Menu

Service mobilité pour la communauté RENATER


Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
specif_tecnik [2018/07/05 08:58]
127.0.0.1 modification externe
specif_tecnik [2019/06/25 14:50] (Version actuelle)
arnaud.lauriou_renater.fr
Ligne 1: Ligne 1:
 +
 ====== Spécifications techniques ====== ====== Spécifications techniques ======
 <​html>​ <​html>​
 <div data-closable class="​small-12 medium-8 columns">​ <div data-closable class="​small-12 medium-8 columns">​
 <p class="​callout ​ alert-callout-border primary icon text-center">​ <p class="​callout ​ alert-callout-border primary icon text-center">​
-  Ce document ​décrit les modalités de mise en oeuvre du service de mobilité eduroam. <br> Version : $Revision: 1.19 $, $Date: 2016/11/22 08:50:51 $.+  Ce document ​est destiné aux administrateurs d'​établissement ayant souscrit au service de mobilité eduroam.
   <button class="​close-button"​ aria-label="​Dismiss alert" type="​button"​ data-close>​   <button class="​close-button"​ aria-label="​Dismiss alert" type="​button"​ data-close>​
     <span aria-hidden="​true">&​times;</​span>​     <span aria-hidden="​true">&​times;</​span>​
Ligne 13: Ligne 14:
 ===== Architecture ===== ===== Architecture =====
  
-Chaque établissement raccorde son ou ses serveurs RADIUS ​au serveur proxy national (doublé) à qui il délègue toute demande d'​authentification ​qui n'est pas de son ressort. Le serveur national remonte au serveur européen toutes les demandes ne concernant aucun des établissements français. Ces requêtes sont alors acheminées vers le bon pays puis l'​établissement concerné. Les réponses suivent le chemin inverse.+eduroam est basé sur le protocole 802.1X et une hiérarchie de serveurs RADIUS ​responsables de l'​authentification des utilisateurs.
  
-{{:​architecture2.png|Architecture}}+Chaque établissement raccorde son ou ses serveurs RADIUS aux serveurs (proxies) nationaux à qui il délègue toute demande d'​authentification qui n'est pas de son ressort. Les serveurs nationaux remontent aux serveurs racine (eduroam.org) toutes les demandes ne concernant aucun des établissements français. Ces requêtes sont alors acheminées vers le bon pays puis l'​établissement concerné. Les réponses suivent le chemin inverse.
  
-===== Le compte eduroam-fr =====+{{:​architecture2.png?​600|Architecture}}
  
-Ce compte, géré par les exploitants du service, est associé à l'​établissement titulaire d'un agrément RENATER ayant souscrit au service mobilitéIl permet de gérer les informations nécessaires au fonctionnement du service au niveau national. Il est accessible au(x) correspondant(s) enregistré(s) dans PASS à l'​url ​[[https://services.eduroam.fr/​]] ​et créé automatiquement par la demande d'​adhésion au service mobilité. +eduroam.fr est opéré par [[https://www.renater.fr/eduroam|RENATER]]
-L'​authentification est réalisée via la fédération d'​identité Éducation-Recherche. Si l'​établissement du correspondant n'en fait partie, il lui est possible de se créer un compte.+
  
-== Principales informations gérées : == +eduroam.org est opéré ​par [[https://www.geant.org/eduroam|GEANT]]
-  * noms de domaines (realms Radius) : tout utilisateur de la communauté ​eduroam ​a un identifiant de la forme [user]@[domaine]La partie [domaine] ​est, à priori, un domaine DNS de l'​établissement et doit se terminer ​par **"​.fr"​** (exemple ​"cru.fr") ou, éventuellement,​ en **".eu"** après accord des exploitants. C'est logiquement la partie domaine (ou une sous-partie) de l'​identifiant institutionnel stocké dans l'​attribut eduPersonPrincipalName des entrées de personnes dans l'​annuaire SupAnn de l'​établissement. Il peut en être déclaré plusieurs. Seuls ceux des communautés susceptibles d'​utiliser le service ​eduroam ​doivent être déclarés. +
-  * serveur RADIUS principal : adresse ou nom du serveur principal +
-  * serveur(s) RADIUS de secours : adresse(s) ou nom(s) du ou des serveurs de secours +
-  * ports : port utilisé pour l'​authentification (ne pas utiliser l'​accounting vers les proxies) +
-  * type d'​authentification : la ou les méthodes d'​authentification EAP utilisées +
-  * secret partagé : le secret partagé entre les serveurs RADIUS nationaux et les serveurs de l'​établissement. Un secret initial est proposé, il peut être modifié +
-  * compte de test : afin d'​effectuer des tests et de surveiller la disponibilité du service, un compte de test identique (même nom, même mot de passe) sur tous les realms déclarés sera créé. Le nom par défaut est "​arredu"​ et un mot de passe est proposé automatiquement à la création du compte eduroam. Il est conseillé de le changer de temps en temps. Ce compte pourra être communiqué à d'​autres correspondants eduroam-fr pour effectuer des tests de toute la chaîne entre eux et le site concerné. +
-  * SSID : identifiant du service (**"​eduroam"​** si chiffrement WPA2-AES) Le SSID à utiliser pour le service eduroam sera indiqué sur les pages d'​informations du service et sur le portail Wi-Fi si un tel portail existe. +
-  * chiffrement radio : chiffrement mis en oeuvre au niveau 802.11 (**WPA2-AES**). Voir recommandations ci-dessous. +
-  * type de serveur : logiciel ou appliance RADIUS utilisé +
-  * pages d'​information : url des pages publiques décrivant le service eduroam mis en place localement +
-  * coordonnées du service d'​assistance : email et téléphone du service d'​assistance. Ces informations ne seront pas rediffusées +
-  * coordonnées du correspondant eduroam-fr +
-  * Latitude du site : latitude pour le positionnement sur la carte +
-  * Longitude du site : latitude pour le positionnement sur la carte +
  
