> DIO/ Système et réseau/ Réseau sans fil Eduroam à l'Observatoire

(this documentation is available in English)

Se connecter à Eduroam (personnels Observatoire)

À l'Observatoire, avant de vous déplacer en mission, configurer Eduroam selon une des méthodes décrites ci-après :

  • assistée avec l'outil CAT (Windows, MacOS, Android, iOS, GNU/Linux) ;
  • manuelle (GNU/Linux, FreeBSD, Android).

La plupart des méthodes vous demanderont de saisir votre identifiant qualifié. Il s'agit de votre identifiant de compte LDAP Observatoire (votre login de messagerie) suivi de @obspm.fr.

L'identifiant qualifié n'est pas l'adresse de messagerie

Par exemple, si vous êtes Jeanne Dupont avec l'identifiant jdupont et l'adresse de messagerie Jeanne.Dupont@obspm.fr, il faut saisir :

jdupont@obspm.fr

et surtout pas l'adresse de messagerie Jeanne.Dupont@obspm.fr.

Le mot de passe à utiliser est celui du compte de messagerie (compte LDAP).

Se connecter à Eduroam (personnels extérieurs à l'Observatoire)

Avant de venir à l'Observatoire, sur votre établissement d'origine, configurer Eduroam selon la méthode recommandée par les informaticiens de votre établissement (CAT ou autre). Ceci fait, tester Eduroam sur le réseau de votre établissement. Si cela fonctionne, cela devrait fonctionner à l'Observatoire sans modification.

Vous pouvez également vous reporter à cette documentation.

Comment configurer Eduroam ?

À l'heure de la mise à jour de cette documentation, voici les méthodes disponibles et la méthode recommandées par la DIO (cliquer sur le lien pour avoir plus d'information) :

Système CAT méthode manuelle méthode conseillée
Windows ≥ 7 ? CAT
Windows ≤ Vista     aucune (utiliser Eduspot)
MacOS ≥ 10.7 CAT
MacOS 10.6   manuelle
Linux manuelle
FreeBSD   manuelle
Android ≥ 4.3 CAT
Android ≤ 4.2   manuelle
iOS ? CAT (détails)
Autre     aucune (utiliser Eduspot)

CAT (configuration assistée)

Pour les cas courants, la méthode la plus simple est d'utiliser l'outil d'assistance à la configuration CAT (Configuration Assistant Tool).

Pour les personnels de l'Observatoire :

  • aller sur la page d'accueil CAT
  • cliquer sur « téléchargez l'installateur de eduroam »
  • sélectionner « Observatoire de Paris »
  • sélectionner votre système d'exploitation, dans la bonne version
  • exécuter (directement ou après l'avoir enregistré) le programme exécutable ainsi choisi
  • suivre les instructions du programme

Le nom d'utilisateur demandé est l'identifiant qualifié et le mot de passe est le mot de passe de messagerie (compte LDAP)

Pour les utilisateurs de Windows, il est possible qu'un anti-virus émette des messages d'alerte. Veuillez vous reporter à cette section de la FAQ si c'est le cas

Une fois l'installation terminée, choisir le réseau eduroam dans la liste des réseaux sans-fil disponibles.

iOS : détail pour CAT

iOS : CAT téléchargement

  • Étape 2 : sélectionner « Observatoire de Paris » puis « iOS »

iOS : CAT téléchargement ios

  • Étape 3 : télécharger le module

iOS : CAT téléchargement ios cat

  • Étape 4 : installer le certificat en appuyant sur « installer »

iOS : CAT téléchargement ios cat

  • Étape 5 : dans la fenêtre de vérification, appuyer à nouveau sur « installer »

iOS : CAT vérification certificat

  • Étape 6 : l'application demande un code : il s'agit de celui qui sert à déverrouiller le téléphone

iOS : CAT vérification certificat

  • Étape 7 : aller dans les préférences et réseau wifi puis sélectionner eduroam

iOS : selection réseau

  • Étape 8 : dans la fenêtre d'authentification, saisir votre identifiant qualifié et votre mot de passe de messagerie (compte LDAP)

iOS : selection réseau

Android ≤ 4.2 : configuration manuelle

Cette configuration a été testée pour un système Android 4.1 sur un téléphone Samsung Galaxy S2. Moyennant quelques adaptations, elle devrait fonctionner pour toutes les versions. Les icônes et le texte peuvent légèrement varier d'un constructeur à l'autre.

