https://wiki.irenala.edu.mg/api.php?action=feedcontributions&feedformat=atom&user=SantatraWiki iRENALA - Contributions de l’utilisateur [fr]2026-04-22T08:30:58ZContributions de l’utilisateurMediaWiki 1.22.6//wiki.irenala.edu.mg/wiki/Les_s%C3%A9minaires_organis%C3%A9s_par_i_RENALALes séminaires organisés par i RENALA2017-12-01T07:39:33Z<p>Santatra : </p>
<hr />
<div>* [[2010-11-09_au_2010-11-12_:_INFO%27Sup_2010 | InfoSup2010, 09-12 novembre 2010 ]]<br />
* [[Gestion et monitoring | CIDST, 19-23 mai 2014]]<br />
* [{{SERVER}}/tour17/artec ARTEC, avril 2017]<br />
* [{{SERVER}}/tour17/univ-diego Université d'Antsiranana, 29-31 mai 2017]<br />
* [{{SERVER}}/tour17/ist-d IST Antsiranana, 31 mai - 02 juin 2017]<br />
* [{{SERVER}}/tour17/univ-toliara Université de Toliara, 06-09 juin 2017]<br />
* [{{SERVER}}/infosup17 InfoSup2017, 22-25 août 2017]</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T11:01:54Z<p>Santatra : /* Configuration des clients */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email institutionnelle:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion à distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Serveur RADIUS ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* Radius: freeradius 3.0.12+dfsg-5<br />
<br />
=== Configuration ===<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Serveur RadSec ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* RadSec: radsecproxy 1.6.8-1<br />
<br />
=== Configuration ===<br />
La configuration ci-dessous suppose que RadSec est installé sur le serveur Radius.<br />
<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Serveur proxy national ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 adm64<br />
* RadSec: radsecproxy 1.6.8-1<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificats pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.<br />
<br />
= Configuration des clients =<br />
== Microsoft Windows ==<br />
== GNU/Linux ==<br />
== Android ==<br />
== IOS ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T11:00:57Z<p>Santatra : /* Script de génération de certificats pour une institution */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email institutionnelle:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion à distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Serveur RADIUS ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* Radius: freeradius 3.0.12+dfsg-5<br />
<br />
=== Configuration ===<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Serveur RadSec ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* RadSec: radsecproxy 1.6.8-1<br />
<br />
=== Configuration ===<br />
La configuration ci-dessous suppose que RadSec est installé sur le serveur Radius.<br />
<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Serveur proxy national ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 adm64<br />
* RadSec: radsecproxy 1.6.8-1<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificats pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.<br />
<br />
= Configuration des clients =</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T11:00:08Z<p>Santatra : /* Accès au service */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email institutionnelle:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion à distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Serveur RADIUS ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* Radius: freeradius 3.0.12+dfsg-5<br />
<br />
=== Configuration ===<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Serveur RadSec ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* RadSec: radsecproxy 1.6.8-1<br />
<br />
=== Configuration ===<br />
La configuration ci-dessous suppose que RadSec est installé sur le serveur Radius.<br />
<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Serveur proxy national ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 adm64<br />
* RadSec: radsecproxy 1.6.8-1<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificats pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:59:47Z<p>Santatra : /* Accès au service */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email institutionnelle:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Serveur RADIUS ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* Radius: freeradius 3.0.12+dfsg-5<br />
<br />
=== Configuration ===<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Serveur RadSec ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* RadSec: radsecproxy 1.6.8-1<br />
<br />
=== Configuration ===<br />
La configuration ci-dessous suppose que RadSec est installé sur le serveur Radius.<br />
<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Serveur proxy national ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 adm64<br />
* RadSec: radsecproxy 1.6.8-1<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificats pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:59:01Z<p>Santatra : /* Équipements nécessaires pour la mise en œuvre */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Serveur RADIUS ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* Radius: freeradius 3.0.12+dfsg-5<br />