-===== Infrastructure RADIUS, configuration ​=====+===== Rôles ​=====
  
-Ce [[https://​wiki.geant.org/​display/​H2eduroam/​How+to+deploy+eduroam+on-site+or+on+campus|document]] est un bon point de départ pour configurer un serveur ​eduroam.+^ Abréviation ^  ^ Rôle ^ 
 +| SP | Service Provider | Etablissement fournissant un réseau wifi eduroam; voir charte eduroam.fr ​| 
 +| IdP | Identity Provider | Etablissement authentifiant ses utilisateurs raccordés à un réseau wifi eduroam; voir charte ​eduroam.fr |
  
-[[https://​confluence.diamond.ac.uk/​display/​PAAUTH/​Configuring+an+eduroam+FreeRADIUS+3.0+server|Celui-ci]] est orienté FreeRadius 3. 
  
-Cas des serveurs Microsoft : ce [[https://​www.uninett.no/​sites/​default/​files/​imce/​cbp-13_using-windows-nps-as-radius-in-eduroam_final.pdf|document]] décrit la mise en oeuvre de serveur NPS dans le cadre d'eduroam.+===== Interface ​d'administration =====
  
-==Précisions ​:== +Cette [[https://​services.eduroam.fr/​|interface]] permet au(xadministrateur(s) de l'établissement de gérer ​les informations nécessaires au fonctionnement du service eduroam. Elle est accessible au(xcorrespondant(sdéclaré(sdans PASS et créée automatiquement par la demande d'adhésion au service mobilité. 
-  * noms de domaines ​(realms: configurer les domaines choisis ​(dans proxy.conf dans le cas de FreeRadius) +L'​authentification est réalisée via la fédération d'​identité Éducation-RechercheSi l'​établissement du correspondant n'en fait pas partie, il lui est possible ​de se créer un compte [[https://cru.renater.fr/|CRU]].
-  * méthodes d'authentification : configurer la ou les méthodes d'​authentification choisies ​(radius.conf,​ eap.conf dans le cas de FreeRadius) +
-  * compte de test : configurer pour chaque domaine le compte de test enregistré dans le compte eduroam-fr ​(users par exemple dans le cas de FreeRadius) +
-  * sécurisation : les clients ​(points d'​accès) et serveurs RADIUS doivent être configurés et administrés dans les règles de l'art (patchs de sécurité par exemple) et situés sur des réseaux/​vlans dédiésLe trafic RADIUS ne doit pouvoir être intercepté en aucun point de la chaîne. +
-  * proxies nationaux ​de rattachement ​configurer les proxies nationaux (rad1.eduroam.fr et rad2.eduroam.fr,​ ports 1812/1813) avec le secret partagé associé (clients.conf et proxy.conf dans le cas de FreeRadius)+
  