Étape 1 : aller dans Paramètres

Android : paramètres

Étape 2 : aller dans Wi-Fi

Android : Wi-Fi

Étape 3 : en fin de liste des réseaux Wi-Fi, aller dans Ajouter un réseau Wi-Fi

Android : Ajouter un réseau Wi-Fi

Étape 4 : saisir les premiers paramètres :

  • SSID : eduroam
  • Sécurité : 802.1X EAP
  • Méthode d'authentification EAP : TTLS (Tunneled TLS)
  • Méthode d'authentification Phase 2 : PAP
  • Certificat CA : laisser à Non défini, en principe l'autorité de certification de TERENA est déjà connue du système Android

Android : paramètres du profil eduroam (1)

Étape 5 : saisir les paramètres suivants :

  • Certificat utilisateur : laisser à Non défini
  • Identité : saisir votre identifiant qualifié
  • Identité anonyme : saisir anonymous@obspm.fr
  • Mot de passe : saisir le mot de passe de messagerie (compte LDAP) ; cocher Afficher le mot de passe seulement temporairement, le temps de vérifier si la saisie est correcte

Puis enregistrer le profil. Au bout de quelques dizaines de secondes, la connexion devrait s'établir.

Android : paramètres du profil eduroam (2)

GNU/Linux : configuration manuelle

Cette documentation concerne Network Manager, qui est très répandu, et Wicd. Dans le cas d'un autre outil, l'adaptation de cette documentation devrait être aisée.

Network Manager

Cette configuration a été testée pour un système Debian 9 (Stretch) avec Network Manager version 1.6. Moyennant quelques adaptations, elle devrait fonctionner pour toutes les distributions. Les icônes et le texte peuvent légèrement varier d'une version à une autre.

Étape 1 : faire un clic droit sur l'icône de Network Manager et sélectionner Modification des connexions

Network Manager : Modification des connexions

Étape 2 : sélectionner le bouton Ajouter

Network Manager : Ajouter

Étape 3 : sélectionner le type Wi-Fi :

Network Manager : Wi-Fi

Étape 4 : créer le profil sans-fil eduroam :

  • pour le nom de la connexion, saisir eduroam
  • cocher Se connecter automatiquement si possible

Network Manager : Wi-Fi : onglet Général

Étape 5 : sélectionner l'onglet Wi-Fi :

  • pour le SSID, saisir eduroam

Network Manager : Wi-Fi : onglet Wi-Fi

Étape 6 : sélectionner l'onglet Sécurité Wi-Fi pour saisir les paramètres de sécurité :

  • Sécurité : choisir WPA et WPA2 entreprise
  • Authentification : choisir Tunneled TLS
  • Identité anonyme : saisir anonymous@obspm.fr
  • Certificat du CA : cliquer sur Aucun certificat de CA n'est requis, car la chaîne de certification de Digicert est normalement connue du système précédemment téléchargé
  • Authentification interne : choisir PAP
  • Nom d'utilisateur : saisir votre identifiant qualifié
  • Mot de passe : saisir le mot de passe de messagerie (compte LDAP) ; cocher Afficher le mot de passe seulement temporairement, le temps de vérifier si la saisie est correcte

Puis enregistrer le profil.

Network Manager : Wi-Fi : onglet Sécurité Wi-Fi

Ensuite, sélectionner ce réseau sans-fil depuis l'icône de Network Manager, la connexion devrait s'établir.

Wicd

Créer un fichier /etc/wicd/encryption/templates/eduroam avec le contenu suivant :

name = Eduroam
author =
version = 1
require anonymous_identity *Anonymous_Identity identity *Identity 
password *Password
-----
ctrl_interface=/var/run/wpa_supplicant
network={
   ssid="$_ESSID"
   proto=WPA
   key_mgmt=WPA-EAP
   eap=TTLS
   anonymous_identity="$_ANONYMOUS_IDENTITY"
   phase2="auth=PAP"
   identity="$_IDENTITY"
   password="$_PASSWORD"
}

Puis ajouter dans /etc/wicd/encryption/templates/active la ligne suivante :

eduroam

À la sélection de ce réseau, un pop-up demandera l'identifiant qualifié et le mot de passe de messagerie (compte LDAP).

FreeBSD : configuration manuelle

Méthode avec stockage du mot de passe

Cette méthode a le grand défaut de laisser le mot de passe en clair dans un fichier, donc ne surtout pas oublier de faire le chmod 0700.

Créer un fichier /etc/wpa_supplicant-eduroam.conf contenant :

network={
    ssid="eduroam"
    key_mgmt=WPA-EAP
    eap=TTLS
    phase1="peaplabel=0"
    phase2="auth=PAP"
    identity="votre_login@obspm.fr"
    password="votre_mot_de_passe"
    }

Protéger le fichier :

chmod 0700 /etc/wpa_supplicant-eduroam.conf

Ensuite, créer une interface réseau virtuelle :

ifconfig wlan0 create wlandev INTERFACE_PHYSIQUE

La valeur de INTERFACE_PHYSIQUE de l'interface sans fil se trouve avec :

ifconfig -a

Enfin, lancer respectivement les clients 802.1X (supplicant) et DHCP :

wpa_supplicant -B -c /etc/wpa_supplicant-eduroam.conf -i wlan0
dhclient wlan0

pour établir la connexion.

