pages tagged eduroamDIOhttps://dio.obspm.fr/tags/eduroam/DIOikiwiki2024-03-28T12:31:43ZMise à jour certificats SSL pour Eduroamhttps://dio.obspm.fr/Actualit%C3%A9s/Mise_%C3%A0_jour_eduroam/2022-04-04T13:12:50Z2022-04-04T13:10:31Z
<h1>Contexte</h1>
<p>Les certificats utilisés pour sécuriser le réseau wifi Eduroam ont changé. Les anciens allaient expirer.</p>
<p>Si vous constatez un problème avec votre connexion, remplacez le certificat
racine par <a href="https://dio.obspm.fr/Syst%C3%A8me_et_r%C3%A9seau/Eduroam/Sectigo_CA.pem">celui-ci</a>.</p>
<p>Vous pouvez aussi réinstaller le réseau Eduroam au moyen de l'outil <a href="https://cat.eduroam.org/?lang=fr">CAT</a>.</p>
<p>Merci pour votre compréhension et désolés pour la gêne occasionnée.</p>
Eduroam : nouveau certificat serveur Radiushttps://dio.obspm.fr/Actualit%C3%A9s/Eduroam_nouveau_certificat_serveur_radius/2018-04-11T15:23:21Z2017-04-05T21:41:25Z
<p>Les serveurs d'authentification
<a href="https://fr.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service">Radius</a>
de l'infrastructure <a href="http://www.eduroam.fr/">Eduroam</a> de
l'Observatoire ont depuis hier des nouveaux
<a href="https://fr.wikipedia.org/wiki/X.509">certificats X.509</a>. Les anciens
allaient expirer.</p>
<p>Si vous êtes personnel de l'Observatoire et que vous constatez
qu'Eduroam ne fonctionne plus, vous devez mettre à jour votre
configuration.</p>
<p>Le plus simple est de le faire avec
l'<a href="https://cat.eduroam.org/?lang=fr">outil CAT</a> comme si c'était une
première installation. Se référer à la
<a href="https://dio.obspm.fr/Syst%C3%A8me_et_r%C3%A9seau/Eduroam/">documentation DIO</a>.</p>
<p>Merci pour votre compréhension.</p>
Réseau sans fil Eduroam à l'Observatoirehttps://dio.obspm.fr/Syst%C3%A8me_et_r%C3%A9seau/Eduroam/2024-03-28T12:31:43Z2013-12-04T16:34:04Z
<p>(this documentation is also available <a href="https://dio.obspm.fr/Syst%C3%A8me_et_r%C3%A9seau/Eduroam.en/">in English</a>)</p>
<h1>Comment configurer Eduroam ?</h1>
<p>À l'heure de la mise à jour de cette documentation, voici les méthodes
disponibles et les méthodes recommandées par la DIO pour chaque
système d'exploitation (cliquer sur le lien pour avoir plus
d'information) :</p>
<table>
<thead>
<tr>
<th> Système </th>
<th> CAT </th>
<th> méthode conseillée par la DIO </th>
</tr>
</thead>
<tbody>
<tr>
<td> Windows > 7 </td>
<td> ✓ </td>
<td> <a href="https://dio.obspm.fr/tags/eduroam/#windows">manuelle</a> </td>
</tr>
<tr>
<td> MacOS ≥ 10.7 </td>
<td> ✓ </td>
<td> <a href="https://dio.obspm.fr/tags/eduroam/#cat">CAT</a> </td>
</tr>
<tr>
<td> Linux </td>
<td> ✓ </td>
<td> <a href="https://dio.obspm.fr/tags/eduroam/#gnulinux">manuelle</a> </td>
</tr>
<tr>
<td> FreeBSD </td>
<td> </td>
<td> <a href="https://dio.obspm.fr/tags/eduroam/#freebsd">manuelle</a> </td>
</tr>
<tr>
<td> Android ≥ 4.3 </td>
<td> ✓ </td>
<td> <a href="https://dio.obspm.fr/tags/eduroam/#geteduroam">geteduroam</a> </td>
</tr>
<tr>
<td> iOS </td>
<td> ✓ </td>
<td> <a href="https://dio.obspm.fr/tags/eduroam/#cat">CAT</a> (<a href="https://dio.obspm.fr/tags/eduroam/#iphone">détails</a>) </td>
</tr>
<tr>
<td> Autre </td>
<td> </td>
<td> aucune (utiliser Eduspot) </td>
</tr>
</tbody>
</table>
<div class="warning"><p>Pour les MacOS récents, utilisez impérativement <a href="https://dio.obspm.fr/tags/eduroam/#cat">CAT</a> et ne tentez pas de
vous connecter au réseau directement. Ça ne marchera pas !</p>
<p>Si vous avez tenté de vous connecter au réseau Eduroam, l'installation de CAT
ne fonctionne pas. Il faut tout d'abord supprimer toute référence à Eduroam
dans les préférences réseau et dans le gestionnaire de profil.</p>
</div>
<div class="info"><p>Pour les Windows récents, la DIO recommande la configuration manuelle
à CAT pour Windows car nous estimons qu'il est plus simple de saisir
un identifiant que d'installer une application. Bien sûr, vous pouvez
utiliser CAT si vous préférez.</p>
</div>
<div class="info"><p>Pour les Android récents, la DIO recommande d'utiliser l'application
<em>geteduroam</em> après avoir fait le constat que CAT ne fonctionnait pas
dans certains cas.</p>
</div>
<h1>Se connecter à Eduroam (personnels Observatoire)</h1>
<p>À l'Observatoire, avant de vous déplacer en mission, configurer
Eduroam selon une des méthodes décrites ci-dessus :</p>
<p><a name="fql"></a> La plupart des méthodes vous demanderont de saisir
votre <strong>identifiant qualifié</strong>. Il s'agit de votre identifiant de
compte LDAP Observatoire (votre <strong>login</strong> de messagerie) suivi de
<strong>@obspm.fr</strong>.</p>