-**__Exemple pour proxy.conf, ​dans le cas de FreeRadius 2.:__*+=== Principales informations gérées === 
-<​code>​ +  ​Onglet '**Etablissement**':​ 
-# 1er proxy national ​+    * activé (en production) :  
-home_server rad1.eduroam.fr { +        * Non : l'​établissement est dans l'​infrastructure ​de tests qui dispose d'un serveur dédiéCette infrastructure lui permet de faire la mise au point de sa configuration. C'est la situation par défaut lors de l'​ajout d'un nouvel établissement dans eduroam. 
-        ​type ​           = auth +        * Oui l'​établissement est dans l'​infrastructure de production. 
-        ​ipaddr ​         = 193.49.160.187 +    ​coordonnées du support local : email et téléphone du service d'​assistance. Ces informations ne seront pas rediffusées. 
-        port            = 1812 +    * pages d'​information ​url des pages publiques décrivant le service eduroam mis en place localement. Cette information est publiée sur la cartographie eduroam. 
-        secret ​         ​= ​ +    * realm (nom de domaine RADIUS) : Il peut en être déclaré plusieursSeuls ceux des communautés susceptibles d'​utiliser le service ​eduroam ​doivent être déclarés. L'​utilisation de ce paramètre est détaillée dans la partie Infrastructure RADIUS
-        ​require_message_authenticator = yes +    * serveur RADIUS principal : adresse ou nom du serveur principal. 
-        ​response_window = 20 +    * serveur(s) RADIUS secondaire(s) : adresse(s) ou nom(s) du ou des serveurs de secoursIl est conseillé d'​avoir un serveur RADIUS secondaire
-        ​zombie_period ​  = 40 +    * ports : port utilisé pour l'​authentification (ne pas utiliser l'​accounting vers les proxies). 
-        status_check ​   = status-server +    * type d'​authentification : la ou les méthodes d'​authentification EAP utilisées. 
-        ​check_interval ​ = 20 +    * secret ​partagé : le secret partagé entre les serveurs RADIUS nationaux et les serveurs de l'​établissement. Un secret initial est proposé, il peut être modifié. 
-        ​num_answers_to_alive = 3 +    * compte de test : afin d'​effectuer des tests et de surveiller la disponibilité du service, un compte de test identique (même nom, même mot de passe) sur tous les realms déclarés sera créé. Le nom par défaut est arredu@<​realm>​ et un mot de passe est proposé automatiquement. Il est conseillé de le changer de temps en temps. Ce compte pourra éventuellement être communiqué à d'​autres correspondants pour effectuer des tests de toute la chaîne entre eux et le site concerné. 
-}+    * SSID (nom du réseau wifi diffusé) : **eduroam**. Voir recommandations ci-dessous. 
 +    ​* chiffrement radio : **WPA2-AES**. Voir recommandations ci-dessous. 
 +    * type de serveur : logiciel ou appliance RADIUS utilisé. 
 +  ​* Onglet '​**Lieu(x) de diffusion**'​ : pour chacun de vos sites géographiques diffusant eduroam, préciser sa latitude et sa longitude. Ces sites sont ensuite affichés sur les cartes géographiques de  [[https://​www.eduroam.fr/​|eduroam.fr]],​ [[https://​monitor.eduroam.org/​map_service_loc.php|eduroam.org]] et [[https://​www.eduroam.org/​eduroam-companion-app/​|eduroam companion]]. 
 +  * Onglet '​**Statut des serveurs**'​ : le statut des serveurs de votre établissement vu par le proxy de l'​infrastructure de test ou par les proxies nationaux de l'​infrastructure de production.
  
-# 2eme proxy national : 
-home_server rad2.eduroam.fr { 
-        type            = auth 
-        ipaddr ​         = 193.49.159.82 
-        port            = 1812 
-        secret ​         =  
-        require_message_authenticator = yes 
-        response_window = 20 
-        zombie_period ​  = 40 
-        status_check ​   = status-server 
-        check_interval ​ = 20 
-        num_answers_to_alive = 3 
-} 
  
-home_server_pool pool-eduroam-fr { +===== Infrastructure sans fil, recommandations ===== 
-        type = fail-over +  * Radio :  
- home_server = rad1.eduroam.fr +    * Fournissez la radio dans la bande de fréquences des 5 Ghz : normes 802.11a, 802.11n (en 5 Ghz) et 802.11ac. 
- home_server = rad2.eduroam.fr +    * En 2,4 Ghz : utilisez les canaux 1, 6 et 11. 
-}+  * SSID : **eduroam**. Exception possible : si vos locaux sont couverts par plusieurs infrastructures wifi différentes diffusant le réseau eduroam et que le chevauchement de ces réseaux crée des problèmes opérationnels,​ un SSID commencant par "​eduroam-" peut être utilisé. Exemple : "eduroam-renater"​. Si un autre SSID que eduroam est utilisé, les visiteurs doivent en être informés. 
 +  * chiffrement radio : doit être **WPA2-AES** (aussi appellé WPA2-AES-CCMP). 
 +  * support de 802.1X : l'​infrastructure wifi donnant accès au service ​eduroam ​doit mettre en oeuvre ce protocole
 +  * DHCP : un service DHCP doit communiquer les informations réseau de base aux clients : configuration IP, serveurs DNS, NTP
 +  * un visiteur ne devra pas pouvoir se connecter via un accès n'​offrant pas les garanties demandées dans la charte (portails captifs par exemple) sans être dûment informé que ses credentials et/ou son trafic peuvent être interceptés.
  
