eduroam - Technical FAQ

Interface

Comment accéder à l’interface de gestion ?
Comment créer un mot de passe et comment le réinitialiser ?
Comment je peux monitorer ce service ?
Lorsque j'essaye de me connecter avec mon login et mon mot de passe, on me demande un certificat CA, que dois-je faire ?

Implémentation (Eduroam CAT, RadSec, Hiérarchie RADIUS)

Comment déployer eduroam sur site ou sur le campus ?
Comment implémenter le service en quelques clics grâce à eduroam CAT ?
Vous désirez plus d'informations sur le eduroam CAT ?
Comment fonctionne la configuration du serveur RADIUS ?
Comment configurer mes serveurs RADIUS ?
Qu'est-ce qu'Open1X ?
Comment fonctionne le protocole de hiérarchie RADIUS ?
Qu'est ce que le protocole RadSec ?
Protocole de hiérarchie RADIUS ou protocole RadSec ?

Plus de documentation (eduroam et Belnet Multi-Factor Authentication MFA)

Où trouver plus d'informations techniques et liens utiles sur eduroam ?
Question: Qu'est-ce que le Belnet Multi-Factor Authentication (MFA) de Belnet ?
Pourquoi Belnet Multi-Factor Authentication est-il important ?
Comment utiliser le Belnet Multi-Factor Authentication (MFA) pour la première fois ?
Comment utiliser le Belnet Multi-Factor Authentication après l'inscription ?
Que faire en cas de perte de GSM ?
Que faire si mon Belnet Personal Login est lié à plusieurs organisations ?

 

Comment accéder à l’interface de gestion ?

Vous pouvez vous connecter à https://register.eduroam.be/ à l’aide de votre Belnet personnel login. Vous trouverez ici le manuel d'utilisation de l'interface: Manuel-FR.

Comment créer un mot de passe et comment le réinitialiser ?

Lorsque vous aurez signé votre convention, Belnet créera et vous enverra votre nom d'utilisateur et votre mot de passe. Vous pouvez réinitialiser votre mot de passe sur https://changepassword.belnet.be/.

Comment je peux monitorer ce service ?

Le statut des serveurs ‘top level’ et des serveurs RADIUS nationaux peut être consulté ici. Les détails de la demande se trouvent ici.

Où trouver plus d'informations techniques et liens utiles sur eduroam ?

GÉANT eduroam wiki
Configuration NPS
802.1X Port-Based Authentication HOWTO
FreeRADIUS
Open1X (Xsupplicant)
WPAsupplicant
GÉANT documentation
SecureW2 : open source EAP-TTLS client pour Microsoft Windows
Kismet, 802.11 Wi-Fi sniffer (pour un*x>
Netstumbler, 802.11 Wi-Fi sniffer (pour Windows)

Comment déployer eduroam sur site ou sur le campus ?

Retrouvez toutes les étapes sur le GÉANT eduroam wiki.

Comment implémenter le service en quelques clics grâce à eduroam CAT ?

CAT (Configuration Assistant Tool) est conçu comme une plateforme de collaboration et est disponible auprès de la Belnet R&E Federation. Les membres de la Belnet R&E Federation qui souhaitent mettre en œuvre eduroam peuvent utiliser CAT pour améliorer le processus. La plateforme est également disponible pour les utilisateurs des organisations affiliées et est utile lors de l'installation du profil de connexion de leur organisation.

eduroam CAT est compatible avec tous les OS importants, smartphones et tablettes.

N'hésitez pas à nous contacter pour de l'assistance:

Mail: servicedesk@belnet.be
Téléphone : 02/790.33.00

Vous désirez plus d'informations sur le eduroam CAT ?

Visitez le site officiel d'eduroam CAT.

Comment fonctionne la configuration du serveur RADIUS ?

Nous vous fournirons la configuration du serveur RADIUS sur la base de différentes implémentations RADIUS. Si vous souhaitez partager votre expérience sur une implémentation qui n'est pas encore décrite dans cette section, n’hésitez pas à nous contacter et nous l'ajouterons certainement. Vous trouverez d'autres informations utiles dans notre section de liens.

