Outil CAT d’eduroam pour les administrateurs de service IdP

L’outil CAT d’eduroam : but et portée

1.1 Introduction

Configurer manuellement un appareil pour qu’il fonctionne sur un réseau sans fil engendre souvent des erreurs. Malheureusement, aucun appareil ne propose de moyen avec lequel configurer les paramètres de sécurité essentiels au protocole WPA2 d’authentification réciproque des entreprises ou au protocole d’authentification des entreprises (EAP – Enterprise Authentication Protocol) qu’on privilégie. L’utilisateur ne pourra donc se connecter au réseau ou, s’il le peut, il courra plus de risques, notamment celui de se faire subtiliser ses justificatifs d’identité.

Mal configuré, l’appareil acceptera le certificat de n’importe quel serveur RADIUS, parfois même sans que l’utilisateur puisse intervenir. Ceux qui exploitent un point d’accès sans fil indésirable pourront alors déclencher une attaque par rétrogradation de l’EAP et s’approprier les identifiants en texte clair ou sous forme de condensé numérique, déchiffrable rapidement hors connexion. Le risque n’est pas négligeable, car ces identifiants donnent souvent accès à bien plus qu’au réseau sans fil.

Avec l’outil CAT d’eduroam et l’application geteduroam qui l’accompagne, l’administrateur pourra configurer correctement chaque appareil, donc atténuer le risque précité.

1.2 Qu’est-ce que l’outil CAT d’eduroam?

En tant qu’administrateur d’un service « fournisseur d’identités eduroam » (IdP), l’outil CAT (Configuration Assistant Tool ou assistant de configuration) vous permet de configurer des profils et de créer un installateur eduroam adapté à diverses plateformes ou à l’appli geteduroam.

Ces profils établissent les paramètres acceptables avec lesquels l’appareil de l’utilisateur sera configuré de façon à n’accepter que le certificat de votre serveur RADIUS et à refuser les protocoles d’authentification moins sûrs. Le profil peut être modifié pour inclure votre nom d’IdP, votre emplacement et votre logo. Vous pourrez aussi y ajouter les coordonnées du service de dépannage et aider l’utilisateur à formater correctement ses identifiants. Grâce à l’outil CAT, l’utilisateur vivra une expérience enrichissante avec eduroam, sur le campus ou durant ses déplacements. Disponible dans de nombreuses langues, vous pourrez proposer une version de l’installateur dans la langue maternelle de l’utilisateur!

L’assistant CAT comporte aussi des outils qui vous aideront à déboguer la configuration de votre propre serveur RADIUS.

Avec l’assistant CAT vous pourrez offrir l’installateur sur une page de téléchargement qui lui sera réservée ou le télécharger vous-même sur la page web de l’organisation afin de le mettre à la disposition des utilisateurs. Vous pourrez aussi sélectionner les plateformes qui autorisent un téléchargement direct, tout en redirigeant l’utilisateur vers votre page d’aide (si vous avez créé des installateurs avec des particularités spéciales pour ces plateformes, par exemple).

Beaucoup d’utilisateurs ignorent sur quel système d’exploitation fonctionne leur appareil. L’outil CAT fonctionne aussi bien sur un ordinateur que sur un appareil mobile et en détecte le système d’exploitation avant de suggérer automatiquement la façon de procéder. Il comprend un lien « All platforms » (toutes les plateformes) conduisant à une liste dans laquelle l’utilisateur pourra choisir sa plateforme. La saisie d’écran qui suit illustre la partie « téléchargement » de l’outil. Faites-en l’essai vous-même en allant à https://cat.eduroam.org et en sélectionnant une organisation quelconque sur la page!

Une autre page propose un téléchargement plus léger pour les appareils mobiles aux ressources limitées.

1.3 Dispositifs soutenus

L’assistant CAT d’eduroam soutient la majorité des appareils les plus populaires et de nombreux types d’EAP. Pour voir le tableau complet des EAP et des dispositifs compatibles, visitez eduroam CAT, survolez About avec la souris dans le menu de navigation et cliquez About eduroam CAT (à propos du CAT d’eduroam). Vous constaterez que les protocoles EAP ne sont pas tous supportés sur la totalité des plateformes. Nous nous fions dans une large mesure aux capacités du système d’exploitation ciblé.

Certains appareils se prêtent mal à une configuration automatique ou il arrive, pour une raison quelconque, que l’outil CAT ne puisse offrir une telle aide. En pareil cas, nous offrons à l’administrateur la possibilité d’indiquer un site vers lequel l’utilisateur sera réacheminé. Il pourra alors créer une page web d’aide spéciale sur laquelle l’utilisateur trouvera les instructions appropriées. La page « Installer Fine-Tuning » (réglage de l’installateur) énumère les appareils en question (voir plus loin). Les exploitants du service CAT d’eduroam peuvent en ajouter d’autres. Au besoin, communiquez avec [email protected].

