> DIO/ Système et réseau/ Réseau sans fil Eduroam à l'Observatoire
  1. Comment configurer Eduroam ?
  2. Se connecter à Eduroam (personnels Observatoire)
  3. Se connecter à Eduroam (personnels extérieurs à l'Observatoire)
  4. CAT (configuration assistée)
  5. Application mobile geteduroam
  6. iOS : détail pour CAT
  7. Microsoft Windows : configuration manuelle
  8. GNU/Linux : configuration manuelle
  9. FreeBSD : configuration manuelle
    1. Méthode avec stockage du mot de passe
    2. Variante sans stockage du mot de passe
  10. Filtrage réseau Eduroam à l'Observatoire
  11. FAQ et problèmes connus
    1. Compatibilité de CAT
    2. Geteduroam
    3. Faux point d'accès/radius Eduroam et vol d'identifiants
  12. En savoir plus

(this documentation is also available in English)

Comment configurer Eduroam ?

À l'heure de la mise à jour de cette documentation, voici les méthodes disponibles et les méthodes recommandées par la DIO pour chaque système d'exploitation (cliquer sur le lien pour avoir plus d'information) :

Système CAT méthode conseillée par la DIO
Windows > 7 manuelle
MacOS ≥ 10.7 CAT
Linux manuelle
FreeBSD   manuelle
Android ≥ 4.3 geteduroam
iOS CAT (détails)
Autre   aucune (utiliser Eduspot)

Pour les MacOS récents, utilisez impérativement CAT et ne tentez pas de vous connecter au réseau directement. Ça ne marchera pas !

Si vous avez tenté de vous connecter au réseau Eduroam, l'installation de CAT ne fonctionne pas. Il faut tout d'abord supprimer toute référence à Eduroam dans les préférences réseau et dans le gestionnaire de profil.

Pour les Windows récents, la DIO recommande la configuration manuelle à CAT pour Windows car nous estimons qu'il est plus simple de saisir un identifiant que d'installer une application. Bien sûr, vous pouvez utiliser CAT si vous préférez.

Pour les Android récents, la DIO recommande d'utiliser l'application geteduroam après avoir fait le constat que CAT ne fonctionnait pas dans certains cas.

Se connecter à Eduroam (personnels Observatoire)

À l'Observatoire, avant de vous déplacer en mission, configurer Eduroam selon une des méthodes décrites ci-dessus :

La plupart des méthodes vous demanderont de saisir votre identifiant qualifié. Il s'agit de votre identifiant de compte LDAP Observatoire (votre login de messagerie) suivi de @obspm.fr.

L'identifiant qualifié n'est pas l'adresse de messagerie

Par exemple, si vous êtes Jeanne Dupont avec l'identifiant jdupont et l'adresse de messagerie Jeanne.Dupont@obspm.fr, il faut saisir :

jdupont@obspm.fr

et surtout pas l'adresse de messagerie Jeanne.Dupont@obspm.fr.

Le mot de passe à utiliser est celui du compte de messagerie (compte LDAP).

Se connecter à Eduroam (personnels extérieurs à l'Observatoire)

Avant de venir à l'Observatoire, sur votre établissement d'origine, configurer Eduroam selon la méthode recommandée par les informaticiens de votre établissement (probablement CAT). Ceci fait, tester Eduroam sur le réseau de votre établissement. Si cela fonctionne, cela devrait fonctionner à l'Observatoire sans modification.

CAT (configuration assistée)

Pour les cas courants, la méthode la plus simple et la plus sûre est d'utiliser l'outil d'assistance à la configuration CAT (Configuration Assistant Tool).

Pour les personnels de l'Observatoire :

  • aller sur la page d'accueil CAT
  • cliquer sur « Cliquer ici pour téléchargez votre installateur eduroam »
  • sélectionner « Observatoire de Paris »
  • Cliquer sur Téléchargez votre installateur eduroam
  • exécuter (directement ou après l'avoir enregistré) le programme exécutable ainsi choisi
  • suivre les instructions du programme

Le nom d'utilisateur demandé est l'identifiant qualifié et le mot de passe est le mot de passe de messagerie (compte LDAP)

Une fois l'installation terminée, choisir le réseau eduroam dans la liste des réseaux sans-fil disponibles.

Application mobile geteduroam

Les réseaux nationaux d'enseignement supérieur et recherche d'Europe du nord ont développé une application nommée geteduroam. Elle a pour but de simplifier le processus de connexion à Eduroam pour les personnes utilisatrices finales tout en utilisant les données de CAT. On peut la voir comme une surcouche à CAT. Pour une personne utilisatrice, on pourra la voir comme une alternative à CAT. Il n'y a pas vraiment à notre connaissance de position officielle sur ce qu'il faut utiliser de préférence, CAT ou geteduroam.

