Sommaire
Le projet eduroam
Ce projet se base sur la documentation standard pour l'infrastructure sans fil et la configuration RADIUS.
Le service eduroam est basé sur un protocole 802.1X (EAP-TTLS) et une hiérarchie de serveurs RADIUS responsables de l'authentification des utilisateurs. Chaque établissement raccorde son ou ses serveurs RADIUS aux serveurs (proxies) nationaux à qui il délègue toute demande d'authentification qui n'est pas de son ressort. Les serveurs nationaux remontent aux serveurs racine (eduroam.org) toutes les demandes ne concernant aucun des établissements d’un pays. Ces requêtes sont alors acheminées vers le bon pays puis l'établissement concerné. Les réponses suivent le chemin inverse.
Infrastructure RADIUS
Tout utilisateur de la communauté eduroam a un identifiant de la forme prenom.nom@auf.org.
- La méthode d'authentificaion EAP est utilisée: EAP-TTLS/PAP. Les serveurs RADIUS doivent être configurés pour imposer l'usage de cette méthode pour les utilisateurs du service eduroam.
La méthode EAP impliquent l'utilisation d'un certificat côté serveur. Le certificat de l'AC doit être installé sur tous les clients wifi des utilisateurs pour que le certificat du serveur soit validé. On peut utiliser eduroam CAT (voir ci-dessous) pour vous assurer que ce certificat est bien installé sur les terminaux de vos utilisateurs.
En cas de flitrage, il faudra laisser passer le trafic entre les deux proxies nationaux (rad1 et rad2) et le(s) serveur(s) local(aux) sur les ports déclarés pour le protocole radius (généralement 1812/UDP) et aussi laisser passer les réponses des proxies nationaux aux requêtes du ou des serveurs locaux qui utilisent le port 1814 comme port source de requêtes, les réponses ont donc ce numéro comme port destination.
- Pour les établissements fournissant un réseau wifi eduroam (SP), les filtres mis en oeuvre doivent être cohérents avec la politique de sécurité. Ils devront tenir compte des points suivants : - Protection vis à vis de l'extérieur : le réseau d'accueil des utilisateurs du service eduroam doit être protégé des accès venant de l'extérieur. - Protection de votre réseau interne : il est conseillé d'attribuer un vlan au réseau des utilisateurs eduroam et de filtrer les accès entre ce vlan et les autres réseaux internes. - il ne devrait pas y avoir de filtrage sortant vers Internet.
Pour ajouter une implantation au réseau des clients il faut transmettre l'adresse IP publique de sortie pour qu’elle soit reconnue comme point d’accès Eduroam et permettre l’authentification des utilisateurs.
Support et informations aux utilisateurs
L'utilitaire eduroam Configuration Assistant Tool (CAT) permet de mettre en place et de diffuser la configuration des clients eduroam aux utilisateurs. Il est disponible pour de nombreux OS, son utilisation est fortement recommandée plutôt qu'une configuration manuelle des clients. Les utilisateurs de l’AUF sont authentifiés avec les paramètres ID.AUF. La configuration des postes (ordinateurs, téléphones intelligents) Eduroam propose une configuration automatisée par le portal « Configuration Assitant Tool » . Il faut installer les outils un seul fois sur l’appareil, en suivant les instructions et après, le réseau eduroam sera utilisé chaque fois qu’il sera trouvé dans l’implantation d’origine ou n’importe où dans le monde. Une grande partie des universités utilisent déjà ce réseau. Pour avoir les bons paramètres de connexion il faut chercher dans la liste l’Agence universitaire de la Francophonie comme fournisseur d’identité.
L'implantation doit informer et assister les utilisateurs :
- Sur la façon d'utiliser les accès 802.1X en fournissant des profils (via eduroam CAT ) ou en configurant les postes clients. De l'existence et de l'intérêt de l'infrastructure eduroam et de la façon de l'utiliser. Sur les démarches à faire en cas de perte ou de vol de credentials. Que la charte RENATER s'applique également sur les autres sites français partenaires. De respecter les règles d'utilisation du réseau d'accueil. Que le service d'assistance réseau (de l'établissement de rattachement) doit être contacté en cas de problème de connexion sur un autre site.