Remarque. L’assistant CAT ne fonctionne pas avec les versions Android antérieures à la version 4.3. Votre service de dépannage devra donc trouver un autre moyen pour configurer ces appareils.

Par ailleurs, les appareils Android 11+ devront utiliser l’appli geteduroam et accepter la configuration du profil CAT pour établir la connexion. Ensuite, le portail CAT redirigera l’utilisateur vers la boutique Google Play afin qu’il télécharge l’appli geteduroam.

1.3.1 Politique de soutien des systèmes d’exploitation

En règle générale, l’outil CAT d’eduroam respecte la date qui correspond à la fin du cycle de vie établi par le distributeur.

Produits Microsoft
Produits Apple
Produits ChromeOS (en anglais)
Produits Android : Aucune stratégie claire en la matière. En mars 2023, la version Android 10 d’AOSP était la plus ancienne à recevoir encore des mises à jour sur la sécurité.

1.4 Portée

L’assistant CAT d’eduroam ne remplace pas votre service de dépannage!

L’objectif consiste à vous être utile en produisant un installateur sûr pour diverses plateformes. L’installateur CAT fonctionnera sur les plateformes indiquées, dans la mesure où l’utilisateur ne les a pas personnalisées ou modifiées à outrance.

Avec l’appli geteduroam, nous souhaitons rendre la procédure d’installation et d’intégration simple et intuitive pour le plus grand nombre d’appareils possible et ainsi garantir la configuration la plus sécuritaire.

2. Inscrire l’organisation à l’assistant CAT d’eduroam

1re étape : Demander l’inscription de l’organisation

L’assistant CAT d’eduroam épouse le même modèle organisationnel qu’eduroam : c’est l’administrateur de la fédération nationale qui contrôle les fournisseurs d’identités de son pays (CANARIE au Canada).

Avant de configurer les profils avec l’assistant CAT d’eduroam, le contact technique principal de l’organisation devra envoyer un courriel à [email protected] pour obtenir l’autorisation de le faire.

Une fois que l’organisation a été jugée admissible :

vous recevrez un courriel d’invitation contenant un jeton (valable 24 heures après son envoi);
vous devrez copier le jeton et suivre le lien mentionné dans le courriel;
vous devrez vous connecter à l’interface Administration d’eduroam et commencer à gérer votre organisation.

Lisez la section qui suit pour plus de précisions sur la configuration de l’organisation et de son profil.

2e étape : Se connecter à l’outil CAT d’eduroam

Cliquez le lien sur l’interface Administration pour vous rendre au service fédéré de connexion des services de soutien d’eduroam. La connexion ne s’établit pas à partir d’un identifiant et d’un mot de passe spécifiques, mais au moyen d’une liste des fournisseurs d’identités.

Sélectionnez une organisation avec laquelle vous avez un compte.

Remarque à l’intention des membres d’eduGAIN inscrits par le biais de la Fédération canadienne d’accès (FCA) : les participants de la FCA dont le fournisseur d’identités est inscrit à la gestion fédérée des identités d’eduGAIN devraient pouvoir cliquer le nom de leur organisation et s’authentifier avec les identifiants usuels employés par celle-ci pour établir la connexion. Pour savoir si votre organisation figure parmi les participants de la FCA, cliquez https://www.canarie.ca/fr/identite/fca/participants/.

Pour ouvrir une séance avec l’assistant CAT d’eduroam, les organisations R-E fédérées auront besoin d’un des attributs suivants :

eduPersonTargetedID, Subject-id ou Pairwise-id.

Le système vérifie l’existence de ces attributs dans l’ordre que voici (et s’en sert dès qu’une valeur a été trouvée) :

eduPersonTargetedID,
pairwise-id,
subject-id.

Pour en savoir plus sur la diffusion de ces attributs ou le passage d’un identifiant unique à un autre, veuillez consulter le fournisseur national de votre service d’itinérance ou le fournisseur du logiciel IdP.

Remarques

Certaines organisations pourraient avoir décidé de se joindre à la FCA ou à eduGAIN sans en être encore devenues un membre du niveau production. Si votre organisation est dans cette situation, il se peut que vous trouviez son service d’authentification dans la liste expérimentale.

Si vous ne pouvez ouvrir de séance avec les identifiants de l’organisation (c.-à-d. si l’organisation ne fait pas partie des participants d’eduGAIN), essayez la fonction fédérée de connexion que proposent divers réseaux sociaux (Google, Facebook, etc.).

Renseignez-vous sur les politiques de l’organisation concernant l’usage de comptes dans un tel contexte, surtout sachant que l’assistant CAT d’eduroam a pour but de protéger les utilisateurs de votre réseau sans fil. Peut-être préférerez-vous créer un compte Google que vous utiliserez uniquement à cette fin.