Lors de la configuration de votre serveur RADIUS, vous devez choisir le mécanisme d'authentification EAP que vous utiliserez. Vous pouvez utiliser le PEAP (Protected EAP) ou EAP-TTLS. Ces deux mécanismes présentent des avantages et des inconvénients, mais ils peuvent être utilisés dans le contexte de eduroam.

L'avantage de l'utilisation de PEAP est que vous n'avez pas besoin d'installer un logiciel tiers sur un système basé sur Windows. L'inconvénient est que vous êtes limité dans le choix de l'authentification « interne » (ou de l'authentification de l'utilisateur proprement dite) que vous pouvez utiliser.

L'utilisation de EAP-TTLS a l'avantage de vous offrir un plus grand choix en ce qui concerne la méthode d'authentification « interne ».

Comment configurer mes serveurs RADIUS ?

Vous trouverez ici le GÉANT eduroam wiki. Bien que cette documentation soit liée à eduroam, les mêmes principes s'appliquent à govroam. Normalement, vous ne devez remplacer le SSID eduroam par le SSID govroam que là où c'est nécessaire.

Qu'est-ce qu'Open1X ?

Open1X est le logiciel d'implémentation open source IEEE 802.1X. Nous vous conseillons d'utiliser Open1X comme logiciel pour gérer le protocole 802.1X. Ce logiciel est disponible ici. (pour les périphériques basés sur Windows, Mac OS X ou Linux).

Important!

Avant de configurer le protocole 802.1X, assurez-vous que votre carte sans fil peut prendre en charge WPA. Toutes les cartes récentes devraient le supporter, mais ce n'est pas le cas pour certaines anciennes cartes.

Comment fonctionne le protocole de hiérarchie RADIUS ?

  • Niveau national :

Le service eduroam utilise le protocole RADIUS, qui permet un échange simple de données. L’organisation A accueille un utilisateur de l’organisation B et celui-ci se connecte au réseau sans fil de l’organisation A.

À ce moment, le serveur RADIUS de l’organisation A envoie les données (le nom d’utilisateur et le mot de passe) de l’utilisateur pour vérification au serveur RADIUS de l’organisation B. Ceci s’effectue par l’intermédiaire du serveur RADIUS de Belnet, qui reçoit une requête du serveur RADIUS de l’organisation A et qui envoie alors immédiatement une requête au serveur RADIUS de l’organisation B.

schema govroam

  • Niveau international :

Si l’organisation B est une organisation internationale, le même principe est d’application. Le serveur RADIUS de Belnet envoie une requête vers le serveur RADIUS européen, qui transmet à son tour la requête vers le nœud national de l’organisation B. Le serveur RADIUS national de l’organisation B envoie ensuite une requête vers le serveur RADIUS de l’organisation elle-même. Un tunnel est de nouveau établi entre l’utilisateur et son institution, et le serveur RADIUS de l’organisation B transmet les informations requises à l’organisation A.

L’organisation d’origine de l’utilisateur continue donc d’assumer la responsabilité de l’enregistrement et de la vérification du nom d’utilisateur et du mot de passe, même lorsque l’utilisateur se trouve dans une organisation hôte. Ces données ne sont par ailleurs pas partagées avec d’autres institutions connectées.

hierarchie radius eduroam

Qu'est ce que le protocole RadSec ?

RadSec signifie Secure RADIUS protocol. Il s'agit d'un protocole qui implémente le protocole RADIUS au sommet de la couche de transport TLDv3, tel que défini dans le draft ietf «draft-ietf-radext-radSec-12». Vous ne pouvez utiliser RadSec que si votre organisation est membre de la Belnet R&E Federation. Seuls les organisations de recherche et d'enseignement peuvent devenir membres de la Fédération R&E. Vous devez également vous abonner au service DCS de Belnet afin d'obtenir un personal certificate.

La confiance comme base

RadSec en tant que modèle hiérarchique fournit une bonne relation de confiance entre chaque participant. Avec RadSec, vous devez transmettre des certificats entre les serveurs RADIUS. Les certificats doivent être conformes à une politique de certificats. L'utilisation de cette stratégie et des certificats associés garantit la relation de confiance entre tous les participants. Actuellement, Belnet utilise l'infrastructure de clé privée eduPKI pour obtenir les certificats pour les serveurs RADIUS 'top level'.be.