<br />
=== Configuration ===<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Serveur RadSec ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* RadSec: radsecproxy 1.6.8-1<br />
<br />
=== Configuration ===<br />
La configuration ci-dessous suppose que RadSec est installé sur le serveur Radius.<br />
<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Serveur proxy national ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 adm64<br />
* RadSec: radsecproxy 1.6.8-1<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificats pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:58:50Z<p>Santatra : /* Équipements nécessaires pour la mise en œuvre */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Serveur RADIUS ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* Radius: freeradius 3.0.12+dfsg-5<br />
<br />
=== Configuration ===<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Serveur RadSec ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* RadSec: radsecproxy 1.6.8-1<br />
<br />
=== Configuration ===<br />
La configuration ci-dessous suppose que RadSec est installé sur le serveur Radius.<br />
<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Serveur proxy national ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 adm64<br />
* RadSec: radsecproxy 1.6.8-1<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificats pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:56:38Z<p>Santatra : /* Description du serveur */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Serveur RADIUS ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* Radius: freeradius 3.0.12+dfsg-5<br />
<br />
=== Configuration ===<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Serveur RadSec ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* RadSec: radsecproxy 1.6.8-1<br />
<br />
=== Configuration ===<br />
La configuration ci-dessous suppose que RadSec est installé sur le serveur Radius.<br />
<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Serveur proxy national ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 adm64<br />
* RadSec: radsecproxy 1.6.8-1<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificats pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:56:25Z<p>Santatra : /* Description du serveur */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Serveur RADIUS ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 x86_64<br />
* Radius: freeradius 3.0.12+dfsg-5<br />
=== Configuration ===<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Serveur RadSec ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 amd64<br />
* RadSec: radsecproxy 1.6.8-1<br />
<br />
=== Configuration ===<br />
La configuration ci-dessous suppose que RadSec est installé sur le serveur Radius.<br />
<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Serveur proxy national ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 adm64<br />
* RadSec: radsecproxy 1.6.8-1<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificats pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:56:13Z<p>Santatra : /* Configuration du serveur proxy national */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Serveur RADIUS ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 x86_64<br />
* Radius: freeradius 3.0.12+dfsg-5<br />
=== Configuration ===<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Serveur RadSec ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 x86_64<br />
* RadSec: radsecproxy 1.6.8-1<br />
=== Configuration ===<br />
La configuration ci-dessous suppose que RadSec est installé sur le serveur Radius.<br />
<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Serveur proxy national ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 adm64<br />
* RadSec: radsecproxy 1.6.8-1<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificats pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:54:04Z<p>Santatra : /* Configuration */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Serveur RADIUS ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 x86_64<br />
* Radius: freeradius 3.0.12+dfsg-5<br />
=== Configuration ===<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Serveur RadSec ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 x86_64<br />
* RadSec: radsecproxy 1.6.8-1<br />
=== Configuration ===<br />
La configuration ci-dessous suppose que RadSec est installé sur le serveur Radius.<br />
<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Configuration du serveur proxy national ==<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificats pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:53:46Z<p>Santatra : /* Configuration du serveur Radsec */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Serveur RADIUS ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 x86_64<br />
* Radius: freeradius 3.0.12+dfsg-5<br />