Des utilisateurs pourraient se rendre compte qu’aucune des options mentionnées ne convient à leur organisation (p. ex., si l’organisation ne participe pas à eduGAIN et préfère ne pas recourir aux réseaux sociaux). Nous sommes conscients qu’un utilisateur qui juge les moyens d’authentification actuels inacceptables ne pourra se connecter. Pour l’instant, il n’existe malheureusement pas de solution idéale au problème. Tel qu’indiqué précédemment, en pareil cas, vous pourriez envisager d’ouvrir un compte sur un réseau social dans le but exprès de vous connecter à l’outil CAT.

3. 3 Configurer les propriétés de l’organisation

3.1 Aperçu

Pour créer un installateur, vous aurez besoin des informations suivantes :

renseignements généraux sur l’organisation (logo, emplacement approximatif, nom, etc.);
coordonnées du service de dépannage (adresse postale, numéro de téléphone, site web, etc.);
propriétés du média (SSID, soutien câblé, etc.);
précisions sur le serveur RADIUS et le protocole EAP.

Toutes ces informations sont facultatives, autant que possible. Si vous préférez ne pas fournir la totalité des détails réclamés, CAT créera quand même un installateur. Néanmoins, pour obtenir les meilleurs résultats, soyez aussi précis que vous le pouvez.

Deux principes régissent la saisie et le stockage de l’information dans l’interface utilisateur de l’administrateur.

1. L’information textuelle est proposée dans plusieurs langues. Néanmoins, on devrait toujours choisir l’option « default/other languages » (langue par défaut/autres langues), car elle s’alignera avec la langue principale employée pour communiquer avec les membres de la communauté. Par la suite, vous pourrez sélectionner d’autres langues de façon à offrir des options multilingues.

2. L’organisation peut utiliser un ou plusieurs profils EAP, chacun configuré à sa façon (si on n’applique pas le même EAP aux comptes des étudiants à ceux des employés, par exemple). Beaucoup d’options de l’assistant CAT d’eduroam peuvent être appliquées à l’ensemble de l’organisation ou à un profil spécifique.

Remarque. Si on applique un paramètre aux deux niveaux, c’est le profil le plus spécifique qui l’emportera sur celui s’appliquant à toute l’organisation.

3.2 Configurer les paramètres de l’organisation

Une fois que vous aurez saisi le jeton fourni par l’administrateur national, la page « Edit IdP » (modifier l’IdP) s’affichera à l’écran. La première fois que vous utiliserez l’« assistant », un texte explicatif accompagne les différents paramètres, qui comptent chacun plusieurs options permettant de le personnaliser ou de le modifier. N’ayez crainte. Essayez-les tous! Les modifications ne seront enregistrées que lorsque vous cliquerez « Continue » (continuer) au bas de la page.

Lorsque vous reviendrez à la page « Edit IdP » (modifier l’IdP), à partir de la page « Organization Overview » (aperçu de l’organisation), les textes explicatifs auront été condensés afin de ne pas alourdir l’interface utilisateur.

Trois des quatre éléments mentionnés précédemment peuvent être configurés sur la première page. Les paramètres RADIUS et EAP le seront sur une page différente, à la partie « Profile configuration » (configuration du profil).

3.2.1 Généralités

Cette section présente les propriétés communes de l’institution. Vous pourrez y téléverser son logo et rectifier son nom, s’il y a lieu.

3.2.2 Coordonnées du service de dépannage

Les coordonnées indiquées ici correspondent à celles du service de dépannage par défaut. Elles s’appliqueront aux profils sur lesquels les coordonnées n’ont pas déjà été précisées.

3.2.3 Propriétés du média

Les propriétés du média supportant eduroam à l’institution peuvent toutes être configurées ici.

Le SSID « eduroam » des accès WPA2/AES est toujours configuré, car il figure au cœur même de la spécification eduroam. Pas besoin donc de le saisir ici.

Remarque. Les versions antérieures de l’assistant CAT comportaient déjà un profil WPA/TKIP. Ces versions étant désuètes, les nouveaux installateurs supprimeront ce profil lors de l’installation.

Voici les autres éléments que vous pouvez configurer à la partie « Media ».

Autre SSID pour les accès WPA2/AES

Si vous déployez d’autres SSID ayant des identifiants eduroam valides, ajoutez-les ici et ils seront configurés en même temps que le SSID eduroam.

Cet attribut peut être fixé si on envisage de configurer un SSID en plus des SSID par défaut d’eduroam. Nous préconisons toutefois vivement que vous vous en teniez aux SSID par défaut, sauf pour les emplacements où le signal radio chevauche celui d’un autre point d’accès sans fil eduroam.

