eduroam - Technical FAQ | Belnet corporate

Interface

Comment accéder à l’interface de gestion ?
Comment activer la couche MFA pour renforcer la sécurité de mes processus d’authentification ?
Comment créer un mot de passe et comment le réinitialiser ?
Comment je peux monitorer ce service ?
Lorsque j'essaye de me connecter avec mon login et mon mot de passe, on me demande un certificat CA, que dois-je faire ?

Implémentation (Eduroam CAT, RadSec, Hiérarchie RADIUS)

Comment déployer eduroam sur site ou sur le campus ?
Comment implémenter le service en quelques clics grâce à eduroam CAT ?
Vous désirez plus d'informations sur le eduroam CAT ?
Comment fonctionne la configuration du serveur RADIUS ?
Comment configurer mes serveurs RADIUS ?
Qu'est-ce qu'Open1X ?
Comment fonctionne le protocole de hiérarchie RADIUS ?
Qu'est ce que le protocole RadSec ?
Protocole de hiérarchie RADIUS ou protocole RadSec ?

Plus de documentation

Où trouver plus d'informations techniques et liens utiles sur eduroam ?

Comment accéder à l’interface de gestion ?

Vous pouvez vous connecter à https://register.eduroam.be/ à l’aide de votre Belnet personnel login. Vous trouverez ici le manuel d'utilisation de l'interface: Manuel-FR.

Comment activer la couche MFA pour renforcer la sécurité de mes processus d’authentification ?

Découvrez notre documentation ainsi que nos vidéos démos sur notre page FAQ consacrée au Multi Factor Authentication (MFA).

Comment créer un mot de passe et comment le réinitialiser ?

Lorsque vous aurez signé votre convention, Belnet créera et vous enverra votre nom d'utilisateur et votre mot de passe. Vous pouvez réinitialiser votre mot de passe sur https://changepassword.belnet.be/.

Comment je peux monitorer ce service ?

Le statut des serveurs ‘top level’ et des serveurs RADIUS nationaux peut être consulté ici. Les détails de la demande se trouvent ici.

Où trouver plus d'informations techniques et liens utiles sur eduroam ?

GÉANT eduroam wiki
Configuration NPS
802.1X Port-Based Authentication HOWTO
FreeRADIUS
Open1X (Xsupplicant)
WPAsupplicant
GÉANT documentation
SecureW2 : open source EAP-TTLS client pour Microsoft Windows
Kismet, 802.11 Wi-Fi sniffer (pour un*x>
Netstumbler, 802.11 Wi-Fi sniffer (pour Windows)

Comment déployer eduroam sur site ou sur le campus ?

Retrouvez toutes les étapes sur le GÉANT eduroam wiki.

Comment implémenter le service en quelques clics grâce à eduroam CAT ?

CAT (Configuration Assistant Tool) est conçu comme une plateforme de collaboration et est disponible auprès de la Belnet R&E Federation. Les membres de la Belnet R&E Federation qui souhaitent mettre en œuvre eduroam peuvent utiliser CAT pour améliorer le processus. La plateforme est également disponible pour les utilisateurs des organisations affiliées et est utile lors de l'installation du profil de connexion de leur organisation.

eduroam CAT est compatible avec tous les OS importants, smartphones et tablettes.

N'hésitez pas à nous contacter pour de l'assistance:

Mail: servicedesk@belnet.be
Téléphone : 02/790.33.00

Vous désirez plus d'informations sur le eduroam CAT ?

Visitez le site officiel d'eduroam CAT.

Comment fonctionne la configuration du serveur RADIUS ?

Nous vous fournirons la configuration du serveur RADIUS sur la base de différentes implémentations RADIUS. Si vous souhaitez partager votre expérience sur une implémentation qui n'est pas encore décrite dans cette section, n’hésitez pas à nous contacter et nous l'ajouterons certainement. Vous trouverez d'autres informations utiles dans notre section de liens.

Lors de la configuration de votre serveur RADIUS, vous devez choisir le mécanisme d'authentification EAP que vous utiliserez. Vous pouvez utiliser le PEAP (Protected EAP) ou EAP-TTLS. Ces deux mécanismes présentent des avantages et des inconvénients, mais ils peuvent être utilisés dans le contexte de eduroam.