=== Configuration ===<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Serveur RadSec ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 x86_64<br />
* RadSec: radsecproxy 1.6.8-1<br />
=== Configuration ===<br />
La configuration ci-dessous suppose que RadSec est installé sur le serveur Radius.<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Configuration du serveur proxy national ==<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificats pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:51:27Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Serveur RADIUS ==<br />
=== Description du serveur ===<br />
* OS: Debian GNU/Linux 9.1 x86_64<br />
* Radius: freeradius 3.0.12+dfsg-5<br />
=== Configuration ===<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur Radsec ==<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Configuration du serveur proxy national ==<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificats pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:45:36Z<p>Santatra : /* Configuration du serveur proxy national */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur Radsec ==<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Configuration du serveur proxy national ==<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificats pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:45:16Z<p>Santatra : /* Script de génération de certificat pour une institution */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur Radsec ==<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Configuration du serveur proxy national ==<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificats pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:43:32Z<p>Santatra : /* Spécifications techniques */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur Radsec ==<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Configuration du serveur proxy national ==<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificat pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:40:18Z<p>Santatra : /* Spécifications techniques */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
| WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur Radsec ==<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Configuration du serveur proxy national ==<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificat pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:39:51Z<p>Santatra : /* Spécifications techniques */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur Radsec ==<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Configuration du serveur proxy national ==<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificat pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:38:13Z<p>Santatra : /* Configuration du serveur RadSec */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur Radsec ==<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Configuration du serveur proxy national ==<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificat pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:38:01Z<p>Santatra : /* Configuration du serveur RadSec */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Configuration du serveur proxy national ==<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificat pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:37:45Z<p>Santatra : /* Configuration du serveur RadSec */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<u>Fichier</u>: /etc/radsecproxy.conf <br />
ListenUDP *:11812<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/radius.irenala.edu.mg.key<br />
}<br />
<br />
client localhost {<br />
type udp<br />
secret ******<br />
}<br />
<br />
server localhost {<br />
type udp<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
client nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
}<br />
<br />
server nrps.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
certificatenamecheck off<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server localhost<br />
}<br />
<br />
realm * {<br />
server nrps.irenala.edu.mg<br />
}<br />
<br />
== Configuration du serveur proxy national ==<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificat pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:33:29Z<p>Santatra : /* Script de génération de certificat pour une institution */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificat pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
<u>REMARQUE</u>: Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:33:05Z<p>Santatra : /* Script de génération de certificat pour une institution */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificat pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
<br />
''RAMARQUE'': Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:32:07Z<p>Santatra : /* Configuration du serveur RadSec */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
=== Radsecproxy ===<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
=== Script de génération de certificat pour une institution ===<br />
<u>Fichier</u>: /etc/ssl/radsecproxy/generate-client.sh<br />
#!/bin/bash<br />
