en
English

25

Mar

2021

FCA – Activer l’identifiant externe anonyme avec le CAT d’eduroam et NPS

Introduction

Les pratiques exemplaires préconisent de déployer eduroam dans l’organisation avec les profils CAT. Ces profils mettent les utilisateurs à l’abri des points d’accès sans fil sauvages qui récoltent les noms d’utilisateur et les mots de passe.

L’administrateur trouvera l’outil CAT (Configuration Assistant Tool) d’eduroam sur cat.eduroam.org. Cet outil a été mis au point afin que les organisations puissent donner plus facilement accès à eduroam à leurs utilisateurs. Il bâtit un installateur sur mesure pour toute une gamme de plateformes populaires sur ordinateur ou téléphone intelligent et rehausse la sécurité pour le propriétaire.

Ce billet parle spécifiquement de l’usage d’un identifiant externe anonyme avec un profil CAT et de la manière dont il doit être configuré pour pouvoir être utilisé avec Network Policy Server (NPS) de Microsoft. Pour tout savoir sur le sujet, veuillez lire la documentation sur le produit du distributeur.

Veuillez utiliser l’identifiant externe unique que la Fédération canadienne d’accès à attribué à l’organisation. La FCA se servira de cet identifiant pour s’assurer que les systèmes ont installé un profil CAT légitime. Si vous ne connaissez pas l’identifiant externe qui vous a été attribué, veuillez écrire à tickets@canarie.ca.

Configurer NPS

NPS peut être configuré de diverses manières. Celle que nous préconisons se trouve ici.

Pour accepter un identifiant externe anonyme, NPS doit être configuré avec une « Connection Request Policy » qui l’emportera sur les paramètres d’authentification de la « Network Policy ». Lisez la page 26 du document pour en savoir plus. Si vous ne configurez pas NPS de cette façon, les identifiants externes anonymes seront bloqués, même si NPS authentifie correctement les utilisateurs d’eduroam qui ne recourent pas à un tel identifiant.

L’identifiant anonyme doit aussi être créé dans un répertoire actif (Active Directory -AD) et faire partie du groupe autorisé à accéder à eduroam. Le compte anonyme devrait être désactivé, mais on doit le retrouver dans l’AD. Par exemple, si vous voulez utiliser anonymous8357 comme ID anonyme, cet identifiant doit figurer dans l’AD.

Créer un profil CAT

Suivez la procédure habituelle. Documentation complète sur https://wiki.geant.org/x/25g7Bw

Lorsque vous configurez le domaine, cochez « Enable Anonymous Outer Identity » tel qu’indiqué sur la saisie d’écran :

L’identifiant sera celui que vous avez créé dans le répertoire actif. Veuillez utiliser l’identifiant qui vous a été attribué par la FCA.

Avant de télécharger l’installateur de profil CAT, effectuez le test « Check realm reachability » pour vous assurer que les paramètres du profil sont tous verts ou donnez suite aux avertissements en corrigeant le paramètre concerné ou en comprenant bien ce qu’il signifie et en acceptant les répercussions. Un paramètre « rouge » doit absolument être corrigé avant que le profil CAT puisse être utilisé.

Related

le 17 août, 2023

Outil CAT d’eduroam pour les administrateurs de service IdP

En apprendre plus

le 21 mars, 2022

CAF – Activation de REFEDS MFA dans votre fournisseur d’identité FIM

En apprendre plus