Service eduroam

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 05/03/13
  • Correction mineure : 31/05/13
  • Auteur : Denis Mirassou (Université Toulouse 3 Paul Sabatier, DTSI, département Système Réseau et Télécom)
  • Responsable thématique : David Rousse
Mots-clés

Service eduroam

  • http://www.renater.fr/eduroam
  • Type de ressource : service
  • Date de publication du document ou de l'événement : 2003
  • Auteur(s) ou responsable(s) : RENATER
  • Contact pour plus d'informations : support-eduroam_AT_support.renater.fr

Ce document a été rédigé par Denis Mirassou (Université Toulouse 3), avec l'aide de Dominique Launay (RENATER), Alain Péan (CNRS/LPN), Jean-Pierre Feuillerat (CNRS/DSI), Vincent Carpier (Université de la Réunion), Xavier Marty (Université Toulouse 1) et Erwann Thoraval (IRCAM Paris). Il a été relu par Patrice Hérault (CRI, Université de Marne-la-Vallée).

Description du service :

eduroam, pour Education Roaming, est un service de mobilité d'authentification international proposé par RENATER (pour la France) utilisable notamment pour accéder de manière sécurisée et authentifiée à l'Internet en Wi-Fi depuis tout établissement d'Education ou de Recherche ayant souscrit et déployé le service.

En pratique, la procédure d'authentification utilisateur sur le Wi-Fi est établie de façon sécurisée (cryptée) et transparente (même login et mot de passe) entre l'établissement d'origine de l'utilisateur et l'établissement d'accueil. Lors de ses déplacements (en France et à l'étranger) dans un autre établissement ou laboratoire, l’authentification d’un utilisateur est faite par son établissement de rattachement au travers d’une hiérarchie de serveurs RADIUS selon le standard 802.1x.

Avec plus de 160 établissements Français impliqués à ce jour et un millier d'usagers par jour en moyenne pour ce service, eduroam représente un service pratique d’accès internet via le Wi-Fi en déplacement en France ou à l'étranger (plus de 50 pays membres, 5000 lieux couverts en Europe).

Modalités d'accès au service :

Le service étant administré par Renater pour la France, il faut faire une demande de modification d’agrément via l'interface SAGA.

L'établissement désireux de rejoindre la communauté eduroam doit alors indiquer un contact technique local eduroam, l'url d'une ressource de support utilisateur local ainsi que quelques paramètres techniques (compte utilisateur eduroam local pour le monitoring national, etc...).

On ne peut avoir accès à ce service que si l'on est membre de la communauté éducation / recherche.

Clients/utilisateurs du service :

Les utilisateurs du service sont les personnels administratifs/enseignants/chercheurs et étudiants des établissements d'éducation et de recherche.

Fournisseur du service :

Au niveau national, c'est RENATER qui gère les RADIUS centraux de la fédération nationale eduroam. Les fédérations nationales des pays participants sont regroupées en confédérations, qui constituent ensuite des confédérations régionales (Amérique du Nord, Asie-Pacifique, Europe). La gouvernance mondiale est assurée par le comité de la gouvernance mondiale eduroam constitué de membres des confédérations régionales.

L'association Géant gérant le réseau pan-Européen de l'éducation et de la recherche assure les rémunérations des membres de la gouvernance mondiale ainsi que la logistique de secrétariat.

Technologie d'implémentation du service :

L'implémentation du service est assez simple et repose sur le standard 802.1x. Il suffit d'un service RADIUS (implémentable à l'aide de logiciels libres, comme FreeRadius, ou de logiciels commerciaux) sur le site client ayant connaissance des utilisateurs locaux (fichier local, annuaire LDAP, SGBD SQL, relais RADIUS, ...). Celui ci aura pour rôle de retransmettre (rôle de relais ou proxy) les requêtes des utilisateurs "externes" ou "invités" vers les RADIUS nationaux et de répondre aux requêtes de ces mêmes RADIUS lorsqu'un utilisateur local est en déplacement sur un site distant. A noter que chaque établissement doit conserver les journaux de connexion selon la réglementation en vigueur.

Le cas échéant (déplacement à l'étranger), les RADIUS nationaux impliqués se relaieront les requêtes des utilisateurs.

Dans le cas d'un déplacement à l'étranger sur un autre continent, les RADIUS régionaux (Europe, Asie-Pacifique) serviront d'intermédiaires aux radius nationaux.

Service Level Agreement (SLA) du service :

En France, le service RADIUS central est redondé (GIP-Renater Paris et Université de Strasbourg) et opéré par RENATER.

Les RADIUS des confédérations régionales sont également redondés : Danemark (UNI-C) et Pays-Bas (Surfnet) pour la confédération régionale Européenne, Australie et Hong-Kong pour la confédération Asie-Pacifique.

Coût du service :

Intégré dans les coûts payés par les établissements pour RENATER pour ce qui concerne le service RADIUS national, à la charge des établissements participants pour le service RADIUS eduroam de chaque établissement.

Fonctions annexes du service :

Un service de test est en place permettant de préparer la mise en place du service sur son établissement. Un nouvel établissement passe en production lorsque la phase de test est positive.

Au niveau national, la liste des établissements membres de la communauté est consultable en ligne. Une carte nationale est également disponible.

Chaque site est supervisé ce qui permet d’être averti en cas de panne de l'infrastructure locale.

Le site eduroam français propose des exemples de fichiers de configuration RADIUS, des recommandations de sécurisation réseau, des affichettes pour la signalétique éventuelle. Une liste de diffusion électronique est également disponible pour les échanges entre les correspondants eduroam français.

Une application Android (non supportée par eduroam) géolocalise les lieux couverts par le service eduroam :
https://play.google.com/store/apps/details?id=net.ja.android.eduroamcompanion

Limitations du service :

  • Pas d'accès de type portail captif.
  • Respect obligatoire de la charte eduroam.
  • Pas de gestion de "profil" de connexion, de droit d'accès.

Services concurrents :

A priori, il n'existe pas vraiment de service concurrent si l'on considère le périmètre géographique d'utilisation d'eduroam (mondial). Néanmoins, on peut citer quelques services de nature équivalente mais de périmètres (géographique et population utilisatrice) plus réduits :

  • Eduspot : ensemble de recommandations nationales favorisant l'usage de réseau Wi-Fi de type portail captif en Enseignement Supérieur et Recherche : ssid commun, fédération d'identité Education-Recherche pour la mobilité d'authentification.
  • Midi-Pyrénées Wi-Fi (MiP-Wifi), mobilité d'authentification Wi-Fi (accès de type Portail captif uniquement) entre établissements d'enseignement supérieur et de recherche en Midi-Pyrénées et le CROUS Toulouse (accès internet des étudiants en résidence universitaire).

Commentaires et retours d'expériences sur le service :

  • Il est important que l'utilisateur du service eduroam valide la configuration Wi-Fi eduroam de son terminal dans son établissement d'origine avant de partir en déplacement.
  • Difficulté, pour un utilisateur, d'obtenir du support en déplacement.

URLs pour plus d'informations :

Commentaires

eduroam et Linux

Comme le cas de connexion avec Linux est souvent mal documenté (ou moins bien qu'avec Windows), nous avions écrit une description d'utilisation avec Linux au CPPM (entité eduroam = Aix-Marseille Université)