# generate-client - Create client key-pair for MQTT signed by CA<br />
#<br />
# The key is not encrypted so that the certificate can be used on<br />
# embedded devices.<br />
<br />
# Copyright 2015 Jerry Dunmire <jedunmire-AT-gmail><br />
# All rights reserved.<br />
# <br />
# Redistribution and use in source and binary forms, with or without<br />
# modification, are permitted provided that the following conditions are met:<br />
# <br />
# 1. Redistributions of source code must retain the above copyright notice,<br />
# this list of conditions and the following disclaimer.<br />
# 2. Redistributions in binary form must reproduce the above copyright<br />
# notice, this list of conditions and the following disclaimer in the<br />
# documentation and/or other materials provided with the distribution.<br />
# 3. Neither the name of mosquitto nor the names of its<br />
# contributors may be used to endorse or promote products derived from<br />
# this software without specific prior written permission.<br />
# <br />
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"<br />
# AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE<br />
# IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE<br />
# ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE<br />
# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR<br />
# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF<br />
# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS<br />
# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN<br />
# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)<br />
# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE<br />
# POSSIBILITY OF SUCH DAMAGE.<br />
<br />
#<br />
# Usage:<br />
# ./generate-client.sh client_name<br />
# creates client_name{key,crt}<br />
set -e<br />
<br />
if [ -n "$1" ]; then<br />
client="$1"<br />
else<br />
echo "ERROR: missing client_name argument." >&2<br />
echo "USAGE: $0 client_name" >&2<br />
echo "exiting... " >&2<br />
exit 1<br />
fi<br />
<br />
[ -z "$USER" ] && USER=root<br />
<br />
DIR=${TARGET:='.'}<br />
# CA_ORG set to match generate-CA.sh<br />
CA_ORG='/O=iRENALA/emailAddress=admin@irenala.edu.mg'<br />
CACERT=${DIR}/ca<br />
CLIENT="${DIR}/${client}"<br />
CLIENT_DN="/CN=${client}$CA_ORG"<br />
keybits=4096<br />
openssl=$(which openssl)<br />
<br />
function maxdays() {<br />
nowyear=$(date +%Y)<br />
years=$(expr 2032 - $nowyear)<br />
days=$(expr $years '*' 365)<br />
<br />
echo $days<br />
}<br />
<br />
days=$(maxdays)<br />
<br />
if [ ! -f $CACERT.crt ]<br />
then<br />
echo "ERROR: Could not find CA certificate: $CACERT.crt" >&2<br />
echo "Exiting..." >&2<br />
exit 1<br />
fi<br />
<br />
if [ ! -f $CLIENT.key ]<br />
then<br />
echo "--- Creating client key and signing request"<br />
echo "--- WARNING: key is not encrypted, keep it safe!"<br />
$openssl genrsa -out $CLIENT.key $keybits<br />
$openssl req -new \<br />
-out $CLIENT.csr \<br />
-key $CLIENT.key \<br />
-subj "${CLIENT_DN}"<br />
chmod 400 $CLIENT.key<br />
fi<br />
<br />
if [ -f $CLIENT.csr -a ! -f $CLIENT.crt ]<br />
then<br />
echo "--- Creating and signing client certificate"<br />
$openssl x509 -req \<br />
-in $CLIENT.csr \<br />
-CA $CACERT.crt \<br />
-CAkey $CACERT.key \<br />
-CAserial "${DIR}/ca.srl" \<br />
-out $CLIENT.crt \<br />
-days $days \<br />
-extensions client_cert \<br />
-addtrust clientAuth<br />
<br />
chmod 444 $CLIENT.crt<br />
fi<br />
''RAMARQUE'': Une fois le certificat généré, les deux fichiers '''.key''' et '''.crt''' seront envoyés à l'institution avec le fichier '''ca.crt''' pour configurer leur instance de Radsec.<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T10:26:55Z<p>Santatra : /* Configuration du serveur RadSec */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<u>Fichier</u>: /etc/radsecproxy.conf<br />
LogLevel 5<br />
LogDestination file:///var/log/radsecproxy.log<br />
LoopPrevention on<br />
<br />
tls default {<br />
CACertificateFile /etc/ssl/radsecproxy/ca.crt<br />
CertificateFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.crt<br />
CertificateKeyFile /etc/ssl/radsecproxy/nrps.irenala.edu.mg.key<br />
}<br />
<br />
client radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.irenala.edu.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm irenala.edu.mg {<br />
server radius.irenala.edu.mg<br />
}<br />
<br />
client radius.mgix.mg {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server radius.mgix.mg {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm mgix.mg {<br />
server radius.mgix.mg<br />
}<br />
<br />
client auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
certificatenamecheck off<br />
}<br />
<br />
server auth1.mg.auf.org {<br />
type tls<br />
secret ******<br />
statusserver on<br />
}<br />
<br />
realm auf.org {<br />
server auth1.mg.auf.org<br />
}<br />
<br />
realm * {<br />
replymessage "User unknown"<br />
}<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T09:21:45Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T09:21:12Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/clients.conf<br />
