Principes généraux
L’usage d’eduroam devrait être aisé et harmonieux pour l’utilisateur itinérant, qu’il se trouve à son institution d’origine ou ailleurs, à un site offrant ce service. L’authentification devrait être complète et, une fois la connexion établie, on devrait pouvoir accéder à Internet avec le plus faible filtrage possible[1]. S’il y a filtrage des ports, on trouvera une description du jeu minimal de ports acceptable dans le document eduroam Policy Service Definition[2].
Spécifications et exigences opérationnelles : fournisseurs de services
Pour plus de précisions, lire la section 6.3.3 du document eduroam Policy Service Definition[3], à partir de la page 32.
Exceptions :
- l’option NAT est permise s’il est possible de remonter jusqu’à l’utilisateur;
- l’option WPA/TKIP n’est plus supportée.
Pas de portails captifs
L’accès au SSID d’eduroam ne s’effectuera pas à travers un portail captif. Le processus d’authentification utilise les protocoles 802.1x sur la couche OSI 2. Puisque l’appareil n’a pas encore obtenu d’adresse IP, l’usage d’un portail captif s’avèrerait extrêmement problématique. Cela violerait aussi le principe de l’encryptage intégral des justificatifs d’identité de l’utilisateur[3], ce qui créerait un risque au niveau de la sécurité du service.
Aucun enregistrement préalable d’un domaine eduroam MAC ou « autorisé » par l’exploitant du site
Un site exigeant l’inscription d’une adresse MAC avant l’accès à eduroam nuirait considérablement à la qualité du service tout en rendant celui-ci inefficace, comme cela serait le cas si le domaine du visiteur devait être enregistré avant l’utilisation d’eduroam (on compte plus de 17 000 domaines et ce nombre va croissant).