Se dire « Je préfère un SSID local pour mes utilisateurs » est une erreur classique, à l’origine des SSID supplémentaires. En réalité, il vaut mieux utiliser le SSID par défaut et séparer les groupes d’utilisateurs avec des réseaux locaux virtuels (VLAN). Cette approche est préférable pour les deux raisons que voici :

1) les utilisateurs configureront eduroam de la bonne manière parce qu’ils se serviront quotidiennement de ce SSID;

2) si vous utilisez un nom spécial et en vantez la plus grande sécurité, tôt ou tard, l’utilisateur se retrouvera dans un lieu dont le SSID est identique et il se trompera en croyant se connecter à un réseau super sûr, alors que ce n’est pas le cas.

Hotspot 2.0 / Passpoint Consortium OI

Si vous voulez activer Passpoint et disposez d’un Consortium Organization Identifier (identifiant de membre d’un consortium), saisissez-les ici. Le Consortium OI d’eduroam est 001BC50460. Pour l’instant, il n’est pas activé par défaut. Du côté de l’utilisateur, les paramètres configurant Passpoint ne fonctionneront que sur les tout derniers appareils d’Apple (iOS 7+ et matériel assez récent, version récente de Mac OS X).

Configuration ou non de l’Ethernet câblé pour IEEE 802.1X

Certains participants d’eduroam utilisent aussi IEEE 802.1X avec les ports Ethernet câblés disponibles sur place (dans un dortoir, par exemple). L’administrateur pourra spécifier que l’installateur devrait inclure la configuration eduroam pour l’Ethernet câblé sur les appareils de l’utilisateur. Les installateurs Windows et OS X d’Apple l’autorisent. L’installateur Windows lancera une invite UAC dès qu’on recourt à un accès câblé.

Remarque. L’Ethernet câblé est configuré en plus du service eduroam sans fil. Les profils avec accès câblé devraient donc respecter les mêmes normes de configuration que ceux du service sans fil.

Désactivation du SSID des portails captifs après la configuration d’eduroam

Beaucoup de participants d’eduroam déploient plusieurs SSID : un SSID pour un portail captif d’aide, le téléchargement de profils ou les instructions sur la configuration, par exemple (réseau d’initialisation ou d’accueil) en sus du réseau eduroam proprement dit. Si l’utilisateur s’est déjà connecté au réseau d’initialisation, son appareil s’en souviendra et pourrait privilégier ce réseau au détriment du réseau eduroam. Pour l’éviter, vous pouvez configurer le nom du SSID du réseau d’initialisation et l’outil CAT soit le supprimera, soit empêchera que l’appareil s’y connecte automatiquement au moment de l’installation. Au Canada, nous préconisons l’usage du SSID « eduroam-assist » pour les activités d’accueil, surtout avec les appareils du genre « ordinateur portable », souvent privés de la connectivité de secours par cellulaire. Si vous envisagez cette solution, vous pourrez configurer la suppression de la connexion par défaut au SSID eduroam-assist ici, même si l’organisation n’a pas encore établi le réseau en question. Cette mesure vous épargnera simplement un surcroît de travail par la suite et aidera les utilisateurs qui pourraient vouloir configurer leur appareil ailleurs.

3.3 Profils

Par « profil », on entend une configuration du protocole EAP spécifique à tel ou tel groupe d’utilisateurs de l’organisation. Chaque profil engendre un installateur. S’il n’y a qu’un groupe d’utilisateurs, les paramètres de l’organisation et ceux du profil devraient être identiques. Toutefois, beaucoup d’IdP comptent différents groupes d’utilisateurs, qui ont certaines propriétés en commun, mais pas toutes. Un groupe – celui des étudiants, par exemple – se caractérisera par un compte avec identifiant/mot de passe authentifié par PEAP et les coordonnées du service de dépannage général, tandis qu’un autre – celui des employés de l’établissement – aura un certificat TLS Client authentifié par EAP-TLS et disposera d’un accès exclusif à un meilleur service de dépannage, de deuxième niveau.

L’assistant CAT d’eduroam facilite la gestion du profil de plusieurs groupes d’utilisateurs au sein de l’organisation. Les propriétés communes (p. ex., coordonnées du service de dépannage) peuvent être définies pour l’ensemble de l’organisation (elle se répéteront donc immédiatement dans chaque profil) ou pour un profil quelconque (auquel cas la propriété ne s’appliquera qu’à ce profil). Une autre possibilité consiste à établir des paramètres pour l’établissement au complet, puis à en désactiver certains dans tel ou tel profil.

Une fois les informations sur l’organisation saisies, l’écran affichera la page donnant un aperçu de cette dernière.

Il existe deux façons de créer un nouveau profil : la détection automatique et la saisie manuelle des données du certificat. Nous préconisons la première, car elle vous épargnera du travail inutile.

Détection automatique

Cette méthode créera un nouveau profil et s’efforcera d’extraire les renseignements qui serviront à remplir le certificat du serveur RADIUS. Nous recommandons vivement que vous vous en serviez pour le point d’entrée initial.

Remarque. La détection automatique pourrait nécessiter que le serveur RADIUS ait un identifiant valide. Cependant, certains serveurs fourniront les informations requises même avec un identifiant comme [email protected] (modifiez-le en fonction de votre plateforme).