client localhost {<br />
ipaddr = 127.0.0.1<br />
proto = *<br />
secret = ***********<br />
require_message_authenticator = no<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
client uap {<br />
ipaddr = 41.242.99.196<br />
secret = ***********<br />
}<br />
client serveur {<br />
ipaddr = 41.242.96.38<br />
secret = ***********<br />
nastype = other<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T09:18:41Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</u>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T09:17:59Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T09:17:50Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</>: /etc/freeradius/3.0/radiusd.conf<br />
prefix = /usr<br />
exec_prefix = /usr<br />
sysconfdir = /etc<br />
localstatedir = /var<br />
sbindir = ${exec_prefix}/sbin<br />
logdir = /var/log/freeradius<br />
raddbdir = /etc/freeradius<br />
radacctdir = ${logdir}/radacct<br />
name = freeradius<br />
confdir = ${raddbdir}<br />
modconfdir = ${confdir}/mods-config<br />
certdir = ${confdir}/certs<br />
cadir = ${confdir}/certs<br />
run_dir = ${localstatedir}/run/${name}<br />
db_dir = ${raddbdir}<br />
libdir = /usr/lib/freeradius<br />
pidfile = ${run_dir}/${name}.pid<br />
correct_escapes = true<br />
max_request_time = 30<br />
cleanup_delay = 5<br />
max_requests = 16384<br />
hostname_lookups = no<br />
<br />
log {<br />
destination = files<br />
colourise = yes<br />
file = ${logdir}/radius.log<br />
syslog_facility = daemon<br />
stripped_names = no<br />
auth = no<br />
auth_badpass = no<br />
auth_goodpass = no<br />
msg_denied = "You are already logged in - access denied"<br />
}<br />
<br />
checkrad = ${sbindir}/checkrad<br />
<br />
security {<br />
user = freerad<br />
group = freerad<br />
allow_core_dumps = no<br />
max_attributes = 200<br />
reject_delay = 1<br />
status_server = yes<br />
}<br />
<br />
proxy_requests = yes<br />
$INCLUDE proxy.conf<br />
$INCLUDE clients.conf<br />
<br />
thread pool {<br />
start_servers = 5<br />
max_servers = 32<br />
min_spare_servers = 3<br />
max_spare_servers = 10<br />
max_requests_per_server = 0<br />
auto_limit_acct = no<br />
}<br />
<br />
modules {<br />
$INCLUDE mods-enabled/<br />
}<br />
<br />
instantiate {<br />
}<br />
<br />
policy {<br />
$INCLUDE policy.d/<br />
}<br />
<br />
$INCLUDE sites-enabled/<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<u>Fichier</>: /etc/freeradius/3.0/proxy.conf<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T09:14:06Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/sites-enabled/default<br />
server default {<br />
listen {<br />
type = auth<br />
ipv4addr = *<br />
port = 0<br />
limit {<br />
max_connections = 16<br />
lifetime = 0<br />
idle_timeout = 30<br />
}<br />
}<br />
<br />
listen {<br />
ipv4addr = *<br />
port = 0<br />
type = acct<br />
limit {<br />
}<br />
}<br />
<br />
authorize {<br />
filter_username<br />
preprocess<br />
chap<br />
mschap<br />
digest<br />
suffix<br />
eap {<br />
ok = return<br />
}<br />
files<br />
-sql<br />
-ldap<br />
expiration<br />
logintime<br />
pap<br />
}<br />
<br />
authenticate {<br />
Auth-Type PAP {<br />
pap<br />
}<br />
Auth-Type CHAP {<br />
chap<br />
}<br />
Auth-Type MS-CHAP {<br />
mschap<br />
}<br />
mschap<br />
digest<br />
eap<br />
}<br />
<br />
preacct {<br />
preprocess<br />
acct_unique<br />
suffix<br />
files<br />
}<br />
<br />
accounting {<br />
detail<br />
unix<br />
-sql<br />
exec<br />
attr_filter.accounting_response<br />
}<br />
<br />
session {<br />
}<br />
<br />
post-auth {<br />
update {<br />
&reply: += &session-state:<br />
}<br />
-sql<br />
exec<br />
remove_reply_message_if_eap<br />
Post-Auth-Type REJECT {<br />
-sql<br />
attr_filter.access_reject<br />
eap<br />
remove_reply_message_if_eap<br />
}<br />
}<br />
<br />
pre-proxy {<br />
}<br />
<br />
post-proxy {<br />
eap<br />
}<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T09:11:02Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<u>Fichier</u>: /etc/freeradius/3.0/<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T09:10:01Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
'Fichier': /etc/freeradius/3.0/<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = *******<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = *******<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T09:09:09Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
'''Fichier''': /etc/freeradius/3.0/<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = i-RENALA<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = radsec<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T09:08:36Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
'''Fichier''': /etc/freeradius/3.0/<br />
proxy server {<br />
default_fallback = no<br />
}<br />
<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = i-RENALA<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
<br />
realm LOCAL {<br />
}<br />