-realm  DEFAULT { +=== Cas des portails web dit captifs === 
-       auth_pool ​pool-eduroam-fr + 
-       nostrip +Ces portails n'​étant pas compatibles avec le protocole 802.1X, ils ne doivent pas être utilisés dans le cadre de eduroam. 
-}+ 
 +===== Infrastructure RADIUS ===== 
 +=== Realm (domaine RADIUS) === 
 +Tout utilisateur de la communauté ​eduroam ​a un identifiant de la forme <​login>​@<​realm>​. La partie <​realm>​ est un domaine ou un sous-domaine DNS de l'​établissement. Dans le cas de l'​utilisation d'un realm en-dehors de .fr, .pf ou .nc, il est necessaire de mettre en place un enregistrement NAPTR (Name Authority PoinTeR) dans la zone DNS concernée, cet enregistrement doit être : 
 +<​code>​ 
 +<​realm>​. ​          ​43200 ​  ​IN ​     NAPTR   100 10 "​s"​ "​x-eduroam:​radius.tls"​ ""​ _radsec._tcp.eduroam.fr.
 </​code>​ </​code>​
-**__Exemple pour clients.conf,​ dans le cas de FreeRadius 2.x :__**+Exemple ​:
 <​code>​ <​code>​
-# 1er proxy national : +renater.org.       43200   ​IN ​     NAPTR   100 10 "​s"​ "x-eduroam:radius.tls" ""​ _radsec._tcp.eduroam.fr.
-client ​ 193.49.160.187 { +
-        secret ​         =  +
-        shortname ​      ​= rad1.eduroam.fr +
-+
- +
-# 2ème proxy national ​: +
-client ​ 193.49.159.82 { +
-        secret ​         =  +
-        shortname ​      = rad2.eduroam.fr +
-}+
 </​code>​ </​code>​
-**__Testsmise au point :__**+Concernant la configuration des terminaux de vos utilisateursil est conseillé que le realm : 
 +  ​Soit configuré dans le paramètre //Identité externe// (ou //outer identity// ou //anonymous identity//) : ce paramètre est utilisé pour trouver votre serveur d'​authentification dans la hiérarchie des serveurs RADIUS. Il peut être anonymous@<​realm>​ ou (anon@<​realm>​). Anonymous (ou anon) sont facultatifs,​ ils servent juste à masquer l'​identifiant de vos utilisateurs. 
 +  ​Peut être configuré dans le paramètre //Identité interne// (ou //inner identity// ou //​username//​) : ce paramètre correspond à l'​identifiant de vos utilisateurs. Il doit être de la forme <​login>​ ou <​login>​@<​realm>​ en fonction de votre backend d'​authentification.\\ 
 +Exemples de configurations possibles : 
 +^ realm déclaré pour l'​établissement ^ Identité externe ^ Identité interne ^ Remarque ^ 
 +| renater.fr | anonymous@renater.fr | jdupond | ok | 
 +| renater.fr | anonymous@renater.fr | jdupond@renater.fr | ok | 
 +| renater.fr | | jdupond@renater.fr | ok mais configuration déconseillée : l'​identité externe n'est pas définie. Dans ce cas c'est l'​identité interne (avec le login de l'​utilisateur) qui est utilisée et tracée par les proxies RADIUS. | 
 +| renater.fr | | jdupond | Nok : ne pas utiliser, aucun realm défini dans les identités.\\ Cette configuration ne fonctionnera pas à l'​extérieur de votre établissement. |
  
-Afin de vous permettre de tester l'​infrastructure,​ notamment la possibilité pour un utilisateur nomade de se connecter lors de son passage dans votre établissement,​ un compte de test spécifique à votre établissement est disponible. Ses caractéristiques sont les suivantes: 
-  * **User**: <votre realm>​@cru.fr (example : renater.fr@cru.fr) 
-  * **Password**:​ <le mot de passe de votre compte de test> 
  
-Bien entendu, les caractéristiques exactes de ce compte ne sont pas à divulguer.+=== Méthodes d'​authentification EAP ===
  
-===== Infrastructure sans fil, recommandations ===== +Les méthodes EAP les plus souvent utilisées dans la communauté ​eduroam ​sont 
-  * type : 802.11g +  * EAP-TTLS/​PAP ​ou EAP-TTLS/MSCHAPv2 
-  * canaux utilisés : pour pouvoir accueillir des visiteurs provenant de pays dont la réglementation d'​utilisation de la bande 2.4GHz est plus restrictive que la nôtre, il est conseillé de ne pas utiliser les canaux au-delà de 11 pour les points d'​accès ​eduroam+  * PEAP/MSCHAPv2
-  * SSID le choix effectué dans le cadre d'​eduroam est "​eduroam"​. Il doit être diffusé par les bornes (broadcast) et associé au chiffrement WPA2-AES (cf ci-dessous). Si un autre SSID est utilisé les visiteurs doivent en être informés. +
-  * chiffrement : doit être WPA2-AES dans le cadre du profil standard eduroam. Si ce chiffrement n'est pas possible il faut utiliser un SSID de la forme eduroam-chiffrement soit "​eduroam-wpa2-tkip"​ pour WPA2-TKIP, "​eduroam-wpa-tkip"​ pour WPA-TKIP ​ou "​eduroam-wpa-aes"​ pour WPA-AES. Le WEP est exclu. Le(s) type(s) de chiffrement utilisé devra(ont) être indiqué(s) sur les pages d'​informations. +
-  * support de 802.1X : les points d'​accès au service eduroam doivent mettre en oeuvre le protocole d'​accès 802.1X +
-  * DHCP : un service DHCP doit communiquer les informations réseau de base aux clients +
-  * services réseau accessibles : **il ne devrait pas y avoir de filtrage sortant**, dans le cas contraire au moins les services suivants doivent être ouverts vers l'​Internet : +
-    * HTTP et HTTPS, +
-    * domaine (DNS), +
-    * ICMP (echo/reply), +
-    * IPSec (ESP, AH, IKE), +
-    * OpenVPN, +
-    * SSH, +
-    * POPs, +
-    * IMAPs, +
-    * NTP, +
-    * submission (smtp/​auth), ​ +
-  * protection vis à vis de l'​extérieur : le réseau d'​accueil des utilisateurs du service eduroam doit être protégé des accès venant de l'​extérieur +
-  * un visiteur ne devra pas pouvoir se connecter via un accès n'​offrant pas les garanties demandées dans la charte (portails captifs par exemple) sans être dûment informé que ses credentials et/ou son trafic peuvent être interceptés. ​+
  