Pour les personnels de l'Observatoire :

  • installer geteduroam depuis le magasin d'application (Google Play ou Apple Store, éditeur de geteduroam est SURF B. V.)
  • démarrer l'application
  • suivre les instructions du programme

Le nom d'utilisateur demandé est l'identifiant qualifié et le mot de passe est le mot de passe de messagerie (compte LDAP)

Une fois l'installation terminée, choisir le réseau eduroam dans la liste des réseaux sans-fil disponibles.

iOS : détail pour CAT

iOS : CAT téléchargement

  • Étape 2 : sélectionner « Observatoire de Paris » puis « iOS »

iOS : CAT téléchargement ios

  • Étape 3 : télécharger le module

iOS : CAT téléchargement ios cat

  • Étape 4 : installer le certificat en appuyant sur « installer »

iOS : CAT téléchargement ios cat

  • Étape 5 : dans la fenêtre de vérification, appuyer à nouveau sur « installer »

iOS : CAT vérification certificat

  • Étape 6 : l'application demande un code : il s'agit de celui qui sert à déverrouiller le téléphone

iOS : CAT vérification certificat

  • Étape 7 : aller dans les préférences et réseau wifi puis sélectionner eduroam

iOS : selection réseau

  • Étape 8 : dans la fenêtre d'authentification, saisir votre identifiant qualifié et votre mot de passe de messagerie (compte LDAP)

iOS : selection réseau

Microsoft Windows : configuration manuelle

  • se rendre dans le menu réseau en bas a gauche du bureau (normalement)

  • sélectionner le réseau Eduroam, saisir votre identifiant qualifié et votre mot de passe de messagerie (compte LDAP)

  • lors de l'affichage de l'avertissement qui vous demande si vous souhaitez poursuivre la connexion, cliquer sur Afficher les détails du certificat et vérifier que l'on a bien :

      Émis pour : FR, Île-de-France, Observatoire de Paris, radius.obspm.fr 
  Émis par : GEANT OV RSA CA 4
  Empreinte du serveur: F4 74 CA 80 BC 6A A4 89 FC 1A 40 06 3E 09 9C 23 25 DB 
  0B E2 19 F4 7B 43 D7 AE 7F 64 51 49 C2 30

  • si les informations sont bien celles ci-dessus, cliquer sur Se connecter

GNU/Linux : configuration manuelle

Cette documentation concerne Network Manager, qui est très répandu.

Cette configuration a été testée pour un système Debian 9 (Stretch) avec Network Manager version 1.6. Moyennant quelques adaptations, elle devrait fonctionner pour toutes les distributions. Les icônes et le texte peuvent légèrement varier d'une version à une autre.

Étape 0 : télécharger sur votre PC le certificat de l'autorité de certification de GÉANT TCS, actuellement opéré par Sectigo (clic droit puis Enregistrer la cible du lien sous)

Étape 1 : faire un clic droit sur l'icône de Network Manager et sélectionner Modification des connexions

Network Manager : Modification des connexions

Étape 2 : sélectionner le bouton Ajouter

Network Manager : Ajouter

Étape 3 : sélectionner le type Wi-Fi :

Network Manager : Wi-Fi

Étape 4 : créer le profil sans-fil eduroam :

  • pour le nom de la connexion, saisir eduroam
  • cocher Se connecter automatiquement si possible

Network Manager : Wi-Fi : onglet Général

Étape 5 : sélectionner l'onglet Wi-Fi :

  • pour le SSID, saisir eduroam

Network Manager : Wi-Fi : onglet Wi-Fi

Étape 6 : sélectionner l'onglet Sécurité Wi-Fi pour saisir les paramètres de sécurité :

  • Sécurité : choisir WPA et WPA2 entreprise
  • Authentification : choisir Tunneled TLS
  • Identité anonyme : saisir anonymous@obspm.fr
  • Domaine : saisir obspm.fr
  • Certificat du CA : chercher et séléctionner le certificat précédemment téléchargé lors de l'étape 0

    Si on ne spécifie pas ici le bon certificat et que l'on coche Aucun certificat CA n'est requis (ne le faites pas), on s'expose plus facilement à un vol d'identifiant LDAP, cf. l'explication plus loin

  • Authentification interne : choisir PAP
  • Nom d'utilisateur : saisir votre identifiant qualifié
  • Mot de passe : saisir le mot de passe de messagerie (compte LDAP) ; cocher Afficher le mot de passe seulement temporairement, le temps de vérifier si la saisie est correcte

Puis enregistrer le profil.