<div class="warning"><p>L'identifiant qualifié n'est <strong>pas l'adresse de messagerie</strong></p>
</div>
<p>Par exemple, si vous êtes Jeanne Dupont avec l'identifiant <code>jdupont</code>
et l'adresse de messagerie <code>Jeanne.Dupont@obspm.fr</code>, il faut saisir :</p>
<pre><code>jdupont@obspm.fr
</code></pre>
<div class="warning"><p>et surtout pas l'adresse de messagerie <code>Jeanne.Dupont@obspm.fr</code>.</p>
</div>
<p>Le mot de passe à utiliser est celui du compte de messagerie (compte
LDAP).</p>
<h1>Se connecter à Eduroam (personnels extérieurs à l'Observatoire)</h1>
<p>Avant de venir à l'Observatoire, sur votre établissement d'origine,
configurer Eduroam selon la méthode recommandée par les informaticiens
de votre établissement (probablement CAT). Ceci fait, tester Eduroam
sur le réseau de votre établissement. Si cela fonctionne, cela devrait
fonctionner à l'Observatoire sans modification.</p>
<h1>CAT (configuration assistée) <a name="cat"></a></h1>
<p>Pour les cas courants, la méthode la plus simple et la plus sûre est
d'utiliser l'outil d'assistance à la configuration CAT (<em>Configuration
Assistant Tool</em>).</p>
<p>Pour les personnels de l'Observatoire :</p>
<ul>
<li>aller sur la <a href="https://cat.eduroam.org/">page d'accueil CAT</a></li>
<li>cliquer sur « <strong>Cliquer ici pour téléchargez votre installateur eduroam</strong> »</li>
<li>sélectionner « <strong>Observatoire de Paris</strong> »</li>
<li>Cliquer sur <strong>Téléchargez votre installateur eduroam</strong></li>
<li>exécuter (directement ou après l'avoir enregistré) le programme exécutable ainsi choisi</li>
<li>suivre les instructions du programme</li>
</ul>
<div class="warning"><p>Le nom d'utilisateur demandé est
l'<a href="https://dio.obspm.fr/tags/eduroam/#fql"><strong>identifiant qualifié</strong></a> et le mot de passe est le <strong>mot
de passe de messagerie</strong> (compte LDAP)</p>
</div>
<p>Une fois l'installation terminée, choisir le réseau <em>eduroam</em> dans la
liste des réseaux sans-fil disponibles.</p>
<h1>Application mobile geteduroam <a name="geteduroam"></a></h1>
<p>Les réseaux nationaux d'enseignement supérieur et recherche d'Europe
du nord ont développé une application nommée
<a href="https://www.geteduroam.org/">geteduroam</a>. Elle a pour but de
simplifier le processus de connexion à Eduroam pour les personnes
utilisatrices finales tout en utilisant les données de CAT. On peut la
voir comme une surcouche à CAT. Pour une personne utilisatrice, on
pourra la voir comme une alternative à CAT. Il n'y a pas vraiment à
notre connaissance de position officielle sur ce qu'il faut utiliser
de préférence, CAT ou geteduroam.</p>
<p>Pour les personnels de l'Observatoire :</p>
<ul>
<li>installer geteduroam depuis le magasin d'application (Google Play ou
Apple Store, éditeur de geteduroam est SURF B. V.)</li>
<li>démarrer l'application</li>
<li>suivre les instructions du programme</li>
</ul>
<div class="warning"><p>Le nom d'utilisateur demandé est
l'<a href="https://dio.obspm.fr/tags/eduroam/#fql"><strong>identifiant qualifié</strong></a> et le mot de passe est le <strong>mot
de passe de messagerie</strong> (compte LDAP)</p>
</div>
<p>Une fois l'installation terminée, choisir le réseau <em>eduroam</em> dans la
liste des réseaux sans-fil disponibles.</p>
<h1>iOS : détail pour CAT <a name="iphone"></a></h1>
<ul>
<li>Étape 1 : aller sur la <a href="https://cat.eduroam.org/">page d'accueil CAT</a></li>
</ul>
<p><img src="https://dio.obspm.fr/tags/eduroam/eduroam-cat-iOS-1.png" alt="iOS : CAT téléchargement" /></p>
<ul>
<li>Étape 2 : sélectionner « <strong>Observatoire de Paris</strong> » puis
« <strong>iOS</strong> »</li>
</ul>
<p><img src="https://dio.obspm.fr/tags/eduroam/eduroam-cat-iOS-3.png" alt="iOS : CAT téléchargement ios" /></p>
<ul>
<li>Étape 3 : télécharger le module</li>
</ul>
<p><img src="https://dio.obspm.fr/tags/eduroam/eduroam-cat-iOS-4.png" alt="iOS : CAT téléchargement ios cat" /></p>
<ul>
<li>Étape 4 : installer le certificat en appuyant sur « <strong>installer</strong> »</li>
</ul>
<p><img src="https://dio.obspm.fr/tags/eduroam/eduroam-cat-iOS-5.png" alt="iOS : CAT téléchargement ios cat" /></p>
<ul>
<li>Étape 5 : dans la fenêtre de vérification, appuyer à nouveau sur
« <strong>installer</strong> »</li>
</ul>
<p><img src="https://dio.obspm.fr/tags/eduroam/eduroam-cat-iOS-6.png" alt="iOS : CAT vérification certificat" /></p>
<ul>
<li>Étape 6 : l'application demande un <strong>code</strong> : il s'agit de celui qui sert à
déverrouiller le téléphone</li>
</ul>