<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
<br />
realm irenala.edu.mg {<br />
}<br />
<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = radsec<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T09:07:29Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
'''Fichier''': /etc/freeradius/3.0/<br />
proxy server {<br />
default_fallback = no<br />
}<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = i-RENALA<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
realm LOCAL {<br />
}<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
realm irenala.edu.mg {<br />
}<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = radsec<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T09:06:53Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
'''Fichier''': /etc/freeradius/3.0/<br />
proxy server {<br />
default_fallback = no<br />
}<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = i-RENALA<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
realm LOCAL {<br />
}<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
realm irenala.edu.mg {<br />
}<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = radsec<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T09:05:15Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
'''Fichier''': /etc/freeradius/3.0/<br />
proxy server {<br />
default_fallback = no<br />
}<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = i-RENALA<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
realm LOCAL {<br />
}<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
realm irenala.edu.mg {<br />
}<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = radsec<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T09:04:20Z<p>Santatra : /* Configuration du serveur RADIUS */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
[[Fichier]]: /etc/freeradius/3.0/<br />
proxy server {<br />
default_fallback = no<br />
}<br />
home_server localhost {<br />
type = auth<br />
ipaddr = 127.0.0.1<br />
port = 1812<br />
secret = i-RENALA<br />
response_window = 20<br />
zombie_period = 40<br />
revive_interval = 120<br />
status_check = status-server<br />
check_interval = 30<br />
check_timeout = 4<br />
num_answers_to_alive = 3<br />
max_outstanding = 65536<br />
coa {<br />
irt = 2<br />
mrt = 16<br />
mrc = 5<br />
mrd = 30<br />
}<br />
limit {<br />
max_connections = 16<br />
max_requests = 0<br />
lifetime = 0<br />
idle_timeout = 0<br />
}<br />
}<br />
home_server_pool my_auth_failover {<br />
type = fail-over<br />
home_server = localhost<br />
}<br />
realm LOCAL {<br />
}<br />
home_server blackhole {<br />
virtual_server = blackhole<br />
}<br />
home_server_pool blackhole_pool {<br />
home_server = blackhole<br />
name = blackhole<br />
}<br />
realm NULL {<br />
auth_pool = blackhole_pool<br />
}<br />
realm irenala.edu.mg {<br />
}<br />
home_server radsecproxy {<br />
type = auth+acct<br />
ipaddr = 127.0.0.1<br />
port = 11812<br />
secret = radsec<br />
require_message_authenticator = yes<br />
response_window = 20<br />
zombie_period = 40<br />
status_check = status-server<br />
check_interval = 20<br />
num_answers_to_alive = 3<br />
}<br />
home_server_pool pool-eduroam-mg {<br />
home_server = radsecproxy<br />
<br />
}<br />
realm DEFAULT {<br />
auth_pool = pool-eduroam-mg<br />
nostrip<br />
}<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T08:39:14Z<p>Santatra : /* Architecture technique */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br><br />
== Configuration du serveur RADIUS ==<br />
<br />
== Configuration du serveur RadSec ==<br />
<br />
== Configuration du serveur proxy national ==</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T08:11:57Z<p>Santatra : /* Équipements nécessaires pour la mise en œuvre */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br></div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T08:11:27Z<p>Santatra : /* Équipements nécessaires pour la mise en œuvre */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation à installer, ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 1.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br></div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T07:00:30Z<p>Santatra : /* Architecture technique */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation à installer, ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 3.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |center| Infrastructure technique]]<br></div>Santatra//wiki.irenala.edu.mg/wiki/Fichier:Eduroam.pngFichier:Eduroam.png2017-08-27T06:59:42Z<p>Santatra : </p>
<hr />
<div></div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T06:59:28Z<p>Santatra : </p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation à installer, ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 3.0 GHz<br />
<br />
= Architecture technique =<br />
