• Programmes
  • Le Réseau national de la recherche et de l’éducation du Canada (RNRE)
    • Partenaires du RNRE
    • Connexions
    • Le Réseau mondial de la recherche et de l’éducation (RMRE)
  • Le Programme de cybersécurité
    • Programme Initiatives en cybersécurité (PIC)
    • Participez au programme Initiatives en cybersécurité (PIC)
    • Initiatives financées
    • Foire aux questions
    • Cybersécurité Soutien
  • Programme Nuage de l’ATIR
    • Catalogue des Propulseurs de l’ATIR
  • Le réseau CANARIE
    • Se connecter
    • Services réseau
    • MOXY
    • Réseau CANARIE – Soutien et outils
  • Gestion des identités et des accès
    • Fédération canadienne d’accès (FCA)
    • eduroam
    • La gestion fédérée des identités (GFI)
    • Études de cas
    • Soutien technique – Gestion des identités et des accès
• Adhésion à CANARIE
  • Adhésion à CANARIE
  • Membres de CANARIE
• À propos
  • À propos
  • Équipe de la haute direction
  • Conseil d’administration
  • Comités consultatifs
  • Trousse pour les médias
  • Politiques
  • Documents
• Carrières
• Contactez-nous
• Nouvelles
  • Nouvelles
  • Blogues
  • Communiqués de presse
• Événements
  • Tous les évènements
  • Sommet CANARIE
  • Forum SecuR&E canadien
  • Événements parrainés
  • Événements communautaires

Recherche Recherche

English

Accueil / Configuration de la plateforme Cloudpath de Ruckus sur le serveur RADIUS pour le service eduroam au Canada

CANARIE a conçu le service eduroam canadien pour qu’il soit résilient en fédérant quatre serveurs RADIUS (deux dans l’Ouest et deux dans l’Est). Ce document explique comment configurer la plateforme Cloudpath de Ruckus sur le serveur RADIUS du fournisseur d’identités d’eduroam (FI) pour qu’il accepte le trafic venant des quatre serveurs fédérés. Référence : https://www.canarie.ca/document/caf-firewall-and-ip-address-recommendations-for-eduroam/

Le trafic externe venant du serveur RADIUS d’un fournisseur de service eduroam (FS) et servant à authentifier un utilisateur hors campus peut être aiguillé vers un des quatre serveurs fédérés. Ainsi, quand Le FI d’eduroam configure les quatre serveurs fédérés sur son propre serveur, le trafic venant d’un serveur RADIUS quelconque devrait authentifier sans difficulté l’utilisateurs en déplacement hors de son institution d’accueil.

Or, une restriction dans l’interface utilisateur de Cloudpath (n’autorisant la configuration des adresses IP que de deux serveurs fédérés) pourrait entraîner l’échec ou la temporisation de la demande envoyée par le serveur RADIUS, donc empêcher l’authentification de l’utilisateur et lui refuser l’accès à eduroam.

Les étapes décrites ci-dessous permettent de contourner cette difficulté et d’ajouter l’adresse IP des serveurs fédérés, donc d’ouvrir tous les trajets possibles et d’optimiser la connectivité au service eduroam, peu importe où se trouve l’utilisateur, au Canada.

1. Aperçu du problème

Lors de l’inscription d’une institution au service eduroam avec la plateforme Cloudpath de Ruckus, on a constaté que seule l’adresse IP de deux serveurs fédérés pouvait être configurée. Une telle restriction pourrait entraîner l’omission de certaines requêtes émanant d’un des serveurs RADIUS dont l’adresse IP n’a pas été configurée et ainsi interdire l’authentification.

Le diagramme qui suit illustre comment le trafic d’un serveur RADIUS pourrait être escamoté si deux des quatre serveurs fédérés uniquement sont configurés.

2. Configuration

Procédez comme suit pour mettre la configuration de Cloudpath à niveau.

1. Ouvrez l’instance Cloudpath.

• Allez à « Configuration > RADIUS Server ».

• Sous l’onglet « eduroam », déterminez l’adresse IP des deux serveurs fédérés qui ont déjà été configurés. Remarque : nous vous recommandons de configurer l’adresse IP la plus près en premier et en deuxième, celle du serveur dans la région opposée (est/ouest du Canada).

• Notez (et copiez) le secret partagé de RADIUS. Vous vous en servirez plus tard.

• Allez à l’onglet « Clients » et ajoutez l’adresse IP des deux serveurs fédérés manquants en utilisant le secret partagé noté précédemment.

3. Conclusion

Quand on complète la configuration de cette façon, le serveur RADIUS de l’institution communiquera avec les quatre serveurs fédérés, ce qui éliminera virtuellement la temporisation des demandes et accroîtra la disponibilité ainsi que la fiabilité d’eduroam pour tous les utilisateurs en déplacement au Canada.