<p><img src="https://dio.obspm.fr/tags/eduroam/eduroam-cat-iOS-7.png" alt="iOS : CAT vérification certificat" /></p>
<ul>
<li>Étape 7 : aller dans les <strong>préférences</strong> et <strong>réseau wifi</strong> puis sélectionner
<em>eduroam</em></li>
</ul>
<p><img src="https://dio.obspm.fr/tags/eduroam/eduroam-wifi-iOS-1.png" alt="iOS : selection réseau" /></p>
<ul>
<li>Étape 8 : dans la fenêtre d'authentification, saisir votre
<a href="https://dio.obspm.fr/tags/eduroam/#fql"><strong>identifiant qualifié</strong></a> et votre <strong>mot de passe de
messagerie</strong> (compte LDAP)</li>
</ul>
<p><img src="https://dio.obspm.fr/tags/eduroam/eduroam-wifi-iOS-2.png" alt="iOS : selection réseau" /></p>
<h1>Microsoft Windows : configuration manuelle <a name="windows"></a></h1>
<ul>
<li><p>se rendre dans le menu <strong>réseau</strong> en bas a gauche du bureau (normalement)</p></li>
<li><p>sélectionner le réseau <strong>Eduroam</strong>, saisir votre <a href="https://dio.obspm.fr/tags/eduroam/#fql"><strong>identifiant
qualifié</strong></a> et votre <strong>mot de passe de messagerie</strong> (compte
LDAP)</p></li>
<li><p>lors de l'affichage de l'avertissement qui vous demande si vous
souhaitez poursuivre la connexion, cliquer sur <strong>Afficher les
détails du certificat</strong> et vérifier que l'on a bien :</p>
<pre><code> Émis pour : FR, Île-de-France, Observatoire de Paris, radius.obspm.fr
Émis par : GEANT OV RSA CA 4
Empreinte du serveur: F4 74 CA 80 BC 6A A4 89 FC 1A 40 06 3E 09 9C 23 25 DB
0B E2 19 F4 7B 43 D7 AE 7F 64 51 49 C2 30
</code></pre></li>
<li><p>si les informations sont bien celles ci-dessus, cliquer sur <strong>Se
connecter</strong></p></li>
</ul>
<h1>GNU/Linux : configuration manuelle <a name="gnulinux"></a></h1>
<div class="info"><p>Cette documentation concerne
<a href="http://fr.wikipedia.org/wiki/NetworkManager">Network Manager</a>, qui
est très répandu.</p>
</div>
<p>Cette configuration a été testée pour un système Debian 9 (Stretch)
avec Network Manager version 1.6. Moyennant quelques adaptations,
elle devrait fonctionner pour toutes les distributions. Les icônes et
le texte peuvent légèrement varier d'une version à une autre.</p>
<p>Étape 0 : télécharger sur votre PC le <a href="https://dio.obspm.fr/Syst%C3%A8me_et_r%C3%A9seau/Eduroam/Sectigo_CA.pem">certificat de l'autorité de
certification de GÉANT TCS</a>, actuellement opéré par
Sectigo (clic droit puis <strong>Enregistrer la cible du lien sous</strong>)</p>
<p>Étape 1 : faire un clic droit sur l'icône de Network Manager et
sélectionner <strong>Modification des connexions</strong></p>
<p><img src="https://dio.obspm.fr/tags/eduroam/eduroam-nm-etape-1.png" alt="Network Manager : Modification des connexions" /></p>
<p>Étape 2 : sélectionner le bouton <strong>Ajouter</strong></p>
<p><img src="https://dio.obspm.fr/tags/eduroam/eduroam-nm-etape-2.png" alt="Network Manager : Ajouter" /></p>
<p>Étape 3 : sélectionner le type <strong>Wi-Fi</strong> :</p>
<p><img src="https://dio.obspm.fr/tags/eduroam/eduroam-nm-etape-3.png" alt="Network Manager : Wi-Fi" /></p>
<p>Étape 4 : créer le profil sans-fil <em>eduroam</em> :</p>
<ul>
<li>pour le nom de la connexion, saisir <strong>eduroam</strong></li>
<li>cocher <strong>Se connecter automatiquement si possible</strong></li>
</ul>
<p><img src="https://dio.obspm.fr/tags/eduroam/eduroam-nm-etape-4.png" alt="Network Manager : Wi-Fi : onglet Général" /></p>
<p>Étape 5 : sélectionner l'onglet <strong>Wi-Fi</strong> :</p>
<ul>
<li>pour le <em>SSID</em>, saisir <strong>eduroam</strong></li>
</ul>
<p><img src="https://dio.obspm.fr/tags/eduroam/eduroam-nm-etape-5.png" alt="Network Manager : Wi-Fi : onglet Wi-Fi" /></p>
<p>Étape 6 : sélectionner l'onglet <strong>Sécurité Wi-Fi</strong> pour saisir les
paramètres de sécurité :</p>
<ul>
<li>Sécurité : choisir <strong>WPA et WPA2 entreprise</strong></li>
<li>Authentification : choisir <strong>Tunneled TLS</strong></li>
<li>Identité anonyme : saisir <strong>anonymous@obspm.fr</strong></li>
<li>Domaine : saisir <strong>obspm.fr</strong></li>
<li>Certificat du CA : chercher et séléctionner le certificat
précédemment téléchargé lors de l'étape 0
<div class="alert"><p> Si on ne spécifie pas ici le bon certificat et que l'on coche <em>Aucun
certificat CA n'est requis</em> (ne le faites pas), on s'expose plus
facilement à un vol d'identifiant LDAP, cf. l'<a href="https://dio.obspm.fr/tags/eduroam/#rogue_ap_radius_eduroam">explication plus
loin</a></p>
</div></li>
<li>Authentification interne : choisir <strong>PAP</strong></li>
<li>Nom d'utilisateur : saisir votre <a href="https://dio.obspm.fr/tags/eduroam/#fql">identifiant qualifié</a></li>