L'avantage de l'utilisation de PEAP est que vous n'avez pas besoin d'installer un logiciel tiers sur un système basé sur Windows. L'inconvénient est que vous êtes limité dans le choix de l'authentification « interne » (ou de l'authentification de l'utilisateur proprement dite) que vous pouvez utiliser.

L'utilisation de EAP-TTLS a l'avantage de vous offrir un plus grand choix en ce qui concerne la méthode d'authentification « interne ».

Comment configurer mes serveurs RADIUS ?

Vous trouverez ici le GÉANT eduroam wiki. Bien que cette documentation soit liée à eduroam, les mêmes principes s'appliquent à govroam. Normalement, vous ne devez remplacer le SSID eduroam par le SSID govroam que là où c'est nécessaire.

Qu'est-ce qu'Open1X ?

Open1X est le logiciel d'implémentation open source IEEE 802.1X. Nous vous conseillons d'utiliser Open1X comme logiciel pour gérer le protocole 802.1X. Ce logiciel est disponible ici. (pour les périphériques basés sur Windows, Mac OS X ou Linux).

Important!

Avant de configurer le protocole 802.1X, assurez-vous que votre carte sans fil peut prendre en charge WPA. Toutes les cartes récentes devraient le supporter, mais ce n'est pas le cas pour certaines anciennes cartes.

Comment fonctionne le protocole de hiérarchie RADIUS ?

Niveau national :

Le service eduroam utilise le protocole RADIUS, qui permet un échange simple de données. L’organisation A accueille un utilisateur de l’organisation B et celui-ci se connecte au réseau sans fil de l’organisation A.

À ce moment, le serveur RADIUS de l’organisation A envoie les données (le nom d’utilisateur et le mot de passe) de l’utilisateur pour vérification au serveur RADIUS de l’organisation B. Ceci s’effectue par l’intermédiaire du serveur RADIUS de Belnet, qui reçoit une requête du serveur RADIUS de l’organisation A et qui envoie alors immédiatement une requête au serveur RADIUS de l’organisation B.

schema govroam

Niveau international :

Si l’organisation B est une organisation internationale, le même principe est d’application. Le serveur RADIUS de Belnet envoie une requête vers le serveur RADIUS européen, qui transmet à son tour la requête vers le nœud national de l’organisation B. Le serveur RADIUS national de l’organisation B envoie ensuite une requête vers le serveur RADIUS de l’organisation elle-même. Un tunnel est de nouveau établi entre l’utilisateur et son institution, et le serveur RADIUS de l’organisation B transmet les informations requises à l’organisation A.

L’organisation d’origine de l’utilisateur continue donc d’assumer la responsabilité de l’enregistrement et de la vérification du nom d’utilisateur et du mot de passe, même lorsque l’utilisateur se trouve dans une organisation hôte. Ces données ne sont par ailleurs pas partagées avec d’autres institutions connectées.

Qu'est ce que le protocole RadSec ?

RadSec signifie Secure RADIUS protocol. Il s'agit d'un protocole qui implémente le protocole RADIUS au sommet de la couche de transport TLDv3, tel que défini dans le draft ietf «draft-ietf-radext-radSec-12». Vous ne pouvez utiliser RadSec que si votre organisation est membre de la Belnet R&E Federation. Seuls les organisations de recherche et d'enseignement peuvent devenir membres de la Fédération R&E. Vous devez également vous abonner au service DCS de Belnet afin d'obtenir un personal certificate.

La confiance comme base

RadSec en tant que modèle hiérarchique fournit une bonne relation de confiance entre chaque participant. Avec RadSec, vous devez transmettre des certificats entre les serveurs RADIUS. Les certificats doivent être conformes à une politique de certificats. L'utilisation de cette stratégie et des certificats associés garantit la relation de confiance entre tous les participants. Actuellement, Belnet utilise l'infrastructure de clé privée eduPKI pour obtenir les certificats pour les serveurs RADIUS 'top level'.be.

Protocole de hiérarchie RADIUS ou protocole RadSec ?