[[Fichier:Eduroam.png |800px|center| Infrastructure technique]]<br></div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T06:58:07Z<p>Santatra : /* Principe de fonctionnement */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau du proxy sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation à installer, ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 3.0 GHz</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T06:57:39Z<p>Santatra : /* Principe de fonctionnement */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau de "eduroam.edu.mg" sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |800px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation à installer, ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 3.0 GHz</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T06:57:31Z<p>Santatra : /* Principe de fonctionnement */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau de "eduroam.edu.mg" sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |600px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation à installer, ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 3.0 GHz</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T06:57:19Z<p>Santatra : /* Principe de fonctionnement */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau de "eduroam.edu.mg" sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |1024px|center| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation à installer, ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 3.0 GHz</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T06:56:56Z<p>Santatra : /* Principe de fonctionnement */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau de "eduroam.edu.mg" sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg | Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation à installer, ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 3.0 GHz</div>Santatra//wiki.irenala.edu.mg/wiki/EduroamEduroam2017-08-27T06:56:26Z<p>Santatra : /* Principe de fonctionnement */</p>
<hr />
<div><br />
= Description du projet =<br />
<br />
Le projet eduroam (http://www.eduroam.org), est un projet européen dont l'objectif est de permettre à tout personnel d'établissement participant au projet (universités, écoles d'ingénieurs, etc.), de toujours pouvoir se connecter à Internet lors d'un déplacement chez un autre établissement membre d'eduroam, ce avec son identifiant/mot de passe usuel. Typiquement, un chercheur en déplacement pourra donc se connecter à Internet et aux éventuels services proposés par l'établissement qui l'accueil (tous ne proposent pas nécessairement les mêmes services), par exemple à partir d'un point d'accès sans fil (Wi-Fi) de l'université qui l'accueille.<br />
<br />
eduroam se propose de développer cela en minimisant les coûts et les démarches de déploiement, c'est à dire en simplifiant au maximum la coordination des universités ou centres de recherche, tout en assurant un service sécurisé de qualité.<br />
<br />
De nombreux pays sont d' ores et déjà membres du projet, qui maintenant s'étend au delà de l'Europe (à l'heure actuelle 26 pays européens ainsi que Taïwan et l'Australie), et donc dans un futur proche de nombreux établissements de l'enseignement supérieur proposeront le service offert par eduroam, dont nous à Madagascar.<br />
= Principe de fonctionnement =<br />
<br />
* L'utilisateur se connecte avec le(s) même(s) identifiant/mot de passe/certificat que sur son site d'origine<br />
* Système d'authentification réparti reposant sur une hiérarchie de serveurs RADIUS<br />
* Le serveur racine est géré par TERENA (Amsterdam)<br />
* Le serveur national au niveau de "eduroam.edu.mg" sera géré par i RENALA<br />
[[Fichier:Eduroam.jpg |600px|thumb|left| Infrastructure eduroam]]<br><br />
<br />
= Utilisation de eduroam en interne =<br />
<br />
<u>'''Les avantages'''</u><br />
<br />
Si eduroam est initialement destiné à être utilisé lors de vos déplacements, vous avez tout intérêt à l'utiliser dans l'enceinte de l'établissement:* La connexion à eduroam est chiffrée. La sécurité des échanges est donc renforcée. <br />
* La connexion à eduroam vous dispense de vous réauthentifier sur le portail captif à chaque utilisation. <br />
* Il est sans doute préférable de tester cette configuration dans nos murs plutôt que lors de votre déplacement pendant lequel, de fait, vous n'aurez pas accès à internet pour lire les documentations correspondantes .…<br />
<br />
<br />
<u>'''Les inconvénients'''</u><br />
<br />
La configuration d'eduroam peut être plus fastidieuse (postes Windows) que l'utilisation des réseaux wifi actuels. Cependant, un manuel de configuration sera élaboré afin d'assister les utilisateurs pour se connecter à eduroam.<br />
<br />
= Charte =<br />
<br />
L'utilisation de ce service imposera le respect d'une charte qui va être mis à la disposition des utilisateurs aussitôt que le service sera fonctionnel.<br />
<br />
Elle engagera à :<br />
* Mettre en œuvre un service d'authentification conforme aux spécifications techniques<br />
* En tant qu'établissement de rattachement :<br />
** Informer ses utilisateurs : existence du service, manière d'y accéder, respect des règles d'utilisation des réseaux visités<br />
** Offrir une assistance technique aux utilisateurs<br />
* En tant qu'établissement visité :<br />