La détection automatique affichera la page du profil et il vous suffira de valider ou de modifier les paramètres qui s’y trouvent.

Configuration/Validation manuelle

Pour établir un profil, donnez-lui d’abord un nom et une description. Il existe aussi une option importante : « Production-Ready ». Si vous ne la sélectionnez pas, nous ne publierons pas les installateurs créés sur la page de téléchargement de l’utilisateur. L’idée est de prévenir le téléchargement accidentel d’un installateur dont les informations sont incomplètes et dont la configuration n’est pas définitive.

La détection automatique remplira le domaine RADIUS du profil, mais vous pourrez y apporter des modifications, s’il y a lieu.

L’inscription du domaine est facultative, mais nous la recommandons fortement, car elle nous permettra de vérifier très méticuleusement l’installation RADIUS par la suite (lire la partie « Vérifier ma configuration RADIUS » pour en savoir plus). Le domaine est également nécessaire pour soutenir les identités anonymes extérieures sur certains appareils. Sans lui, vous ne pourrez pas non plus saisir les identités anonymes extérieures que vous procurera subséquemment CANARIE.

Remarque. Windows de Microsoft attribue automatiquement le domaine de l’identité intérieure de l’utilisateur à son identité extérieure.

Par ailleurs, on peut se servir du domaine pour s’assurer que l’identifiant de l’identité intérieure est bien configuré (il doit correspondre à [email protected] ou à [email protected], selon la méthode retenue pour les identités intérieures).

Pour protéger les renseignements personnels de l’utilisateur, nous recommandons vivement que vous activiez les identités extérieures anonymes.

Les organisations canadiennes doivent être configurées avec une identité extérieure anonyme sous le format anonymeXXXXXX, où XXXXXX correspond au numéro que l’équipe eduroam de CANARIE vous a attribué. Ceci indique que le profil CAT a bien été configuré et nous (CANARIE) signale, ainsi qu’aux administrateurs de l’institution (vous), que les utilisateurs appliquent le profil CAT.

Si vous préférez que les utilisateurs du profil ne reçoivent pas d’installateur, indiquez-nous simplement que ces utilisateurs doivent être réacheminés vers votre page d’aide (si, en tant qu’administrateur, vous souhaitez produire les installateurs et les télécharger vous-même en les offrant sur votre page d’aide eduroam).

Le troisième point concernant la création de profils concerne le type d’EAP configuré pour ce groupe d’utilisateurs sur le serveur RADIUS. Si la détection automatique ne fonctionne pas ou si vous devez modifier des valeurs, les protocoles EAP supportés peuvent être glissés-déposés dans la partie verte du haut. La liste affiche les protocoles par préférence. Par conséquent, assurez-vous de les classer dans l’ordre désiré (ceux que vous préférez au sommet).

L’outil CAT comparera toujours les protocoles EAP indiqués ici aux capacités de l’appareil à configurer. Si l’appareil accepte le type d’EAP préféré, l’installateur sera adapté à cet EAP. Si l’EAP que vous privilégiez ne fonctionne pas sur l’appareil, l’outil CAT parcourra la liste jusqu’à ce qu’il trouve le bon protocole et créera l’installateur en fonction de celui-ci. Si aucun des EAP supportés ne fonctionne sur l’appareil, le CAT ne pourra créer d’installateur. Dans ce cas, nous vous recommandons de reconfigurer RADIUS afin qu’il accepte d’autres types d’EAP.

La configuration selon le type d’EAP est l’un des deux principaux paramètres associé à l’utilisation du profil CAT. C’est aussi la base même de son fonctionnement. Peu d’appareils proposent cette configuration à l’utilisateur. Si on ne procède pas à cette configuration, un point d’accès indésirable pourrait installer une méthode d’authentification avec un EAP insécure et subtiliser les justificatifs d’identité.

3.3.1 Précisions sur l’EAP

Les propriétés communes à la configuration des EAP installés sur le serveur RADIUS peuvent être téléversées ou validées (s’il y a eu détection automatique) à la partie « EAP Details » (précisions sur l’EAP).

Les précisions requises pour la plupart des EAP sont les suivantes :

Certificat(s) de l’autorité de certification (CA) qui a signé le certificat du serveur EAP.
1. Toujours inclure la CA racine (signalée par un « R » à côté des indications relatives au certificat, après le téléversement)
1. Possibilité d’inclure les CA intermédiaires (signalées par un « I » à côté des indications sur le certificat, après le téléversement)
Nom du serveur spécifié dans le nom commun (CN), sur le certificat du serveur EAP

Pour éviter les problèmes avec certains appareils, nous suggérons à l’organisation d’appliquer le même CN à tous ses serveurs RADIUS. Lire la page d’aide sur les certificats (en anglais) pour en savoir plus.

