Le projet eduroam

Ce projet se base sur la documentation standard pour l'infrastructure sans fil et la configuration RADIUS.

Le service eduroam est basé sur un protocole 802.1X (EAP-TTLS) et une hiérarchie de serveurs RADIUS responsables de l'authentification des utilisateurs. Chaque établissement raccorde son ou ses serveurs RADIUS aux serveurs (proxies) nationaux à qui il délègue toute demande d'authentification qui n'est pas de son ressort. Les serveurs nationaux remontent aux serveurs racine (eduroam.org) toutes les demandes ne concernant aucun des établissements d’un pays. Ces requêtes sont alors acheminées vers le bon pays puis l'établissement concerné. Les réponses suivent le chemin inverse.

Infrastructure RADIUS

Tout utilisateur de la communauté eduroam a un identifiant de la forme prenom.nom@auf.org.

La méthode EAP impliquent l'utilisation d'un certificat côté serveur. Le certificat de l'AC doit être installé sur tous les clients wifi des utilisateurs pour que le certificat du serveur soit validé. On peut utiliser eduroam CAT (voir ci-dessous) pour vous assurer que ce certificat est bien installé sur les terminaux de vos utilisateurs.

En cas de flitrage, il faudra laisser passer le trafic entre les deux proxies nationaux (rad1 et rad2) et le(s) serveur(s) local(aux) sur les ports déclarés pour le protocole radius (généralement 1812/UDP) et aussi laisser passer les réponses des proxies nationaux aux requêtes du ou des serveurs locaux qui utilisent le port 1814 comme port source de requêtes, les réponses ont donc ce numéro comme port destination.

Pour ajouter une implantation au réseau des clients il faut transmettre l'adresse IP publique de sortie pour qu’elle soit reconnue comme point d’accès Eduroam et permettre l’authentification des utilisateurs.

Support et informations aux utilisateurs

L'utilitaire eduroam Configuration Assistant Tool (CAT) permet de mettre en place et de diffuser la configuration des clients eduroam aux utilisateurs. Il est disponible pour de nombreux OS, son utilisation est fortement recommandée plutôt qu'une configuration manuelle des clients. Les utilisateurs de l’AUF sont authentifiés avec les paramètres ID.AUF. La configuration des postes (ordinateurs, téléphones intelligents) Eduroam propose une configuration automatisée par le portal « Configuration Assitant Tool » . Il faut installer les outils un seul fois sur l’appareil, en suivant les instructions et après, le réseau eduroam sera utilisé chaque fois qu’il sera trouvé dans l’implantation d’origine ou n’importe où dans le monde. Une grande partie des universités utilisent déjà ce réseau. Pour avoir les bons paramètres de connexion il faut chercher dans la liste l’Agence universitaire de la Francophonie comme fournisseur d’identité.

L'implantation doit informer et assister les utilisateurs :

Les utilisateurs de l’AUF sont authentifiés avec les paramètres ID.AUF. La configuration des postes (ordinateurs, téléphones intelligents) Eduroam propose une configuration automatisée par le portal « Configuration Assitant Tool » . Il faut installer les outils un seul fois sur l’appareil, en suivant les instructions et après, le réseau eduroam sera utilisé chaque fois qu’il sera trouvé dans l’implantation d’origine ou n’importe où dans le monde. Une grande partie des universités utilisent déjà ce réseau. Pour avoir les bons paramètres de connexion il faut chercher dans la liste l’Agence universitaire de la Francophonie comme fournisseur d’identité.

Configuration FreeRADIUS 3.0.X

clients.conf

proxy.conf

../sites-enabled/eduroam

server eduroam { 
        listen {
                type = "auth"
                ipaddr = *
                port = 1812
        }
        listen {
                type = "acct"
                ipaddr = *
                port = 0
        }
  
        authorize {
                filter_username
                if ("%{client:shortname}" !~ /rad[1-2]\.eduroam\.fr/) {
                  update request {
                        Operator-Name := "1auf.org"
                  }
                }
                auth_log
                suffix
                if (Realm == "NULL") {
                        update request {
                                &Module-Failure-Message += 'Rejected: Realm is NULL'
                        }
                        reject
                }
                eap
        }
 
        authenticate {
                eap
        }
 
        preacct {
                suffix
        }
 
        accounting {
        }
 
        post-auth {
                reply_log
                Post-Auth-Type REJECT {
                        reply_log
                        }
        }
 
        pre-proxy {
                pre_proxy_log
                if("%{Packet-Type}" != "Accounting-Request") {
                        attr_filter.pre-proxy
                }
        }
 
        post-proxy {
                post_proxy_log
                attr_filter.post-proxy
        }
}

../mods-enabled/ldap

(...) 
                server = 'ldap.ca.auf.org'
(...)

                base_dn = 'ou=People,o=AUF'
(...)

FreeRadius/WiFiEduroam (dernière édition le 2020-01-30 19:49:11 par CalinDordia)