en anglais, sera communiquée dans les informations du compte eduroam et sera publiée sur le site eduroam.fr.+L'utilitaire eduroam [[https://cat.eduroam.org/|Configuration Assistant Tool (CAT)]] permet de mettre en place et de diffuser la configuration des clients eduroam à vos utilisateursIl est disponible pour de nombreux OS, **son utilisation est fortement recommandée** plutôt qu'une configuration manuelle des clients.
  
-===== Utilisation =====+Si certains paramètres de votre établissement ne sont pas pris en compte par CAT (par exemple une configuration spécifique de NetworkManager pour votre distribution linux), vous pouvez récupérer les scripts des profils générés par CAT, les modifier à votre convenance et les mettre à disposition de vos utilisateurs sur une infrastructure locale de votre établissement. 
 +\\ 
 +\\ 
 +Pour que votre établissement soit pris en charge dans CAT, il suffit de le demander [[https://assistance.renater.fr/|ici]] en précisant l'établissement concerné. Un jeton d'activation sera retourné pour créer votre compte d'administrateur CAT.
  
-  * Même si ce n'est pas techniquement nécessaire en local, prendre l'habitude d'entrer le nom d'utilisateur qualifié (avec le realmdans les clients 802.1X. Comme cela il n'y aura rien à changer lors de connexions à l'extérieur. +Pour vous connecter à CAT en tant qu'administrateur d'établissement, il faut être **membre de la fédération eduGAIN** et que votre fournisseur d'identités (IdPrenvoie bien l'un des trois attributs : **subject-id** ou **pairwise-id** ou ou **eduPersonTargetedID**. Si ce n'est pas le cas, vous pouvez utiliser un compte [[https://cru.renater.fr/|CRU]] pour vous authentifier en sélectionnant l'onglet 'experimentalà la place de 'eduGAIN'. 
-  Pour protéger l'identifiant des utilisateurs il est recommandé d'utiliser une identité "externe" (outer identity) du genre anonymous@domaine.frAttention à bien la qualifier pour éviter l'éventualité de session TLS s'arrêtant au serveur RADIUS de l'établissement visité et de session RADIUS standard ensuite vers le serveur d'établissement d'origine+\\ 
-  * Suivant les clients 802.1X utilisés il peut être nécessaire d'ajuster le type de chiffrement de la liaison sans fil conformément au choix du site visité. +\\ 
-  * L'utilitaire [[https://cat.eduroam.org/|Configuration Assistant Tool (CAT)]] permet d'automatiser la configuration des clientsPour en profiter il suffit d'en demander l'accès à support@renater.fr en précisant l'établissement concernéUn jeton d'activation sera retourné pour créer votre compte d'administrateur CAT.+Documentations :\\ 
 +[[https://wiki.geant.org/display/H2eduroam/A+guide+to+eduroam+CAT+for+IdP+administrators|Guide de référence (an anglais)]]\\ 
 +[[https://www.eduroam.fr/cat_admin|Guide administrateur (en français)]]\\ 
 +[[https://www.eduroam.fr/faq|FAQ]]
  
-PS Vérifiez que les requêtes utilisant anonymous@domaine.fr comme outer identitiy, ne sont pas rejetées par le RADIUS d'authentificationCeci est visible via la [[monitoring|page de monitoring]].+===== Support et informations aux utilisateurs de votre établissement ===== 
 +L'établissement doit informer et assister ses utilisateurs : 
 +  * Sur la façon d'utiliser les accès 802.1X en fournissant des profils (via eduroam CAT ou votre infrastructure locale) ou en configurant les postes clients. En particulierle paramètre suivant doit être correctement configuré : 
 +    * Certificat AC (ou CA certificate) : le certificat de l'authorité de certification utilisée pour le certificat de votre serveur RADIUS. Surtout ne pas utiliser de certificat combo regroupant plusieurs AC, se limiter uniquement à l'AC utilisée pour votre serveur RADIUS
 +  * De l'existence et de l'intérêt de l'infrastructure eduroam et de la façon de l'utiliser. 
 +  * Sur les démarches à faire en cas de perte ou de vol d'identifiants. 
 +  * Que la charte RENATER s'applique également sur les autres sites français partenaires. 
 +  * De respecter les règles d'utilisation du réseau d'accueil. 
 +  * Que le service d'assistance réseau (de l'établissement de rattachement) doit être contacté en cas de problème de connexion sur un autre site.
  