<li>Mot de passe : saisir le <strong>mot de passe de messagerie</strong> (compte
LDAP) ; cocher <strong>Afficher le mot de passe seulement
temporairement</strong>, le temps de vérifier si la saisie est correcte</li>
</ul>
<p>Puis enregistrer le profil.</p>
<p><img src="https://dio.obspm.fr/tags/eduroam/eduroam-nm-etape-6.png" alt="Network Manager : Wi-Fi : onglet Sécurité Wi-Fi" /></p>
<p>Ensuite, sélectionner ce réseau sans-fil depuis l'icône de Network
Manager, la connexion devrait s'établir.</p>
<h1>FreeBSD : configuration manuelle <a name="freebsd"></a></h1>
<div class="info"><p>La plupart des opérations décrites ci-dessous nécessite d'avoir les
privilèges <em>root</em>.</p>
</div>
<h2>Méthode avec stockage du mot de passe</h2>
<div class="alert"><p>Cette méthode a le grand défaut de laisser le mot de
passe en clair dans un fichier, donc ne surtout pas oublier de faire
le <code>chmod 0700</code>.</p>
</div>
<p>Créer un fichier <code>/etc/wpa_supplicant-eduroam.conf</code> contenant :</p>
<pre><code>network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=TTLS
phase1="peaplabel=0"
phase2="auth=PAP"
identity="votre_login@obspm.fr"
password="votre_mot_de_passe"
}
</code></pre>
<p>Protéger le fichier :</p>
<pre><code>chmod 0700 /etc/wpa_supplicant-eduroam.conf
</code></pre>
<p>Ensuite, créer une interface réseau virtuelle :</p>
<pre><code>ifconfig wlan0 create wlandev INTERFACE_PHYSIQUE
</code></pre>
<p>La valeur de <code>INTERFACE_PHYSIQUE</code> de l'interface sans fil se trouve
avec :</p>
<pre><code>ifconfig -a
</code></pre>
<p>Enfin, lancer respectivement les clients 802.1X (<em>supplicant</em>) et
DHCP :</p>
<pre><code>wpa_supplicant -B -c /etc/wpa_supplicant-eduroam.conf -i wlan0
dhclient wlan0
</code></pre>
<p>pour établir la connexion.</p>
<h2>Variante sans stockage du mot de passe</h2>
<p>Créer un fichier <code>/etc/wpa_supplicant-eduroam.conf</code> contenant :</p>
<pre><code>ctrl_interface=/var/run/wpa_supplicant
network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=TTLS
phase1="peaplabel=0"
phase2="auth=PAP"
identity="votre_login@obspm.fr"
}
</code></pre>
<p>Ensuite, créer une interface réseau virtuelle :</p>
<pre><code>ifconfig wlan0 create wlandev INTERFACE_PHYSIQUE
</code></pre>
<p>La valeur de <code>INTERFACE_PHYSIQUE</code> de l'interface sans fil se trouve
avec :</p>
<pre><code>ifconfig -a
</code></pre>
<p>Lancer le client 802.1X (<em>supplicant</em>) :</p>
<pre><code>wpa_supplicant -B -c /etc/wpa_supplicant-eduroam.conf -i wlan0
</code></pre>
<p>Puis lancer la CLI qui va permettre la saisie du mot de passe :</p>
<pre><code>wpa_cli
password 0 votre_mot_de_passe
</code></pre>
<div class="warning"><p>Ne <strong>pas</strong> mettre de double quotes autour du mot de passe</p>
</div>
<p>Dans un autre terminal, lancer le client DHCP :</p>
<pre><code>dhclient wlan0
</code></pre>
<p>pour établir la connexion.</p>
<h1>Filtrage réseau Eduroam à l'Observatoire</h1>
<p>Les personnes connectées à Eduroam à l'Observatoire se voient
appliquer la politique de filtrage suivante :</p>
<ul>
<li><p>tout est autorisé d'Eduroam vers l'Internet, sauf le port TCP 25
(SMTP), pour éviter l'envoi de spam</p></li>
<li><p>rien n'est autorisé de l'Internet vers Eduroam, sauf les retours des
connexions IP initiées</p></li>
<li><p>un client Eduroam configuré avec un identifiant de l'Observatoire
est considéré comme un poste de travail interne de confiance</p></li>
<li><p>un client Eduroam configuré avec un identifiant d'un autre
établissement est considéré comme étant extérieur au réseau de
l'Observatoire</p></li>
</ul>
<p>Cependant, en plus de ce qui est autorisé de façon générale de
l'Internet vers l'Observatoire, les protocoles suivants sont autorisés
d'Eduroam vers l'Observatoire, si toutefois les serveurs destinataires
les acceptent :</p>
<p>Avec un identifiant d'un autre établissement :</p>
<ul>
<li>web au sens large : HTTP, HTTPS (ports 80, 443, 8080-8090, 8443)</li>
<li>connexion à distance : SSH, RDP</li>
<li>impression : LPR, IPP, HP JetDirect</li>
</ul>
<p>Avec un identifiant de l'Observatoire :</p>
<ul>
<li>idem ci-dessus</li>
<li>accès serveurs de fichier : FTP, AFP</li>
<li>protocoles Windows standard : serveurs de fichier, imprimantes partagées</li>
<li>gestion de version : Git, Subversion, CVS</li>
<li>bases de données : MySQL, PostgreSQL, Firebird</li>
<li>prise de contrôle à distance : VNC</li>
<li>messagerie instantanée : XMPP</li>
</ul>
<h1>FAQ et problèmes connus</h1>
<h2>Compatibilité de CAT</h2>
<p>Aucun problème général connu pour l'instant, tout système