Protocole de hiérarchie RADIUS ou protocole RadSec ?

L'implémentation actuelle d'eduroam (protocole de hiérarchie RADIUS) fonctionne très bien. Cependant, en raison du nombre croissant d'utilisateurs et d'organisations dans le monde, certains problèmes de délai d'attente et de fiabilité de la communication ont commencé à apparaître. L'objectif de RadSec est de résoudre ces problèmes ainsi que d'ajouter quelques fonctionnalités utiles et plus de flexibilité.

RADIUS hierarchy protocol RadSec Protocol
  • Utilisation de l’UDP
    L'utilisation de ce protocole est plus fiable entre les serveurs RADIUS. Les problèmes de délai d'attente et de fiabilité sont réduits.
  • Utilisation de l’TCP
    L'utilisation de ce protocole est plus fiable entre les serveurs RADIUS. Les problèmes de délai d'attente et de fiabilité sont réduits.                                        
     
  • MTU
    RadSec a un meilleur MTU (Maximum Transmission Unit), discovery et fragmentation management.
  • RADIUS server hierarchy
    Une connexion via la hiérarchie du serveur RADIUS implique des flux de communication et des temps de traitement cumulés entre chaque niveau de la hiérarchie.
     
  • Gestion de domaine
    Les domaines de premier niveau non nationaux, tels que .net, .org, .edu, .eu, exigent une gestion du domaine.

     

 

 

  • Relation de confiance
    Chaque serveur RADIUS doit s'authentifier à l'aide de certificats de serveur spéciaux qui permettent la découverte de l'institution d'origine par le biais d'une requête DNS.
     
  • Utilisation de DNS Discovery
    L'utilisation de la DNS Discovery permet d'éviter une connexion point à point. Cette méthode de travail supprime les flux de communication et les temps de traitement cumulés.
     
  • Gestion de domaine
    Avec DNS Discovery, vous pouvez configurer votre propre DNS avec des domaines autres que celui de ‘top level’ national. Il suffit pour cela d'ajouter les enregistrements SRV et NAPTR.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Lorsque j'essaye de me connecter avec mon login et mon mot de passe, on me demande un certificat CA, que dois-je faire ?

Vous devez vérifier que le certificat correspond bien au certificat de votre institution et que le bon CA a été utilisé. Adressez-vous au département ICT de votre institution pour connaitre la procédure à suivre.

Qu'est-ce que le Belnet Multi-Factor Authentication (MFA) de Belnet ?

Le Multi-Factor Authentication est une méthode d'authentification électronique selon laquelle un utilisateur ne peut accéder à une application ou à un site web qu'après avoir fourni avec succès deux facteurs d'authentification ou plus. Cela réduit considérablement le risque pour votre organisation d'être victime de cybercriminalité.

Pourquoi Belnet Multi-Factor Authentication est-il important ?

Le principal avantage du MFA est qu'il améliore la sécurité de votre organisation en demandant à vos utilisateurs de s'identifier avec plus qu'un nom d'utilisateur et un mot de passe.
En imposant l'utilisation d'un facteur MFA tel qu'un TOTP que vos utilisateurs ont reçu sur leurs smartphones, vous assurez une meilleure protection des informations des utilisateurs et des données sensibles de l'entreprise.

Comment utiliser le Belnet Multi-Factor Authentication (MFA) pour la première fois ?

Connectez votre nom d'utilisateur à un « authentificateur » de votre choix qui prend en charge le TOTP comme par exemple: Google Authenticator, Microsoft Authenticator ou SaasPass.

  1. Installez l'authentificateur de votre choix sur votre appareil mobile.
  2. Connectez-vous à l'application Belnet pour laquelle vous avez besoin de votre Belnet Personal Login.
  3. Au début, vous aurez la possibilité de choisir l'une des deux méthodes d'authentification possibles : avec ou sans MFA. Ce choix est provisoire et vous permettra de vous familiariser avec la nouvelle méthode. À l'avenir, une seule option (celle avec la MFA) sera disponible. Sélectionnez la version avec l'authentification multifacteur pour votre institution.
    MFA choice screen
  4. Sélectionnez l'organisation avec le Multi-Factor Authentication et connectez-vous. Après la vérification du mot de passe, vous arriverez sur une nouvelle page :
    enrol to TOTP
  5. Comme vous n'avez pas encore établi de connexion, sélectionnez “Enroll to TOTP”.
  6. Authentifiez-vous une nouvelle fois avec LDAP pour créer votre code seed TOTP.
    select jouw organsatie
  7. Un QR code et une clé TOTP apparaîtront sur une nouvelle page :