L'implémentation actuelle d'eduroam (protocole de hiérarchie RADIUS) fonctionne très bien. Cependant, en raison du nombre croissant d'utilisateurs et d'organisations dans le monde, certains problèmes de délai d'attente et de fiabilité de la communication ont commencé à apparaître. L'objectif de RadSec est de résoudre ces problèmes ainsi que d'ajouter quelques fonctionnalités utiles et plus de flexibilité.

RADIUS hierarchy protocol	RadSec Protocol
Utilisation de l’UDP L'utilisation de ce protocole est plus fiable entre les serveurs RADIUS. Les problèmes de délai d'attente et de fiabilité sont réduits.	Utilisation de l’TCP L'utilisation de ce protocole est plus fiable entre les serveurs RADIUS. Les problèmes de délai d'attente et de fiabilité sont réduits. MTU RadSec a un meilleur MTU (Maximum Transmission Unit), discovery et fragmentation management.
RADIUS server hierarchy Une connexion via la hiérarchie du serveur RADIUS implique des flux de communication et des temps de traitement cumulés entre chaque niveau de la hiérarchie. Gestion de domaine Les domaines de premier niveau non nationaux, tels que .net, .org, .edu, .eu, exigent une gestion du domaine.	Relation de confiance Chaque serveur RADIUS doit s'authentifier à l'aide de certificats de serveur spéciaux qui permettent la découverte de l'institution d'origine par le biais d'une requête DNS. Utilisation de DNS Discovery L'utilisation de la DNS Discovery permet d'éviter une connexion point à point. Cette méthode de travail supprime les flux de communication et les temps de traitement cumulés. Gestion de domaine Avec DNS Discovery, vous pouvez configurer votre propre DNS avec des domaines autres que celui de ‘top level’ national. Il suffit pour cela d'ajouter les enregistrements SRV et NAPTR.

RADIUS hierarchy protocol

RadSec Protocol

Utilisation de l’UDP
L'utilisation de ce protocole est plus fiable entre les serveurs RADIUS. Les problèmes de délai d'attente et de fiabilité sont réduits.

Utilisation de l’TCP
L'utilisation de ce protocole est plus fiable entre les serveurs RADIUS. Les problèmes de délai d'attente et de fiabilité sont réduits.
MTU
RadSec a un meilleur MTU (Maximum Transmission Unit), discovery et fragmentation management.

RADIUS server hierarchy
Une connexion via la hiérarchie du serveur RADIUS implique des flux de communication et des temps de traitement cumulés entre chaque niveau de la hiérarchie.
Gestion de domaine
Les domaines de premier niveau non nationaux, tels que .net, .org, .edu, .eu, exigent une gestion du domaine.

Relation de confiance
Chaque serveur RADIUS doit s'authentifier à l'aide de certificats de serveur spéciaux qui permettent la découverte de l'institution d'origine par le biais d'une requête DNS.
Utilisation de DNS Discovery
L'utilisation de la DNS Discovery permet d'éviter une connexion point à point. Cette méthode de travail supprime les flux de communication et les temps de traitement cumulés.
Gestion de domaine
Avec DNS Discovery, vous pouvez configurer votre propre DNS avec des domaines autres que celui de ‘top level’ national. Il suffit pour cela d'ajouter les enregistrements SRV et NAPTR.

Lorsque j'essaye de me connecter avec mon login et mon mot de passe, on me demande un certificat CA, que dois-je faire ?

Vous devez vérifier que le certificat correspond bien au certificat de votre institution et que le bon CA a été utilisé. Adressez-vous au département ICT de votre institution pour connaitre la procédure à suivre.

Accédez à l'interface eduroam

Connect to eduroam

Plus d'informations techniques sur l'interface ? Découvrez notre manuel

Télécharger

Avez-vous trouvé ce FAQ utile?

Votre avis est important pour nous. Pourriez-vous nous expliquer ce qu'il faudrait améliorer pour rendre les FAQ plus utiles ou plus claires?

Service concerné

CAPTCHA

Quel code est dissimulé dans l'image ?

Saisir les caractères affichés dans l'image.

Cette question sert à vérifier si vous êtes un visiteur humain ou non afin d'éviter les soumissions de pourriel (spam) automatisées.