d'exploitation courant dans une version raisonnablement récente
devrait pouvoir fonctionner avec CAT.</p>
<h2>Geteduroam</h2>
<p>Si la configuration CAT eduroam ne fonctionnait pas, il existe une
alternative <a href="https://www.geteduroam.app/">geteduroam</a>.</p>
<h2>Faux point d'accès/radius Eduroam et vol d'identifiants <a name="rogue_ap_radius_eduroam"></a></h2>
<div class="alert">FIXME : à rédiger</div>
<h1>En savoir plus</h1>
<ul>
<li><a href="http://www.eduroam.org">Eduroam dans le monde</a></li>
<li><a href="http://www.eduroam.fr">Eduroam en France (Renater)</a></li>
</ul>
Eduroam wireless network at the Observatoire de Parishttps://dio.obspm.fr/Syst%C3%A8me_et_r%C3%A9seau/Eduroam.en/2024-03-28T12:31:43Z2013-12-04T16:34:04Z
<p>(the reference version of these instructions is <a href="https://dio.obspm.fr/Syst%C3%A8me_et_r%C3%A9seau/Eduroam/">in French</a>)</p>
<h1>How to configure Eduroam?</h1>
<p>At the time of this writing, here are the available methods and the
ones recommended by the Observatoire IT department (click on the link
for further information):</p>
<table>
<thead>
<tr>
<th> System </th>
<th> CAT </th>
<th> recommended method </th>
</tr>
</thead>
<tbody>
<tr>
<td> Windows > 7 </td>
<td> ✓ </td>
<td> <a href="https://dio.obspm.fr/tags/eduroam/#windows">manual</a> </td>
</tr>
<tr>
<td> MacOS ≥ 10.7 </td>
<td> ✓ </td>
<td> <a href="https://dio.obspm.fr/tags/eduroam/#cat">CAT</a> </td>
</tr>
<tr>
<td> Linux </td>
<td> ✓ </td>
<td> <a href="https://dio.obspm.fr/tags/eduroam/#gnulinux">manual</a> </td>
</tr>
<tr>
<td> FreeBSD </td>
<td> </td>
<td> <a href="https://dio.obspm.fr/tags/eduroam/#freebsd">manual</a> </td>
</tr>
<tr>
<td> Android ≥ 4.3 </td>
<td> ✓ </td>
<td> <a href="https://dio.obspm.fr/tags/eduroam/#geteduroam">geteduroam</a> </td>
</tr>
<tr>
<td> iOS </td>
<td> ✓ </td>
<td> <a href="https://dio.obspm.fr/tags/eduroam/#cat">CAT</a> (<a href="https://dio.obspm.fr/tags/eduroam/#iphone">details</a>) </td>
</tr>
<tr>
<td> Other </td>
<td> </td>
<td> none (use Eduspot) </td>
</tr>
</tbody>
</table>
<div class="warning"><p>For recents MacOS, it is mandatory to use <a href="https://dio.obspm.fr/tags/eduroam/#cat">CAT</a> and do not try
to connect to Eduroam network before.</p>
<p>If you did so, the CAT installation will be non functionnal. You must
first delete any reference to Eduroam in the network parameters and in
the profile manager.</p>
</div>
<div class="info"><p>For modern Windows, the DIO IT team recommends the manual
configuration over CAT because we feel that it is simpler to type a
login/password than to install a software. Your mileage may vary and
of course you can try CAT if you prefer.</p>
</div>
<h1>Connect to Eduroam (staff of Observatoire de Paris)</h1>
<p>At the Observatoire de Paris, before your venue, configure Eduroam
with one of the following methods, that will be detailed below:</p>
<ul>
<li>assisted with CAT (Windows, MacOS, Android, iOS, GNU/Linux)</li>
<li>manual (GNU/Linux, FreeBSD)</li>
</ul>
<p><a name="fql"></a> Most methods will ask you for your <strong>fully qualified
login</strong>. It is your LDAP login at the Observatoire (your e-mail login)
followed by <strong>@obspm.fr</strong>.</p>
<div class="warning"><p>The fully qualified login is <strong>not the e-mail address</strong></p>
</div>
<p>For instance, if your are Jane Doe with the <code>jdoe</code> login and the
<code>Jane.Doe@obspm.fr</code> e-mail, you must provide:</p>
<pre><code>jdoe@obspm.fr
</code></pre>
<div class="warning"><p>and not your e-mail <code>Jane.Doe@obspm.fr</code>.</p>
</div>
<p>The associated password is the <strong>e-mail password</strong> (Observatoire LDAP
account).</p>
<h1>Connect to Eduroam (visitors to Observatoire de Paris)</h1>
<p>Before coming to the Observatoire de Paris, when at your regular
office, configure Eduroam following the method recommended by your IT
support (probably CAT). When done, test Eduroam on your regular office
network. If it is working, it should work at the Observatoire de Paris
without any modification.</p>
<h1>CAT (assisted configuration) <a name="cat"></a></h1>
<p>The simplest and safest method is to use the Configuration Assistant
Tool (CAT).</p>
<p>For the Observatoire de Paris members:</p>
<ul>
<li>go to the <a href="https://cat.eduroam.org/">CAT homepage</a></li>
<li>click on « <strong>Click here to download your eduroam installer</strong> »</li>
<li>select « <strong>Observatoire de Paris</strong> »</li>
<li>click on <strong>Download your eduroam installer</strong></li>