-===== Filtrage, firewall =====+Le choix de la méthode EAP est à adapter à votre établissement. Il est à faire en fonction du backend d'​authentification utilisé ([[http://​deployingradius.com/​documents/​protocols/​compatibility.html|format d'​empreinte du mot de passe]]) et des compétences internes disponibles pour administrer cette infrastructure. ​
  
-Il faudra veiller à laisser passer le trafic entre les deux proxies nationaux (rad1 et rad2) et le(s) serveur(s) local(aux) sur les ports déclarés ​pour le protocole radius (généralement 1812/​UDP). +Les serveurs RADIUS doivent être configurés pour imposer l'​usage d'une de ces méthodes ​pour les utilisateurs ​du service eduroam. Toute tentative ​de connexion sur un accès eduroam n'​utilisant pas une méthode EAP doit être rejetée
-Attention à bien laisser passer ​les réponses des proxies nationaux aux requêtes ​du ou des serveurs locaux : les serveurs FreeRadius utilisent le port 1814 comme port source ​de requêtes, les réponses ont donc ce numéro comme port destination.+
  
-===== Méthodes d'​authentification,​ certificats =====+Les méthodes LEAP et EAP-MD5 ne doivent pas être utilisées.
  
-Le respect des critères de sécurisation garantis aux utilisateurs à travers la charte du service implique l'​utilisation de méthodes d'​authentification sûres et mutuelles c'​est-à dire à base de tunnel SSL avec authentification du serveur ​d'​authentification par le client. +=== Certificat ​serveur ​RADIUS ===
-Ces méthodes sont :+
  
-  * EAP/TLS +Toutes ces méthodes ​EAP impliquent l'​utilisation d'un certificat côté serveur. Le certificat de l'AC doit être installé sur tous les clients wifi de vos utilisateurs pour que le certificat du serveur soit validé. Vous pouvez utiliser eduroam CAT (voir ci-dessous) pour vous assurer que ce certificat est bien installé sur les terminaux de vos utilisateurs.
-  * EAP/TTLS +
-  * EAP/PEAP+
  
-Les serveurs RADIUS doivent être configurés pour imposer l'​usage d'une de ces méthodes pour les utilisateurs du service eduroam. Toute tentative de connexion sur un accès eduroam n'​utilisant pas une de ces méthodes doit être rejetée. Toutes ces méthodes impliquent l'​utilisation d'un certificat côté serveur. Ce certificat doit être vérifié côté client. +=== Paramètres et attributs ===
-L'​utilisation de certificat commercial n'est pas nécessaire,​ voire pas souhaitable. Ce document décrit ce qu'il faut savoir sur les certificats utilisés pour EAP.+
  
-===== Traçabilité =====+Voici les paramètres et attribut RADIUS à configurer : 
 +  * Proxy infrastructure de test : radtest.cru.fr avec le secret partagé associé 
 +  * Proxies nationaux de production : rad1.eduroam.fr et rad2.eduroam.fr avec le secret partagé associé  
 +  * Attribut //​Operator-Name//​ (non supporté par le serveur RADIUS MS NPS): cet attribut doit être rajouté par le fournisseur d'​accès wifi (SP). Il est de la forme "​1ETABLISSEMENT.TLD"​ avec obligatoirement le chiffre 1 au début et ETABLISSEMENT.TLD pouvant correspondre au domaine DNS de votre établissement. 
 +    * Exemple : Operator-Name ​"​1renater.fr"​  
 +  * Attribut //​Chargeable-User-Identity//​ (ou //CUI//) : généré par le serveur RADIUS réalisant l'​authentification de l'​utilisateur (IdP), il permet au fournisseur d'​accès wifi (SP) d'​avoir un pseudonyme unique pour chaque utilisateur. Ce pseudonyme est calculé par le fournisseur d'​identité en fonction de l'//​Operator-Name//​ et de l'​identifiant de l'​utilisateur. Il peut être utilisé par le fournisseur d'​accès wifi pour consolider ses traces ou éventuellement bloquer un visiteur en cas de problème (abus). Voir exemple de configuration freeradius 3.0.X ci-dessous.
  