    QR Code
     
  8. Ce QR code est unique et n'est proposé qu'une seule fois. En guise de sauvegarde, vous pouvez choisir d'enregistrer ce QR code (en prenant une capture d'écran ou une photo). Cela peut être utile si vous décidez de ne pas établir la connexion avec votre application d'authentification pour le moment.
  9. Ouvrez l'application d'authentification qui a été installée sur votre appareil mobile. Choisissez d'ajouter une authentification supplémentaire (cela dépend de l'application d'authentification choisie, veuillez consulter la description de l'application) et sélectionnez l'option permettant de scanner un QR code pour ajouter une nouvelle authentification.
  10. Vous êtes maintenant prêt à utiliser l'authentificateur pour vous connecter avec le Multi-Factor Authenticator et votre Belnet Personal Login. L'application d'authentification génère des codes de 6 à 8 chiffres qui ne sont valables que pour une durée limitée.
  11. Il n'est pas possible de cliquer sur dans votre navigateur pour revenir à l'écran de connexion. Passez simplement à l'étape 1 sous "Use of MFA after enrolment".

Comment utiliser le Belnet Multi-Factor Authentication après l'inscription ?

  1. Connectez-vous à l'application Belnet pour laquelle vous avez besoin de votre Belnet Personal Login. Par exemple, le portail Belnet.
  2. Au début, vous aurez la possibilité de choisir l'une des deux méthodes d'authentification possibles : avec ou sans MFA. Ce choix est provisoire et vous permettra de vous familiariser avec la nouvelle méthode. À l'avenir, une seule option (celle avec la MFA) sera disponible. Sélectionnez la version avec l'authentification multifacteur pour votre institution.
  3. Connectez-vous, comme vous aviez l'habitude de le faire auparavant. Après la vérification du mot de passe, une nouvelle page vous demandant de fournir un Token Code:
    enrol to TOTP
  4. Ouvrez l'application d'authentification, lisez le code token (6 à 8 chiffres) et fournissez-le en réponse sur le site web de Belnet.

Que faire en cas de perte de GSM ?

Si votre appareil mobile a été perdu ou ne fonctionne plus, procédez comme suit :

  1. Connectez-vous à l'application Belnet pour laquelle vous avez besoin de votre Belnet Personal Login. Par exemple, le portail Belnet.
  2. Au début, vous aurez la possibilité de choisir l'une des deux méthodes d'authentification possibles : avec ou sans MFA. Ce choix est provisoire et vous permettra de vous familiariser avec la nouvelle méthode. À l'avenir, une seule option (celle avec la MFA) sera disponible. Sélectionnez la version avec l'authentification multifacteur pour votre institution.
  3. Après la vérification du mot de passe, vous arriverez sur une nouvelle page vous demandant de fournir un code token :
    enrol to TOTP
  4. Sélectionnez “Reset TOTP”. Un e-mail sera envoyé à votre adresse électronique et le message suivant s'affichera sur le site web :

    a reset token message
     
  5. Ouvrez votre boîte de réception. Vous aurez reçu le message suivant :
    mail for request of reset of a TOTP
  6. Cliquez sur l'URL fournie. Vous serez redirigé vers un site web qui vous demandera de fournir votre nom d'utilisateur :

    Username login
     
  7. Après avoir fourni votre nom d'utilisateur, vous obtiendrez l'invitation suivante :
    message TOTP
  8. Suivez la procédure « Première utilisation de la MFA » de ce document pour vous réinscrire.

Que faire si mon Belnet Personal Login est lié à plusieurs organisations ?

Vous devrez alors configurer le MFA pour chaque organisation séparément afin d'obtenir un token différent par organisation.

 

 

Accédez à l'interface eduroam

Plus d'informations techniques sur l'interface ? Découvrez notre manuel

Avez-vous trouvé ce FAQ utile?

Copyright © 2021 Belnet.