<li>run (directly or after saving it) the selected program</li>
<li>follow the program instructions</li>
</ul>
<div class="warning"><p>The user name asked is the
<a href="https://dio.obspm.fr/tags/eduroam/#fql"><strong>fully qualified login</strong></a> and the password is the <strong>e-mail
password</strong> (Observatoire LDAP account)</p>
</div>
<p>Once the installation finished, select the <em>eduroam</em> network in the
available networks list.</p>
<h1>geteduroam mobile application <a name="geteduroam"></a></h1>
<p>Nothern European National Research and Education Networks have
developped a mobile application named
<a href="https://www.geteduroam.org/">geteduroam</a>. It's goal is to simplify
the process of connecting to Eduroam for end users based on CAT
data. It can be viewed as an overlay to CAT. For end users, it can be
viewed as an alternative application to CAT. To the best of our
knowledge, there is no official position on what to use, geteduroam or
CAT.</p>
<p>For the Observatoire de Paris members:</p>
<ul>
<li>install geteduroam from your application store (Google Play or Apple
Store, geteduroam editor is SURF B. V.)</li>
<li>start the application</li>
<li>follow the application instructions</li>
</ul>
<div class="warning"><p>The user name asked is the
<a href="https://dio.obspm.fr/tags/eduroam/#fql"><strong>fully qualified login</strong></a> and the password is the <strong>e-mail
password</strong> (Observatoire LDAP account)</p>
</div>
<p>Once the installation finished, select the <em>eduroam</em> network in the
available networks list.</p>
<h1>iOs: details for CAT <a name="iphone"></a></h1>
<p>(Sorry, screenshots are in French)</p>
<ul>
<li>Step 1: go to <a href="https://cat.eduroam.org/">CAT homepage</a></li>
</ul>
<p><img src="https://dio.obspm.fr/tags/Eduroam/eduroam-cat-iOS-1.png" alt="iOS: CAT download" /></p>
<ul>
<li>Step 2: select « <strong>Observatoire de Paris</strong> » then « <strong>iOS</strong> »</li>
</ul>
<p><img src="https://dio.obspm.fr/tags/Eduroam/eduroam-cat-iOS-3.png" alt="iOS: CAT download iOS" /></p>
<ul>
<li>Step 3: download the module</li>
</ul>
<p><img src="https://dio.obspm.fr/tags/Eduroam/eduroam-cat-iOS-4.png" alt="iOS: CAT download iOS CAT" /></p>
<ul>
<li>Step 4: install certificate by selecting « <strong>install</strong> »</li>
</ul>
<p><img src="https://dio.obspm.fr/tags/Eduroam/eduroam-cat-iOS-5.png" alt="iOS: CAT download iOS CAT (2)" /></p>
<ul>
<li>Step 5: in the confirmation window, select again « <strong>install</strong> »</li>
</ul>
<p><img src="https://dio.obspm.fr/tags/Eduroam/eduroam-cat-iOS-6.png" alt="iOS: CAT check certificate" /></p>
<ul>
<li>Step 6: the program asks for a <strong>code</strong>: use the one which unlocks
the phone</li>
</ul>
<p><img src="https://dio.obspm.fr/tags/Eduroam/eduroam-cat-iOS-7.png" alt="iOS: CAT check certificate code" /></p>
<ul>
<li>Step 7: go to <strong>setup</strong> and <strong>Wi-Fi</strong> then select <em>eduroam</em></li>
</ul>
<p><img src="https://dio.obspm.fr/tags/Eduroam/eduroam-wifi-iOS-1.png" alt="iOS: select network" /></p>
<ul>
<li>Step 8: in the authentication window, type your
<a href="https://dio.obspm.fr/tags/eduroam/#fql"><strong>fully qualified login</strong></a> and your <strong>e-mail password</strong>
(Observatoire LDAP account)</li>
</ul>
<p><img src="https://dio.obspm.fr/tags/Eduroam/eduroam-wifi-iOS-2.png" alt="iOS: selection réseau" /></p>
<p>After a little while (usually just a few seconds), the connexion
should be OK.</p>
<h1>Microsoft Windows : manual configuration <a name="windows"></a></h1>
<ul>
<li><p>go to the <strong>network</strong> menu, at the bottom left of the workspace (usually)</p></li>
<li><p>select <strong>Eduroam</strong> network, type your <a href="https://dio.obspm.fr/tags/eduroam/#fql"><strong>fully qualified
login</strong></a> and your <strong>e-mail password</strong> (Observatoire LDAP
account)</p></li>
<li><p>at the warning message that asks if you are OK to keep on
connecting, click on <strong>Show certificate details</strong> and check that you
have:</p>
<pre><code>Issued for: FR, Île-de-France, Observatoire de Paris, radius.obspm.fr
Issued by: GEANT OV RSA CA 4
Fingerprint: F4 74 CA 80 BC 6A A4 89 FC 1A 40 06 3E 09 9C 23 25 DB
0B E2 19 F4 7B 43 D7 AE 7F 64 51 49 C2 30
</code></pre></li>
<li><p>if the informations are as above, proceed to <strong>Connect</strong></p></li>
</ul>
<h1>GNU/Linux: manual configuration <a name="gnulinux"></a></h1>
<div class="info"><p>This documentation is about <a href="http://en.wikipedia.org/wiki/NetworkManager">Network
Manager</a>, which is
widespread.</p>