-===== Formation/information ===== 
  
-L'établissement doit informer ses utilisateurs :+===== Support aux utilisateurs en mobilité ===== 
 +L'établissement offrant un réseau wifi eduroam doit : 
 +  * Mettre en ligne une rubrique web publique décrivant le service eduroam local surtout s'il n'est pas standard (SSID différent de "eduroam", zones de couvertes spécifiques, ...) en français et en anglais. L'url de cette page sera communiquée dans les informations du compte d'administration et sera publiée sur le site eduroam.fr. 
 +  * Si une page "portail" ouverte (accessible sans authentification par les visiteurs) est proposée, on pourra y référencer cette rubrique ainsi qu'autoriser l'accès au site [[https://cat.eduroam.org/|cat.eduroam.org]] pour que les visiteurs n'ayant pas installés leur profil eduroam avant leur arrivée puissent le faire. 
 +  * Informer les visiteurs des éventuelles conditions d'utilisation des ressources mises à leur disposition (exemple : charte informatique spécifique à l'établissement). 
 +Le service informatique de l'établissement visité n'a pas à être sollicité par les visiteurs, ceux-ci doivent s'adresser à leur propre support en cas de problème.
  
-  * sur la façon d'utiliser les accès 802.1X (éventuellement en fournissant des clients et/ou en configurant les postes clients), et attirer leur attention sur l'authentification nécessaire de leur serveur RADIUS d'authentification 
-  * de l'existence et de l'intérêt de l'infrastructure eduroam et de la façon de l'utiliser 
-  * que la charte RENATER s'applique également sur les autres sites français partenaires 
-  * que des règles semblables sont en vigueur sur les sites étrangers adhérant à eduroam 
-  * de respecter les règles d'utilisation du réseau d'accueil 
-  * que le service d'assistance réseau (de l'établissement de rattachement, cf ci-dessous) doit être contacté en cas de problème de connexion sur un autre site et leur en communiquer les coordonnées.  
  
-L'établissement doit informer les visiteurs +===== Support national eduroam ===== 
-  * de la façon d'accéder au service (par l'intermédiaire d'une page de portail web "captif" par exemple) +Vous avez à votre disposition plusieurs listes de diffusion 
-  * des éventuelles conditions d'utilisation des ressources mises à leur disposition+  * eduroam.fr@groupes.renater.fr : Liste d'échanges du service de mobilité eduroam.fr; inscription libre. 
 +  * eduroam.fr-corres@groupes.renater.fr : Liste des correspondants eduroam.fr ; inscription automatique des correspondants d'établissements membres de eduroam.fr. 
 +  * equipe-eduroam@listes.renater.fr : Liste des exploitants du service national eduroam.fr.
  
-===== Support ===== 
  
-Chaque établissement doit offrir un service d'assistance à ses utilisateurs pour les aider, en particulier, dans la mise en oeuvre et la configuration des clients 802.1X, en cas de perte ou de vol de credentialsde problème lors de leurs déplacements sur un autre site eduroam, etc ...+Pour toute demande de supportconsultez https://assistance.renater.fr/
  
-Ce service n'a pas à être sollicité par les visiteursCeux-ci doivent s'adresser à leur propre support en cas de problème.+===== Références ===== 
 +[[https://www.eduroam.org/wp-content/uploads/2016/05/GN3-12-192_eduroam-policy-service-definition_ver28_26072012.pdf|eduroam Policy Service Definition]]
  
- +The eduroam Architecture for Network Roaming : [[https://tools.ietf.org/html/rfc7593|rfc7593]]

{tr:about_reveal}