Remarque 1 – Certificat du serveur

Téléverser le certificat du serveur est inutile. En effet, la validité de ce certificat est relativement brève et il n’est transmis que durant l’échange des EAP, quand la connexion avec le client est établie. Par contre, le certificat de la CA est ESSENTIEL, car c’est l’outil de confiance qui, sur l’appareil de l’utilisateur, vérifiera le certificat du serveur entrant et évitera la réinstallation du profil CAT sur l’appareil à chaque actualisation du certificat.

Remarque 2 – Exigences relatives à la CA

Le système d’exploitation de certains appareils applique des exigences particulières aux certificats de la CA et aux certificats des serveurs qu’il accepte. Pour en savoir plus, on lira la page d’information sur les considérations relatives au certificat du serveur EAP(en anglais).

Remarque 3 – Changement de certificat

On peut téléverser simultanément plusieurs certificats de la CA racine dans l’assistant CAT, ce qui permettra de passer d’un à l’autre sans délai. Les appareils des utilisateurs configurés à l’avance avec le futur certificat de la CA racine ne remarqueront pas le changement du certificat du serveur de l’ancienne à la nouvelle racine de confiance, tant et aussi longtemps que le nom commun du serveur reste le même.

Toutes les CA racine seront installées sur le système d’exploitation client et recevront le sceau de confiance. Toutefois, l’ancienne appli CAT d’eduroam (versions 4.3 à 7 d’Android) n’installera qu’un seul certificat. On ne pourra donc s’en servir pour le changement de certificat. Avec les versions Android 8+, on utilisera plutôt l’appli geteduroam. Autre possibilité : mettre les utilisateurs d’Android à l’écart le temps que les autres utilisateurs reçoivent le jeu de racines de confiance. Il suffira de créer un profil différent pour les utilisateurs d’Android (voir la partie qui suit) et de n’y installer que la CA racine souhaitée.

Remarque 4 – Modification de la racine de confiance

Signalons qu’après une modification de la racine de confiance, tous les appareils devront appliquer de nouveau leur profil CAT avec l’installateur afin que l’authentification reprenne de façon sécuritaire, une fois l’ancienne racine de confiance supprimée.

3.3.2 Modification des paramètres généraux de l’IdP

Les étapes qui précèdent terminées, vous pouvez saisir ou remplacer les propriétés du service de dépannage et du média, si cela n’a pas déjà été fait dans les paramètres généraux de l’organisation (voir plus haut). Si vous avez saisi une option s’appliquant à l’ensemble de l’organisation et saisissez quelque chose de différent ici, les paramètres du profil l’emporteront sur ceux de l’organisation.

Ensuite, l’outil CAT vérifie la configuration par mesure de sécurité et signale les problèmes éventuels. La console « Organization » (organisation) s’affiche. De là, vous pourrez continuer à télécharger les installateurs, modifier des détails sur l’organisation ou le profil, procéder à des vérifications de sécurité et ainsi de suite.

3.4 Facultatif : aide OpenRoaming

Consortium d’itinérance sans fil distinct d’eduroam, OpenRoaming recourt à des technologies similaires sous-jacentes. Pour en savoir plus, cliquez les liens interaction d’OpenRoaming et d’eduroam et information à l’intention des utilisateurs d’eduroam (en anglais).

L’outil CAT comprend des fonctionnalités qui aideront l’utilisateur à se servir des points d’accès sans fil d’OpenRoaming.

Si OpenRoaming vous intéresse au Canada, veuillez nous écrire à [email protected].

Vous trouverez toutes les explications concernant l’aide OpenRoaming que fournit l’outil CAT sur global eduroam Wiki (en anglais).

4. Produire un installateur pour les utilisateurs

La page « Organization » (organisation) de la console donne un aperçu de votre configuration.

L’outil CAT créera un installateur à partir de ces données (et de celles spécifiques au profil). Pour accéder aux installateurs, cliquez « Installer Fine-Tuning and Download » (réglage et téléchargement de l’installateur) dans le profil que vous avez établi.

Vous arriverez à une page donnant un aperçu des installateurs disponibles. Ceux-ci sont affichés sous forme de tableau indiquant les types d’EAP activés – c.-à-d. les appareils que l’outil CAT a détectés – et s’il existe un installateur pour les différentes combinaisons.

Scénarios particuliers

Vous aimeriez communiquer quelque chose de spécial à vos utilisateurs. Les conseiller sur le genre de mot de passe convenant à EAP-TTLS ou leur indiquer à quel secrétariat s’adresser pour obtenir le certificat client EAP-TLS, par exemple.
Les Smartphones d’Apple sont interdits sur le campus et vous aimeriez le signaler à vos utilisateurs.

Solutions

Voici ce que vous pourriez faire dans une situation de ce genre.