</div>
<p>(Sorry, the screenshots are in French)</p>
<p>This configuration has been tested with a Debian 9 (Stretch) system
with Network Manager version 1.6. With some minor tweaks, it should
work for all distributions. Icons and labels may slighty vary from one
distribution to another.</p>
<p>Step 0: download on your PC the <a href="https://dio.obspm.fr/Syst%C3%A8me_et_r%C3%A9seau/Eduroam/Sectigo_CA.pem">GEANT TCS Certification Authority
Certificate</a>, currently runned by Sectigo
(right click then <strong>Save link target as</strong>)</p>
<p>Step 1: right click on Network Manager icon and select <strong>Edit connections</strong></p>
<p><img src="https://dio.obspm.fr/tags/Eduroam/eduroam-nm-etape-1.png" alt="Network Manager: Edit connections" /></p>
<p>Step 2: select <strong>Add</strong> button</p>
<p><img src="https://dio.obspm.fr/tags/Eduroam/eduroam-nm-etape-2.png" alt="Network Manager : Add" /></p>
<p>Step 3: select <strong>Wi-Fi</strong> type</p>
<p><img src="https://dio.obspm.fr/tags/Eduroam/eduroam-nm-etape-3.png" alt="Network Manager: Wi-Fi" /></p>
<p>Step 4: create the <em>eduroam</em> wireless profile:</p>
<ul>
<li>for connection name, enter <strong>eduroam</strong></li>
<li>check <strong>Connect automatically</strong></li>
</ul>
<p><img src="https://dio.obspm.fr/tags/Eduroam/eduroam-nm-etape-4.png" alt="Network Manager: Wi-Fi: General tab" /></p>
<p>Step 5: select <strong>Wi-Fi</strong> tab:</p>
<ul>
<li>as <em>SSID</em> name, enter <strong>eduroam</strong></li>
</ul>
<p><img src="https://dio.obspm.fr/tags/Eduroam/eduroam-nm-etape-5.png" alt="Network Manager: Wi-Fi: Wi-Fi tab" /></p>
<p>Step 6: select <strong>Wireless security</strong> tab to provide security settings:</p>
<ul>
<li>Security: select <strong>WPA et WPA2 entreprise</strong></li>
<li>Authentication: select <strong>Tunneled TLS</strong></li>
<li>Anonymous identity: select <strong>anonymous@obspm.fr</strong></li>
<li>CA certificate: search and select the certificate previously
downloaded at step 0
<div class="alert"><p> If one does not select here the right certificate and if <em>No CA
Certificate is Needed</em> is checked (do not do that), one will be more
vulnerable to a LDAP login/password theft, see the <a href="https://dio.obspm.fr/tags/eduroam/#rogue_ap_radius_eduroam">explanation
below</a></p>
</div></li>
<li>Internal authentication: select <strong>PAP</strong></li>
<li>Login: enter your <a href="https://dio.obspm.fr/tags/eduroam/#fql"><strong>fully qualified login</strong></a></li>
<li>Password: enter your <strong>e-mail password</strong> (Observatoire de Paris LDAP
account) ; check <strong>Show password only temporarily</strong>, just to check
if what you just entered is correct</li>
</ul>
<p>And save the profile.</p>
<p><img src="https://dio.obspm.fr/tags/Eduroam/eduroam-nm-etape-6.png" alt="Network Manager: Wi-Fi: Wi-Fi security tab" /></p>
<p>Then, select this wireless network from the Network Manager icon, the
connection should happen.</p>
<h1>FreeBSD: manual configuration <a name="freebsd"></a></h1>
<div class="info"><p>Most of the operations described below needs to have <em>root</em> privileges.</p>
</div>
<h2>Method with password storage</h2>
<div class="alert"><p>This method has the drawback to store password in clear
text into a file, don't forget the <code>chmod 0700</code></p>
</div>
<p>Create a <code>/etc/wpa_supplicant-eduroam.conf</code> file with the following
content:</p>
<pre><code>network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=TTLS
phase1="peaplabel=0"
phase2="auth=PAP"
identity="your_login@obspm.fr"
password="your_password"
}
</code></pre>
<p>Do protect the file:</p>
<pre><code>chmod 0700 /etc/wpa_supplicant-eduroam.conf
</code></pre>
<p>Then, create a virtual network interface:</p>
<pre><code>ifconfig wlan0 create wlandev PHYSICAL_INTERFACE
</code></pre>
<p>The value of <code>PHYSICAL_INTERFACE</code> for the wireless interface is found
with:</p>
<pre><code>ifconfig -a
</code></pre>
<p>Finally, launch the 802.1X (<em>supplicant</em>) and DHCP clients:</p>
<pre><code>wpa_supplicant -B -c /etc/wpa_supplicant-eduroam.conf -i wlan0
dhclient wlan0
</code></pre>
<p>to establish the connection.</p>
<h2>Alternative without password storage</h2>
<p>Create a <code>/etc/wpa_supplicant-eduroam.conf</code> file with the following
content:</p>
<pre><code>ctrl_interface=/var/run/wpa_supplicant
network={
ssid="eduroam"
key_mgmt=WPA-EAP
eap=TTLS
phase1="peaplabel=0"
phase2="auth=PAP"
identity="your_login@obspm.fr"
}
</code></pre>
<p>Then, create a virtual network interface:</p>