-L'​établissement doit garder les traces nécessaires à l'​identification d'un usager à partir de l'​adresse IP utilisée en cas d'abus constaté : accounting ​RADIUS ​local, logs DHCP, NAT,... Ces traces doivent comporter un horodatage fiable.+=== Documentation serveurs ​RADIUS ​===
  
-===== Cas des portails web dit captifs =====+Ce [[https://​wiki.geant.org/​display/​H2eduroam/​How+to+deploy+eduroam+on-site+or+on+campus|document]] est un bon point de départ pour configurer une infrastructure eduroam.
  
-Ces portails posent généralement des problèmes de sécurité à plusieurs niveaux ​+  * FreeRADIUS ​Pour CentOS, Debian et Ubuntu vous pouvez utilisez les paquets disponibles [[http://​packages.networkradius.com/​|ici]] plutôt que ceux fournis par ces distributions. 
-  * de par l'​absence de 802.1X, il n'y a pas de protection du contenu des requêtes RADIUSIl y a un risque de crackage si le flux RADIUS peut être intercepté à un endroit quelconque de la chaîneLes mots de passe peuvent également être exposés par le simple fonctionnement en mode debug de l'un des serveurs RADIUS traversésLa compromission de la machine supportant le portail exposerait les données d'​authentification des utilisateurs+    Exemples ​de configuration en version [[freeradius-3.0.X|3.0.X]]Avec l'attribut [[freeradius-cui-3.0.X|Chargeable-User-Identity]] (version recommandée) 
-  le lien radio n'étant pas protégé, le trafic des utilisateurs ​est "à la disposition"​ de tous ceux qui sont dans la zône de couverture du point d'​accès (voire plus). +    Exemples de configuration en version [[freeradius-2.X|2.X]] (cette version ​n'​est ​plus à utiliser, migrer en version 3.0.X). 
-  * outre l'​interception des données (éventuellement sensibles), des attaques ​de type MIM sont possibles ainsi que le vol de session (faux point d'accès, faux portail, faux serveur d'​authentification...) pouvant révéler les crédentiels des usagers+  * [[https://​services.geant.net/​sites/​cbp/​Knowledge_Base/​Wireless/​Documents/​cbp-79_guide_to_configuring_eduroam_using_the_aruba_wireless_controller_and_clearpass.pdf|Aruba]] 
 +  * Serveurs Microsoft : ces documents décrivent la mise en oeuvre ​de serveur NPS dans le cadre d'eduroam: 
 +    * [[https://​services.geant.net/​sites/​cbp/​Knowledge_Base/​Wireless/​Documents/​CBP-13_Using-Windows-NPS-as-RADIUS-in-eduroam_final.pdf|GEANT]] 
 +    * [[https://​community.jisc.ac.uk/​system/​files/​257/​eduroam%28UK%29%20Microsoft%20NPS%20Configuration%20Guide.pdf|JISC]]
  
-Pour ces raisons ce type d'​accès ne peut être utilisé dans le cadre d'​eduroam. Les établissements en ayant déployé devront veiller à ce qu'ils n'​utilisent pas l'​infrastructure eduroam et mettre en garde clairement, sur la page d'​accueil de leur portail, les utilisateurs sur les risques liés et indiquer comment utiliser les accès protégés 802.1X. 
  