Variante sans stockage du mot de passe

Créer un fichier /etc/wpa_supplicant-eduroam.conf contenant :

ctrl_interface=/var/run/wpa_supplicant
network={
    ssid="eduroam"
    key_mgmt=WPA-EAP
    eap=TTLS
    phase1="peaplabel=0"
    phase2="auth=PAP"
    identity="votre_login@obspm.fr"
    }

Ensuite, créer une interface réseau virtuelle :

ifconfig wlan0 create wlandev INTERFACE_PHYSIQUE

La valeur de INTERFACE_PHYSIQUE de l'interface sans fil se trouve avec :

ifconfig -a

Lancer le client 802.1X (supplicant) :

wpa_supplicant -B -c /etc/wpa_supplicant-eduroam.conf -i wlan0

Puis lancer la CLI qui va permettre la saisie du mot de passe :

wpa_cli
password 0 votre_mot_de_passe

Ne pas mettre de double quotes autour du mot de passe

Dans un autre terminal, lancer le client DHCP :

dhclient wlan0

pour établir la connexion.

MacOS 10.6 (Snow Leopard) : configuration manuelle

CAT ne fonctionne pas avec cette ancienne version de MacOS, donc il faut faire la configuration manuellement.

Étape 1 : ouvrir les Préférences Système

MacOS 10.6 : Préférences Système

Étape 2 : sélectionner Réseau

MacOS 10.6 : Réseau

Étape 3 : sélectionner Avancé

MacOS 10.6 : Avancé

Étape 4 : sélectionner l'onglet 802.1X puis le bouton + puis Ajouter un profil d'utilisateur

MacOS 10.6 : 802.1X : Ajouter un profil d'utilisateur

Étape 5 : saisir les paramètres de sécurité :

  • Nom d'utilisateur : saisir votre identifiant de messagerie (identifiant LDAP)

Dans ce cas particulier, il ne faut pas saisir votre identifiant qualifié mais uniquement l'identifiant de messagerie sans le @obspm.fr.

  • Mot de passe : saisir le mot de passe de messagerie (compte LDAP) ou cocher Toujours demander le mot de passe
  • Authentification : choisir TTLS et décocher le reste
  • Réseau sans fil : saisir eduroam
  • Type de sécurité : choisir WPA2 entreprise

MacOS 10.6 : paramètres 802.1X

Étape 6 : sélectionner la ligne TTLS et cliquer sur le bouton Configurer :

  • Authentification interne TTLS : choisir PAP
  • Identité externe : saisir @obspm.fr

puis valider ces paramètres avec OK.

Valider le nouveau profil avec OK puis Appliquer

MacOS 10.6 : paramètres TTLS

Étape 7 : sélectionner Se connecter pour utiliser le profil qui vient d'être créé

MacOS 10.6 : connexion

Filtrage réseau Eduroam à l'Observatoire

Les personnes connectées à Eduroam à l'Observatoire se voient appliquer la politique de filtrage suivante :

  • tout est autorisé en sortie d'Eduroam, sauf le port TCP 25 (SMTP), pour éviter l'envoi de spam

  • rien n'est autorisé en entrée vers Eduroam, sauf les retours des sessions TCP établies

  • un client Eduroam configuré avec un identifiant de l'Observatoire est considéré comme un poste de travail interne

  • un client Eduroam configuré avec un identifiant d'un autre établissement est considéré comme étant extérieur au réseau de l'Observatoire

  • Cependant, en plus de ce qui est autorisé de l'extérieur vers l'Observatoire, les protocoles suivants (en TCP) sont autorisés d'Eduroam vers l'Observatoire, si toutefois les serveurs destinataires les acceptent :

    • web au sens large : HTTP, HTTPS (ports 80, 443, 8000, 8080-8090, 8443)
    • envoi de mail : SMTP (ports 25, 465, 587)
    • connexion à distance : SSH, telnet, RDP, VNC
    • transfert de fichier : FTP, AFP
    • protocoles Microsoft
    • impression (LPR, IPP, HP JetDirect)
    • jetons de licences DIO
    • gestionnaires de version (Subversion, Git, CVS)
    • XMPP

FAQ et problèmes connus

Eduroam ne fonctionne plus sur mon poste depuis le 04/04/2017

Le certificat X.509 des serveurs d'authentification Radius de l'Observatoire arrivait a expiration et a été changé. Il faut donc mettre à jour votre configuration. Le plus simple est de refaire la configuration en téléchargeant l'outil CAT qui a été mis à jour.