<pre><code>ifconfig wlan0 create wlandev PHYSICAL_INTERFACE
</code></pre>
<p>The value of <code>PHYSICAL_INTERFACE</code> for the wireless interface is found
with:</p>
<pre><code>ifconfig -a
</code></pre>
<p>Launch the 802.1X (<em>supplicant</em>) client:</p>
<pre><code>wpa_supplicant -B -c /etc/wpa_supplicant-eduroam.conf -i wlan0
</code></pre>
<p>Then, launch the CLI which will show a prompt and type the <code>password</code>
command:</p>
<pre><code>wpa_cli
password 0 your_password
</code></pre>
<div class="warning"><p>With <strong>no</strong> quotes around the password</p>
</div>
<p>In another terminal, launch the DHCP client:</p>
<pre><code>dhclient wlan0
</code></pre>
<p>to establish the connection.</p>
<h1>Filtering policy for Eduroam at the Observatoire de Paris</h1>
<p>When connected to the Eduroam network at the Observatoire de Paris,
the following filtering policy is applied:</p>
<ul>
<li><p>everything is allowed from Eduroam to the Internet, except port
TCP 25 (SMTP), to prevent spam emission</p></li>
<li><p>nothing is allowed from the Internet towards Eduroam, except
return traffic for initiated sessions</p></li>
<li><p>an Eduroam client with credentials from Observatoire is considered
as an internal trusted workstation</p></li>
<li><p>an Eduroam client with credentials from an other organisation is
considered on the outside of the Observatoire de Paris network</p></li>
</ul>
<p>Nevertheless, besides the traffic normally allowed from the Internet
towards the Observatoire, the following protocols are allowed from
Eduroam towards the Observatoire, if the target machine is accepting
them:</p>
<p>With credentials from an other organisation:</p>
<ul>
<li>web at large: HTTP, HTTPS (ports 80, 443, 8080-8090, 8443)</li>
<li>remote connection: SSH, RDP</li>
<li>printing: LPR, IPP, HP JetDirect</li>
</ul>
<p>With credentials from Observatoire:</p>
<ul>
<li>same as above</li>
<li>file transfer: FTP, AFP</li>
<li>Microsoft protocols: file sharing, shared printers</li>
<li>version control: Git, Subversion, CVS</li>
<li>databases: MySQL, PostgreSQL, Firebird</li>
<li>remote connection: VNC</li>
<li>chat: XMPP</li>
</ul>
<h1>FAQ and known problems</h1>
<p>No general problem is known for the moment, all major operating
systems in a reasonably recent version should work with CAT.</p>
<h2>Geteduroam</h2>
<p>If the cateduroam configuration does not work there is alternative
<a href="https://www.geteduroam.app/">geteduroam</a>.</p>
<h2>Fake Eduroam Access Point and Radius Service and login/password theft <a name="rogue_ap_radius_eduroam"></a></h2>
<div class="alert">FIXME : to be written</div>
<h1>To get further information</h1>
<ul>
<li><a href="http://www.eduroam.org">Eduroam in the world</a></li>
<li><a href="http://www.eduroam.fr">Eduroam in France (Renater)</a></li>
</ul>
L'Observatoire de Paris rejoint le réseau Eduroamhttps://dio.obspm.fr/Actualit%C3%A9s/Observatoire_rejoint_Eduroam/2017-04-05T21:53:11Z2013-12-04T16:02:05Z
<p>Après un travail qui s'est avéré bien plus long que prévu, la DIO est
heureuse de vous annoncer que l'Observatoire de Paris fait partie du
réseau Eduroam à partir du jeudi 5 décembre 2013.</p>
<p>En bref, c'est un service de mobilité sans fil (« wifi ») qui permet :</p>
<ul>
<li><p>aux personnels de l'Observatoire d'avoir accès au réseau sans fil
dans les autres établissements partenaires (mais aussi à
l'Observatoire), ceci avec leur compte Observatoire (messagerie)
existant ;</p></li>
<li><p>aux personnels des établissements partenaires d'avoir accès au
réseau sans fil de l'Observatoire, ceci avec leurs comptes existants
de leur établissement.</p></li>
</ul>
<p>Cela simplifie la vie sur deux aspects :</p>
<ul>
<li><p>plus besoin de créer des comptes pour les invités des établissements
partenaires ;</p></li>
<li><p>la configuration de l'ordinateur/tablette/téléphone se fait une fois
pour toutes.</p></li>
</ul>
<p>Pour avoir une idée des établissements partenaires dans le monde,
consulter <a href="https://www.eduroam.org/">eduroam.org</a>.</p>
<p>Pour configurer votre ordinateur ou objet mobile, nous vous invitons à
vous reporter à la
<a href="https://dio.obspm.fr/Syst%C3%A8me_et_r%C3%A9seau/Eduroam/">page de documentation</a>.</p>
<p>Si vous avez besoin d'une aide complémentaire, adressez-vous aux
informaticiens habituels de votre entité, ils ont eu l'occasion de se
familiariser avec la version expérimentale du réseau.</p>
<p>Le réseau sans fil « eduroam » va progressivement apparaître sur les
différentes bornes sans fil de l'Observatoire au cours de la journée
du jeudi 5 décembre.</p>