-===== Pages web =====+===== Cloisonnements et filtrages ===== 
 +Il faudra veiller à laisser passer le trafic entre les deux proxies nationaux (rad1 et rad2) et le(s) serveur(s) local(aux) sur les ports déclarés pour le protocole radius (généralement 1812/UDP). Attention à bien laisser passer les réponses des proxies nationaux aux requêtes du ou des serveurs locaux : les serveurs FreeRadius utilisent le port 1814 comme port source de requêtes, les réponses ont donc ce numéro comme port destination. 
 + 
 +Pour les établissements fournissant un réseau wifi eduroam (SP), les filtres mis en oeuvre doivent être cohérents avec la politique de sécurité de votre établissement. Ils devront tenir compte des points suivants : 
 +  * Protection vis à vis de l'​extérieur : le réseau d'​accueil des utilisateurs du service eduroam doit être protégé des accès venant de l'​extérieur. 
 +  * Protection de votre réseau interne : il est conseillé d'​attribuer un vlan au réseau des utilisateurs eduroam et de filtrer les accès entre ce vlan et vos autres réseaux internes. 
 +  * Services réseau accessibles depuis le réseau eduroam : **il ne devrait pas y avoir de filtrage sortant vers Internet**. Dans le cas contraire, au moins les services suivants doivent être ouverts : 
 + 
 +^ Service ^ Protocole / Port ^ 
 +| Standard IPSec VPN | IP protocole 50 (ESP)\\ IP protocole 51 (AH)\\ UDP port 500 (IKE) | 
 +| OpenVPN 2.0 | UDP port 1194 | 
 +| IPv6 Tunnel broker service | IP protocole 41 | 
 +| IPSec NAT-Traversal | UDP port 4500 | 
 +| Cisco IPSec VPN over TCP | TCP port 10000 | 
 +| PPTP VPN | IP protocole 47 (GRE)\\ TCP port 1723 | 
 +| SSH | TCP port 22 | 
 +| HTTP | TCP port 80\\ TCP port 443\\ TCP port 3128\\ TCP port 8080 | 
 +| Mail (envoi) | TCP port 465\\ TCP port 587 | 
 +| Mail (réception) | TCP port 993\\ TCP port 995 | 
 +| FTP (passif) | TCP port 21 | 
 + 
 +===== Tests, mise au point ===== 
 + 
 +Afin de vous permettre de tester l'​infrastructure,​ notamment la possibilité pour un utilisateur nomade de se connecter lors de son passage dans votre établissement,​ un compte de test spécifique à votre établissement est disponible. Ses caractéristiques sont les suivantes:​ 
 +  * **User**: <votre realm>​@cru.fr (example : renater.fr@cru.fr) 
 +  * **Password**:​ <le mot de passe de votre compte de test> 
 + 
 +Bien entendu, les caractéristiques exactes de ce compte ne sont pas à divulguer. 
 + 
 +===== Traces ​=====
  
-Chaque ​établissement doit mettre en ligne une rubrique web publique décrivant le service eduroam local (SSID utilisé, chiffrement supporté, zônes couvertes,​...) en français et en anglais. S'il offre une page "​portail"​ ouverte (accessible sans authentification par les visiteurs) il pourra y référencer cette rubrique ainsi qu'autoriser ​l'accès au site [[http://www.eduroam.fr/|eduroam.fr]].+L'établissement doit garder pendant 1 an les logs nécessaires à la traçabilité d'un usager à partir de l'adresse IP utilisée ​RADIUS local, DHCP, NAT, ... 
 +Ces traces doivent comporter un horodatage fiable.
  
-L'url de la page "​portail"​ ou, sinon, de la page en anglais, sera communiquée dans les informations du compte ​eduroam ​et sera publiée sur le site eduroam.fr.+===== eduroam ​CAT =====
  
-===== Utilisation =====+L'​utilitaire eduroam [[https://​cat.eduroam.org/​|Configuration Assistant Tool (CAT)]] permet de mettre en place et de diffuser la configuration des clients eduroam à vos utilisateurs. Il est disponible pour de nombreux OS, **son utilisation est fortement recommandée** plutôt qu'une configuration manuelle des clients. ​
  
-  * Même si ce n'​est ​pas techniquement nécessaire ​en local, prendre l'​habitude d'​entrer le nom d'​utilisateur qualifié ​(avec le realmdans les clients 802.1X. Comme cela il n'y aura rien à changer lors de connexions à l'​extérieur. +Si certains paramètres de votre établissement ne sont pas pris en compte par CAT (par exemple une configuration spécifique de NetworkManager pour votre distribution linux), vous pouvez récupérer ​les scripts ​des profils générés par CAT, les modifier ​à votre convenance ​et les mettre à disposition ​de vos utilisateurs sur une infrastructure locale ​de votre établissement.
-  * Pour protéger l'​identifiant ​des utilisateurs il est recommandé d'​utiliser une identité "​externe"​ (outer identity) du genre anonymous@domaine.fr. Attention ​à bien la qualifier pour éviter l'​éventualité de session TLS s'​arrêtant au serveur RADIUS de l'​établissement visité ​et de session RADIUS standard ensuite vers le serveur d'​établissement d'​origine. +
-  * Suivant ​les clients 802.1X utilisés il peut être nécessaire d'​ajuster le type de chiffrement ​de la liaison sans fil conformément au choix du site visité. +
-  * L'​utilitaire [[https://​cat.eduroam.org/​|Configuration Assistant Tool (CAT)]] permet d'​automatiser la configuration des clients. Pour en profiter il suffit d'en demander l'​accès à support@renater.fr en précisant l'établissement ​concerné. Un jeton d'​activation sera retourné pour créer votre compte d'​administrateur CAT.+
  
-PS : Vérifiez ​que les requêtes utilisant anonymous@domaine.fr comme outer identitiyne sont pas rejetées par le RADIUS d'​authentification. Ceci est visible via la [[monitoring-eduroam|page de monitoring]].+Pour que votre établissement soit pris en charge dans CATil suffit de le demander ​[[https://​assistance.renater.fr/​|ici]] en précisant l'​établissement concerné. Un jeton d'​activation sera retourné pour créer votre compte d'​administrateur CAT.
  