Ajouter du texte libre pour certains EAP ou appareils. Le texte s’affichera sur la page avant que débute le téléchargement.
S’il s’agit d’un appareil, vous pourriez spécifier le site vers lequel l’utilisateur doit être réacheminé. En établissant cela, l’outil CAT ne générera pas de bouton « télécharger » mais acheminera l’utilisateur vers l’URL spécifié. Cette solution pourrait avoir son utilité si vous disposez, par exemple, d’un installateur spécial ou commercial pour certains appareils et préférez ne pas recourir aux services CAT pour ces appareils. Avec cette option, le fond pour l’appareil concerné s’affichera en blanc, dans le tableau (voir la saisie d’écran ci-dessus).

À présent, vous pouvez cliquer les boutons « télécharger » et commencer à utiliser les installateurs qui ont été créés. La même chose est possible sur les appareils qui ont été réacheminés. Même si l’utilisateur ne reçoit pas d’installateur CAT, l’administrateur pourrait quand même préférer l’ajouter à ses propres pages d’aide eduroam.

5. Afficher l’installateur sur la page de téléchargement de l’utilisateur

Vous seul déterminez quels installateurs CAT, s’il y en a, apparaîtront sur la page de téléchargement de l’utilisateur et quand ces installateurs deviendront visibles.

Les possibilités sont les suivantes.

Afficher le profil EAP mais réacheminer l’utilisateur vers votre page d’aide (bref, signaler l’existence d’un installateur, mais n’autoriser aucun téléchargement sur la page publique). Cette option peut être établie sur la page du profil (voir la saisie d’écran).

Afficher le profil EAP avec l’installateur, mais réacheminer l’utilisateur de certains appareils vers votre page d’aide. Cette option est possible avec la commande « Redirect » (réacheminer), dans le tableau qui énumère les différents appareils et permet de régler les installateurs (voir la partie qui précède).
Afficher tous les installateurs.

Ces trois possibilités exigent que vous confirmiez avoir saisi tous les détails et vérifié que le profil est prêt à être appliqué. Les précisions relatives au déploiement de l’EAP ne s’afficheront pas tant que vous n’aurez pas attribué la valeur production-ready aux données en ajoutant cette option aux propriétés du profil.

L’icône « statut » de la page fournissant des informations sur le profil (voir la saisie d’écran) indique la visibilité de l’EAP après déploiement. Elle sera verte si l’EAP est affiché et jaune s’il ne l’est pas. En survolant l’icône jaune avec la souris, on obtiendra une explication indiquant pourquoi le profil n’a pas été affiché.

6. Vérifier la configuration de RADIUS

Indiquer le domaine utilisé avec eduroam dans l’outil CAT active un service supplémentaire. En effet, l’assistant CAT peut envoyer une sonde numérique dans l’infrastructure d’eduroam pour déterminer s’il est possible d’atteindre le domaine de votre serveur RADIUS. Pour effectuer ce test, cliquez Check realm reachability (vérifier si le domaine est accessible). La page Overview (aperçu) s’affichera pendant que diverses vérifications s’effectuent à l’arrière-plan.

Les tests prendront un certain temps et leurs résultats vous donneront une idée détaillée du fonctionnement de votre serveur RADIUS dans l’univers d’eduroam.

Tests effectués

Vérification du DNS pour déterminer si le domaine signale les enregistrements NAPTR et autorise la recherche dynamique du serveur par TLS et, si c’est le cas, pour déterminer si les données DNS sont exactes (si vous ne savez pas ce qu’est la recherche dynamique, parlez-en à l’exploitant de votre fédération nationale – c’est cool!). Si les vérifications du DNS réussissent, l’outil CAT tentera de se connecter aux cibles du serveur découvertes lors de la recherche dynamique. Ensuite, il transmettra une série de certificats, valides ou pas, et vérifiera si le serveur réagit de la bonne façon à la réception de chacun.

Résultats des essais d’authentification effectués quand on clique « Check realm reachability » (vérifier si le domaine est accessible) : personne ne sera contacté (puisqu’on ne connaît pas les identifiants des utilisateurs); cependant, même si l’authentification est vouée à l’échec, l’outil CAT effectuera plusieurs diagnostics qui vous diront si tout fonctionne bien.

Les résultats signaleront les problèmes auxquels il faut remédier, par exemple :

s’il faut plus que cinq secondes pour authentifier le domaine, ce qu’on juge suspicieux;
si le serveur peut envoyer et recevoir des fragments du protocole UDP (certains pare-feu les filtrent mal);
si le serveur agit bizarrement quand il reçoit certains attributs RADIUS couramment présents dans les demandes d’authentification (CANARIE vous contactera si c’est le cas du vôtre);
si la structure de votre serveur, de la CA intermédiaire et de la CA racine est correcte et valide [ces vérifications sont minutieuses et couvrent tout ce qui est décrit sur la page EAP Server Considerations (en anglais)].

Voici ce qui s’afficherait habituellement si le certificat de votre serveur date des « années 1990 » (bref, n’a pas été actualisé conformément aux recommandations et aux exigences relatives au certificat des serveurs).