CAT et les anti-virus (Windows)

Il ne nous est pas possible de tester tous les anti-virus du marché. Nous enrichirons cette documentation au fil des informations qui nous arriveront.

Norton

Norton peut afficher le message suivant :

Nos informations concernant ce fichier sont peu probantes

et propose de supprimer le fichier ou d'autoriser son exécution. Il faut autoriser cette dernière.

À la fin de l'installation, il faudra probablement redémarrer l'ordinateur.

Impossibilité d'utiliser Eduroam avec Windows inférieur à 7 (XP, Vista) à l'Observatoire depuis le 15 avril 2015

En bref

Tout système Windows inférieur à 7 configuré avec CAT après le 15 avril 2015 ne pourra pas fonctionner pour les personnels de l'Observatoire.

En détails

Ce qui suit est notre compréhension des choses, dans un domaine relativement compliqué où il est difficile de trouver une documentation claire, exhaustive et fiable. Si vous y trouvez des erreurs ou des approximations, n'hésitez pas à nous le signaler.

Eduroam utilise le contrôle d'accès au réseau 802.1X basé sur le protocole EAP, qui propose plusieurs méthodes (EAP-TLS, EAP-TTLS, etc.) pour se connecter à un serveur Radius. Nous appelerons ici cette méthode authentification étape 1. Le serveur Radius va ensuite se connecter à un annuaire d'authentification (typiquement un annuaire LDAP) avec une méthode que nous appelerons ici authentification étape 2. Dans l'annuaire, les mots de passe sont « stockés » dans un certain format.

Pour l'authentification étape 1, la méthode EAP-TTLS est un standard ouvert IETF et fournit un bon niveau de sécurité. Il est largement répandu (Apple MacOS et iOS, Linux, Android, etc.), mais Microsoft a choisi de l'implanter en standard seulement tardivement, à partir de la version 8. En effet, Microsoft et Cisco ont choisi de développer une autre méthode, proche de EAP-TTLS : PEAP.

Concernant l'authentification étape 2, dans le monde Windows, PEAP utilise la méthode MS-CHAPv2, qui elle-même utilise des mots de passe « hachés » dans le format NTLM spécifique à Windows.

Historiquement, l'annuaire LDAP d'authentification de l'Observatoire a été conçu uniquement pour le serveur de messagerie Unix. Il ne comporte donc pas la version chiffrée du mot de passe dans le format NTLM spécifique à Windows. Ainsi, la seule combinaison de méthode proposable pour l'instant pour Eduroam pour les personnels de l'Observatoire est EAP-TTLS-PAP.

Voici un tableau pour résumer les situations typiques :

typique Observatoire typique Windows
EAP EAP
étape 1 TTLS PEAP
étape 2 PAP MS-CHAPv2
format mot de passe SHA-512, etc. NTLM

Malheureusement, Windows en versions XP, Vista ne supporte pas EAP-TTLS-PAP. Par contre, cela est supporté à partir de la version 7.

Étape Méthode Observatoire Windows XP, Vista Windows 7, 8, 10
0 EAP OK OK OK
1 TTLS OK Non (OK si SecureW2) OK
1 PEAP Non OK OK
2 PAP OK Non (OK si SecureW2) OK
2 MS-CHAPv2 Non OK OK

Pour le cas de Windows XP et Vista, le fonctionnement pour les personnels de l'Observatoire nécessite le support de EAP-TTLS-PAP. Cela était possible avec l'ajout du logiciel SecureW2 qui était embarqué dans CAT. Malheureusement, l'éditeur de SecureW2 a décidé que son logiciel ne serait plus libre, donc plus librement distribuable, et a demandé à ce qu'il soit retiré de CAT, ce qui a été fait le 15 avril 2015.

La seule solution est de passer à une version supérieure de Windows, supportée : 7, 8 ou 10.

Nous n'avons malheureusement pas de solution pour les personnels de l'Observatoire utilisant encore un système Windows XP ou Vista.

Une solution de contournement cependant : à l'Observatoire et partout ailleurs où c'est disponible, utiliser Eduspot (avec votre identifiant LDAP « de messagerie »).

Comment configurer un BlackBerry ?

CAT ne supporte pas le système BlackBerry et nous n'avons pas ce système à disposition pour faire des tests. Si vous possédez un BlackBerry et que vous êtes disposé à faire des tests avec nous, prenez rendez-vous. Sinon, vous pouvez tenter d'adapter la documentation de Cambridge aux paramètres de l'Observatoire.

En savoir plus