Les utilisateurs de l’AUF sont authentifiés avec les paramètres ID.AUF. La configuration des postes (ordinateurs, téléphones intelligents) Eduroam propose une configuration automatisée par le portal « Configuration Assitant Tool » . Il faut installer les outils un seul fois sur l’appareil, en suivant les instructions et après, le réseau eduroam sera utilisé chaque fois qu’il sera trouvé dans l’implantation d’origine ou n’importe où dans le monde. Une grande partie des universités utilisent déjà ce réseau. Pour avoir les bons paramètres de connexion il faut chercher dans la liste l’Agence universitaire de la Francophonie comme fournisseur d’identité.
Configuration FreeRADIUS 3.0.X
clients.conf
client rad1.eduroam.fr { ipaddr = 193.49.160.187 netmask = 32 secret = 3832846d58e3c0322cb834e0dc9adb6 shortname = rad1.eduroam.fr nastype = other virtual_server = eduroam require_message_authenticator = yes } client rad2.eduroam.fr { ipaddr = 193.49.159.82 netmask = 32 secret = 3832846d58e3c0322cb834e0dc9adb6 shortname = rad2.eduroam.fr nastype = other virtual_server = eduroam require_message_authenticator = yes } client radtest.cru.fr { ipaddr = 195.220.94.130 netmask = 32 secret = 3832846d58e3c0322cb834e0dc9adb6 shortname = EDUROAM-TEST nastype = other virtual_server = eduroam require_message_authenticator = yes } client (implantation).auf.org { ipaddr = aaa.bbb.ccc.ddd netmask = 32 secret = xxxxxxxxxxxxxxxxxxx shortname = nom_implantation nastype = other virtual_server = eduroam require_message_authenticator = yes } (...)
proxy.conf
proxy server { default_fallback = no } home_server rad1.eduroam.fr { type = auth ipaddr = 193.49.160.187 port = 1812 secret = xxxxxxxxxxxxxxxxxxxxxxxx # defini en relation avec l'authorite nationale require_message_authenticator = yes response_window = 20 zombie_period = 40 status_check = status-server check_interval = 20 num_answers_to_alive = 3 } home_server rad2.eduroam.fr { type = auth ipaddr = 193.49.159.82 port = 1812 secret = xxxxxxxxxxxxxxxxxxxxxxxx # defini en relation avec l'authorite nationale require_message_authenticator = yes response_window = 20 zombie_period = 40 status_check = status-server check_interval = 20 num_answers_to_alive = 3 } home_server_pool pool-eduroam-fr { type = fail-over home_server = rad1.eduroam.fr home_server = rad2.eduroam.fr } realm auf.org { nostrip } realm NULL { } realm "~.+$" { auth_pool = pool-eduroam-fr nostrip }
../sites-enabled/eduroam
server eduroam {
listen {
type = "auth"
ipaddr = *
port = 1812
}
listen {
type = "acct"
ipaddr = *
port = 0
}
authorize {
filter_username
if ("%{client:shortname}" !~ /rad[1-2]\.eduroam\.fr/) {
update request {
Operator-Name := "1auf.org"
}
}
auth_log
suffix
if (Realm == "NULL") {
update request {
&Module-Failure-Message += 'Rejected: Realm is NULL'
}
reject
}
eap
}
authenticate {
eap
}
preacct {
suffix
}
accounting {
}
post-auth {
reply_log
Post-Auth-Type REJECT {
reply_log
}
}
pre-proxy {
pre_proxy_log
if("%{Packet-Type}" != "Accounting-Request") {
attr_filter.pre-proxy
}
}
post-proxy {
post_proxy_log
attr_filter.post-proxy
}
}../mods-enabled/ldap
(...)
server = 'ldap.ca.auf.org'
(...)
base_dn = 'ou=People,o=AUF'
(...)