Si utiliser brièvement les identifiants de vrais comptes avec l’outil CAT ne vous effraie pas (seulement dans le cadre d’un essai pour déboguer le système), vous pourriez aussi effectuer une authentification positive, ce qui permettra à l’outil de porter d’autres diagnostics.

7. Autres fonctionnalités

7.1 API Utilisateur

Une API web à accès intégral permet de créer diverses interfaces utilisateur pour l’assistant CAT.

Plus précisément, vous pouvez :

dresser une liste de pays et des organisations qui y ont été configurées;
énumérer les organisations dans le monde ou dans un pays,
afficher la liste des profils de l’organisation;
demander le logo de l’organisation, voire géolocaliser l’adresse IP des utilisateurs;
télécharger un installateur pour certains profils et appareils.

Pour en savoir plus, regardez ce tutoriel de GEANT (en anglais).

7.2 Installation silencieuse sur Windows

Les installateurs Windows peuvent s’exécuter sans dialogue ni intervention de l’utilisateur avec le drapeau -s, ce qui s’avèrera utile pour les organisations qui souhaitent intégrer un tel installateur au leur, plus volumineux.

8. Remplacer le certificat CA racine du serveur RADIUS

Quand le certificat de la CA racine sur votre serveur RADIUS arrive à expiration et qu’il faut le remplacer par un autre, le nouveau certificat devra être relayé aux appareils de tous les utilisateurs. Voici comment procéder.

Créez un nouveau profil eduroam « migration » avec l’outil CAT dans lequel vous insérerez les deux certificats (l’actuel et le neuf). Les anciens profils CAT eduroam devraient alors être supprimés pour en empêcher l’application.
Remarque. Le nouveau profil ne fonctionnera pas comme prévu sur les appareils Android antérieurs à la version 7.1.

2. Demandez aux utilisateurs (nouveaux et existants) de télécharger le profil « migration ». Leur appareil (à moins qu’il s’agisse d’un Android < 7.1) fera alors confiance à l’ancienne et à la nouvelle CA, et acceptera le certificat de leurs serveurs.

3. Quand vous êtes certain que les utilisateurs ont tous installé le profil « migration » sur leur appareil, appliquez le nouveau certificat au(x) serveur(s) Radius. Idéalement, le nom de l’hôte sur le nouveau certificat (CN/subjectAltNames) devrait être le même que sur l’ancien.
Remarque. L’authentification ne sera plus possible sur les appareils Android < 7.1 configurés avec l’ancienne CA racine. Leur utilisateur devra installer un nouveau profil n’incluant que la nouvelle CA racine.

4. Avec l’outil CAT, créez un nouveau profil eduroam « permanent » ne contenant que le certificat de la nouvelle CA racine, puis supprimez le profil « migration ».

5. Demandez aux utilisateurs des appareils Android < 7.1 et aux nouveaux utilisateurs de télécharger le nouveau profil.

9. Obtenir de l’aide sur l’outil CAT d’eduroam

Avant de réclamer de l’aide, parcourez la liste ci-dessous. Savoir où vous en êtes rendu dans le processus nous permettra de vous procurer un meilleur soutien.

Liste de vérification sur le profil CAT

Configuration de l’organisation

Invitation reçue et connexion établie avec https://cat.eduroam.org/
ID extérieure anonyme établie
Certificat/CN aligné avec celui du serveur RADIUS
Méthodes appropriées pour le protocole EAP en place
Essai de l’installateur et modifications terminés
Profil(s) CAT publié(s)

Communication et adoption

Communications et campagne de mobilisation
Détermination du taux d’adoption

Améliorations à l’infrastructure

SSID eduroam-assist pour faciliter l’intégration
Reconfiguration des serveurs RADIUS afin que l’outil CAT vérifie la connectivité

Si vous avez des questions au sujet du site web CAT d’eduroam ou du logiciel à sa base, nous vous invitons à vous inscrire à la liste de diffusion [email protected]. Astuce : abonnez‑vous avant de rédiger une publication. Ainsi, vous recevrez une réponse même si quelqu’un néglige de « répondre à tous ». En outre, vous vous assurerez que votre publication n’échoue pas dans la corbeille des courriels indésirables.

	L’installateur est prêt. Un bouton en permet le téléchargement.
	L’outil CAT pourrait créer un installateur pour cette combinaison, mais en a engendré un pour un autre type d’EAP, jugé préférable.
	L’outil CAT ignore comment configurer le type d’EAP pour cet appareil.
	Des informations manquent pour que l’outil CAT puisse créer un installateur. Revenez aux paramètres de l’IdP ou du profil et complétez les champs manquants.
	Vous avez établi une « exception » et l’outil CAT ne peut offrir cette combinaison à l’utilisateur, même s’il existe en principe un installateur (voir le paragraphe suivant pour des explications).