Network Manager : Wi-Fi : onglet Sécurité Wi-Fi

Ensuite, sélectionner ce réseau sans-fil depuis l'icône de Network Manager, la connexion devrait s'établir.

FreeBSD : configuration manuelle

La plupart des opérations décrites ci-dessous nécessite d'avoir les privilèges root.

Méthode avec stockage du mot de passe

Cette méthode a le grand défaut de laisser le mot de passe en clair dans un fichier, donc ne surtout pas oublier de faire le chmod 0700.

Créer un fichier /etc/wpa_supplicant-eduroam.conf contenant :

network={
    ssid="eduroam"
    key_mgmt=WPA-EAP
    eap=TTLS
    phase1="peaplabel=0"
    phase2="auth=PAP"
    identity="votre_login@obspm.fr"
    password="votre_mot_de_passe"
    }

Protéger le fichier :

chmod 0700 /etc/wpa_supplicant-eduroam.conf

Ensuite, créer une interface réseau virtuelle :

ifconfig wlan0 create wlandev INTERFACE_PHYSIQUE

La valeur de INTERFACE_PHYSIQUE de l'interface sans fil se trouve avec :

ifconfig -a

Enfin, lancer respectivement les clients 802.1X (supplicant) et DHCP :

wpa_supplicant -B -c /etc/wpa_supplicant-eduroam.conf -i wlan0
dhclient wlan0

pour établir la connexion.

Variante sans stockage du mot de passe

Créer un fichier /etc/wpa_supplicant-eduroam.conf contenant :

ctrl_interface=/var/run/wpa_supplicant
network={
    ssid="eduroam"
    key_mgmt=WPA-EAP
    eap=TTLS
    phase1="peaplabel=0"
    phase2="auth=PAP"
    identity="votre_login@obspm.fr"
    }

Ensuite, créer une interface réseau virtuelle :

ifconfig wlan0 create wlandev INTERFACE_PHYSIQUE

La valeur de INTERFACE_PHYSIQUE de l'interface sans fil se trouve avec :

ifconfig -a

Lancer le client 802.1X (supplicant) :

wpa_supplicant -B -c /etc/wpa_supplicant-eduroam.conf -i wlan0

Puis lancer la CLI qui va permettre la saisie du mot de passe :

wpa_cli
password 0 votre_mot_de_passe

Ne pas mettre de double quotes autour du mot de passe

Dans un autre terminal, lancer le client DHCP :

dhclient wlan0

pour établir la connexion.

Filtrage réseau Eduroam à l'Observatoire

Les personnes connectées à Eduroam à l'Observatoire se voient appliquer la politique de filtrage suivante :

  • tout est autorisé d'Eduroam vers l'Internet, sauf le port TCP 25 (SMTP), pour éviter l'envoi de spam

  • rien n'est autorisé de l'Internet vers Eduroam, sauf les retours des connexions IP initiées

  • un client Eduroam configuré avec un identifiant de l'Observatoire est considéré comme un poste de travail interne de confiance

  • un client Eduroam configuré avec un identifiant d'un autre établissement est considéré comme étant extérieur au réseau de l'Observatoire

Cependant, en plus de ce qui est autorisé de façon générale de l'Internet vers l'Observatoire, les protocoles suivants sont autorisés d'Eduroam vers l'Observatoire, si toutefois les serveurs destinataires les acceptent :

Avec un identifiant d'un autre établissement :

  • web au sens large : HTTP, HTTPS (ports 80, 443, 8080-8090, 8443)
  • connexion à distance : SSH, RDP
  • impression : LPR, IPP, HP JetDirect

Avec un identifiant de l'Observatoire :

  • idem ci-dessus
  • accès serveurs de fichier : FTP, AFP
  • protocoles Windows standard : serveurs de fichier, imprimantes partagées
  • gestion de version : Git, Subversion, CVS
  • bases de données : MySQL, PostgreSQL, Firebird
  • prise de contrôle à distance : VNC
  • messagerie instantanée : XMPP

FAQ et problèmes connus

Compatibilité de CAT

Aucun problème général connu pour l'instant, tout système d'exploitation courant dans une version raisonnablement récente devrait pouvoir fonctionner avec CAT.

Geteduroam

Si la configuration CAT eduroam ne fonctionnait pas, il existe une alternative geteduroam.

Faux point d'accès/radius Eduroam et vol d'identifiants

FIXME : à rédiger

En savoir plus