** Mettre en œuvre le service au travers de points d'accès sans fil<br />
** Informer les visiteurs sur l'existence du service et ses conditions d'utilisation<br />
* Sécurité du service :<br />
** Chiffrement de bout en bout des données d'authentification<br />
** Chiffrement efficace sur les points d'accès sans fil<br />
** Sécurité des serveurs RADIUS<br />
** Traces : pouvoir identifier l'utilisateur d'une adresse IP à un moment donné<br />
<br />
= Spécifications techniques =<br />
<br />
* Nom de domaine (realm RADIUS) : en principe un domaine DNS, doit se terminer par «&nbsp;.mg&nbsp;»<br />
* Radio : 802.11b/g/n<br />
* SSID : « eduroam », diffusé<br />
* Authentification : 802.1X + EAP-TLS, TTLS ou PEAP (à l'exclusion de tout autre)<br />
* Chiffrement du lien radio : AES ou TKIP<br />
* Offre d'un service DHCP aux clients<br />
* Protection du réseau d'accueil vis-à-vis de l'extérieur en utilisant un parefeu<br />
<br />
* Services réseau accessibles<br />
** Il ne devrait pas y avoir de filtrage en sortie<br />
** A défaut, les services suivants doivent être autorisés :<br />
*** HTTP, HTTPS<br />
*** DNS<br />
*** ICMP (echo request, echo reply)<br />
*** IPsec (ESP, AH, IKE)<br />
*** OpenVPN<br />
*** SSH<br />
*** POPs, IMAPs<br />
*** NTP<br />
*** SMTP<br />
<br />
<br />
<br />
Le tableau suivant définit les prérequis réseau pour eduroam:<br />
<br />
<br />
{| style="border-spacing:0;margin:auto;width:6.3in;"<br />
|-<br />
| colspan="3" style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Propriétés générales'''<br />
| colspan="4" style="border:0.05pt solid #000000;padding:0.0382in;" | '''Propriétés IEEE 802.11'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''NAS'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv6'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''IPv4'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WEP'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''WPA2'''<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | '''SSIDs'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | 802.1X<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| colspan="2" style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | WEP non-autorisé<br />
<br />
WPA non-autorisé pour les nouvelles installations<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Autorisé<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | eduroam<br />
|-<br />
|}<br />
<br />
= Accès au service =<br />
<br />
<u>'''Identifiants'''</u><br />
<br />
Pour les membres:<br />
* le nom d'utilisateur sera votre''' '''adresse email:''' prenom.nom@<nom_domaine>.mg '''<br />
* le mot de passe sera votre mot de passe habituel (connexion à votre poste de travail, connexion au webmail, connexion distante, etc.) <br />
<br />
<br />
<u>'''Modalités d'accès'''</u><br />
<br />
Doit être ouvert automatiquement à la création du compte informatique de la personne.<br />
<br />
= Public concerné =<br />
<br />
* Invités<br />
* Étudiants<br />
* Personnels d'établissement<br />
* Enseignants<br />
* Chercheurs<br />
<br />
= Équipements nécessaires pour la mise en œuvre =<br />
<br />
<div style="color:#00000a;">Le tableau ci-dessous fournit un exemple de liste d’équipements nécessaires pour mettre en place eduroam&nbsp;:</div><br />
<br />
<br />
{| style="border-spacing:0;width:6.6979in;"<br />
|-<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Équipement'''<br />
| style="border-top:0.05pt solid #000000;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | '''Modèle'''<br />
| style="border:0.05pt solid #000000;padding:0.0382in;" | '''Spécification'''<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Point d'accès sans fil<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Aironet 2700 Series <br>Ubiquiti UniFi Pro<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support des normes 802.11 et 802.1X<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Switch<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco Catalyst 2960 Series<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | Support de la technologie VLAN<br />
|-<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Routeur<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:none;padding:0.0382in;" | Cisco 2900 Series ISR<br>Mikrotik Routerboard<br />
| style="border-top:none;border-bottom:0.05pt solid #000000;border-left:0.05pt solid #000000;border-right:0.05pt solid #000000;padding:0.0382in;" | <br />
|-<br />
|}<br />
<br />
A part cette liste, nous aurons également besoin d'un serveur RADIUS pour gérer les authentifications, dont les spécifications sont:* Modèle en rack ou tour<br />
* Double alimentation<br />
* Carte réseau Ethernet ou GigabitEthernet supportant la technologie VLAN <br />
* Disque dur en RAID, de capacité supérieure à 60Go, cette valeur depend du système d’exploitation à installer, ainsi que des options de logs (traces)<br />
* Mémoire RAM 1 Go<br />
* Microprocesseur 3.0 GHz</div>Santatra