-===== Formation/​information ​=====+===== Support et informations aux utilisateurs de votre établissement ​===== 
 +L'​établissement doit informer et assister ses utilisateurs : 
 +  * Sur la façon d'​utiliser les accès 802.1X en fournissant des profils (via eduroam CAT ou votre infrastructure locale) ou en configurant les postes clients. En particulier,​ le paramètre suivant doit être correctement configuré : 
 +    * Certificat AC (ou CA certificate) : le certificat de l'​authorité de certification utilisée pour le certificat de votre serveur RADIUS. Surtout ne pas utiliser de certificat combo regroupant plusieurs AC, se limiter uniquement à l'AC utilisée pour votre serveur RADIUS. 
 +  * De l'​existence et de l'​intérêt de l'​infrastructure eduroam et de la façon de l'​utiliser. 
 +  * Sur les démarches à faire en cas de perte ou de vol de credentials. 
 +  * Que la charte RENATER s'​applique également sur les autres sites français partenaires. 
 +  * De respecter les règles d'​utilisation du réseau d'​accueil. 
 +  * Que le service d'​assistance réseau (de l'​établissement de rattachement) doit être contacté en cas de problème de connexion sur un autre site.
  
-L'​établissement doit informer ses utilisateurs : 
  
-  ​sur la façon d'utiliser les accès 802.1X ​(éventuellement ​en fournissant des clients ​et/ou en configurant les postes clients), et attirer leur attention sur l'authentification nécessaire ​de leur serveur RADIUS ​d'authentification +===== Support aux utilisateurs en mobilité ===== 
-  * de l'existence et de l'intérêt de l'​infrastructure ​eduroam ​et de la façon de l'​utiliser +L'​établissement offrant un réseau wifi eduroam doit : 
-  * que la charte RENATER s'​applique également sur les autres sites français partenaires +  ​Mettre en ligne une rubrique web publique décrivant le service eduroam local surtout s'il n'est pas standard ​(SSID différent de "​eduroam",​ zones de couvertes spécifiques,​ ...) en français ​et en anglais. L'url de cette page sera communiquée dans les informations du compte ​d'administration et sera publiée sur le site eduroam.fr. 
-  * que des règles semblables sont en vigueur sur les sites étrangers adhérant à eduroam +  * Si une page "​portail"​ ouverte (accessible sans authentification par les visiteurs) est proposée, on pourra y référencer cette rubrique ainsi qu'autoriser ​l'accès au site [[https://​cat.eduroam.org/​|cat.eduroam.org]] pour que les visiteurs n'​ayant pas installés leur profil ​eduroam ​avant leur arrivée puissent le faire. 
-  * de respecter ​les règles ​d'​utilisation ​du réseau d'accueil +  * Informer ​les visiteurs des éventuelles conditions ​d'​utilisation ​des ressources mises à leur disposition (exemple : charte informatique spécifique à l'établissement). 
-  * que le service ​d'​assistance réseau (de l'​établissement ​de rattachementcf ci-dessous) doit être contacté ​en cas de problème ​de connexion sur un autre site et leur en communiquer les coordonnées+Le service ​informatique ​de l'​établissement ​visité n'a pas à être sollicité par les visiteursceux-ci doivent s'​adresser à leur propre support ​en cas de problème.
  
-L'​établissement doit informer les visiteurs : 
-  * de la façon d'​accéder au service (par l'​intermédiaire d'une page de portail web "​captif"​ par exemple) 
-  * des éventuelles conditions d'​utilisation des ressources mises à leur disposition 
  
-===== Support =====+===== Support ​national eduroam ​===== 
 +Vous avez à votre disposition plusieurs listes de diffusion : 
 +  * eduroam.fr@groupes.renater.fr : Liste d'​échanges du service de mobilité eduroam.fr; inscription libre. 
 +  * eduroam.fr-corres@groupes.renater.fr : Liste des correspondants eduroam.fr ; inscription automatique des correspondants d'​établissements membres de eduroam.fr. 
 +  * equipe-eduroam@listes.renater.fr : Liste des exploitants du service national eduroam.fr.
  
-Chaque établissement doit offrir un service d'​assistance à ses utilisateurs pour les aider, en particulier,​ dans la mise en oeuvre et la configuration des clients 802.1X, en cas de perte ou de vol de credentials,​ de problème lors de leurs déplacements sur un autre site eduroam, etc ... 
  
-Ce service n'a pas à être sollicité par les visiteurs. Ceux-ci doivent s'​adresser à leur propre support en cas de problème.+Pour toute demande ​de support, consultez https://​assistance.renater.fr/
  
- +===== Références ===== 
 +[[https://​www.eduroam.org/​wp-content/​uploads/​2016/​05/​GN3-12-192_eduroam-policy-service-definition_ver28_26072012.pdf|eduroam Policy Service Definition]]
  
 +The eduroam Architecture for Network Roaming : [[https://​tools.ietf.org/​html/​rfc7593|rfc7593]]

{tr:about_reveal}