eduroam - Technical FAQ

Interface

Hoe krijg ik toegang tot de beheerinterface?
Hoe maak ik een wachtwoord aan en hoe stel ik mijn wachtwoord opnieuw in?
Hoe kan ik de service monitoren?
Wanneer ik me probeer aan te melden met mijn login en paswoord, wordt er mij om een CA certificaat gevraagd. Wat moet ik doen?

Implementatie (Eduroam CAT, RadSec, RADIUS hiërarchie)

Hoe kan eduroam on-site of op de campus worden ingezet?
Hoe implementeer ik de service in enkele klikken met de eduroam CAT?
Waar vind ik meer informatie over de eduroam CAT?
Hoe verloopt de RADIUS-serverconfiguratie?
Hoe configureer ik mijn RADIUS-servers?
Wat is Open1X?
Hoe werkt het RADIUS hiërarchieprotocol?
Wat is RadSec?
RADIUS hiërarchieprotocol of RadSec-protocol?

Meer documentatie

Waar vind ik meer technische informatie en nuttige links over eduroam?
Wat is Belnet Multi-Factor Authentication (MFA)?
Waarom is Multi-Factor Authentication belangrijk?
Hoe gebruik je Belnet Multi-Factor Authentication voor de eerste keer?
Hoe gebruik je Belnet Multi-Factor Authentication na verbinding met de authenticator app?
Wat te doen in geval van verlies van je gsm?
Wat als mijn Belnet Personal Login gelinkt is aan verschillende organisaties?

Hoe krijg ik toegang tot de beheerinterface?

Log in op https://register.eduroam.be/ met uw persoonlijke Belnet logingegevens. Hier vindt u de gebruikershandleiding van de interface in NL.

Hoe maak ik een wachtwoord aan en hoe stel ik mijn wachtwoord opnieuw in?

Nadat u uw contract hebt ondertekend, maakt Belnet uw gebruikersnaam en wachtwoord aan en krijgt u deze toegestuurd. U kunt uw wachtwoord opnieuw instellen op https://changepassword.belnet.be/.

Hoe kan ik de service monitoren?

De status van de servers op het hoogste en het nationale niveau vindt u hier. De aanvraagdetails vindt u hier.

Waar vind ik meer technische informatie en nuttige links over eduroam?

GÉANT eduroam wiki
NPS- Configuratie
Handleiding voor 802.1X poortgebaseerde authenticatie
FreeRADIUS
Open1X (Xsupplicant)
WPAsupplicant
Documentatie op de GÉANT-Website
SecureW2 : open source EAP-TTLS client for Microsoft Windows
Kismet, 802.11 Wi-Fi sniffer (voor un*x>)
Netstumbler, 802.11 Wi-Fi sniffer (voor Windows)

Hoe kan eduroam on-site of op de campus worden ingezet?

Alle stappen vindt u op de GÉANT eduroam wiki.

Hoe implementeer ik de service in enkele klikken met de eduroam CAT?

CAT (Configuration Assistant Tool) is gebouwd als samenwerkingsplatform en is beschikbaar binnen de Belnet R&E Federation. Leden van de Federatie die eduroam willen implementeren, kunnen CAT gebruiken om het implementatieproces te vereenvoudigen. Het platform is ook beschikbaar voor gebruikers van de aangesloten organisaties en is handig bij het installeren van het verbindingsprofiel van hun organisatie.

Dankzij eduroam CAT verloopt de eduroam-configuratie in slechts een paar klikken. Eduroam CAT is compatibel met alle belangrijke besturingssystemen, smartphones en tablets.

Wil je snel eduroam installeren? Neem contact met ons op:

Mail: servicedesk@belnet.be
Telephone : 02/790.33.00

Waar vind ik meer informatie over de eduroam CAT?

Meer informatie teruggeven op de eduroam CAT site https://cat.eduroam.org/

Hoe verloopt de RADIUS-serverconfiguratie?

Wij bieden u de RADIUS-serverconfiguratie op basis van verschillende RADIUS-implementaties. Als u uw ervaring wilt delen over een implementatie die nog niet in dit gedeelte is beschreven, neem dan contact met ons op, zodat wij deze kunnen toevoegen. In onze sectie met links vindt u meer nuttige informatie.

Bij het configureren van uw RADIUS-server moet u het EAP-authenticatiesysteem kiezen dat u wilt gebruiken. U kunt kiezen voor PEAP (Protected EAP) of EAP-TTLS. Beide systemen hebben voor- en nadelen, maar ze zijn allebei bruikbaar voor eduroam.

Het voordeel van PEAP is dat u geen software van derden op een Windows-gebaseerd systeem moet installeren. Het nadeel is dat u uit slechts een beperkt aantal opties voor de interne authenticatie (of de gebruikersauthenticatie zelf) kunt kiezen.

EAP-TTLS heeft het voordeel dat u meer opties heeft voor de interne authenticatiemethode.

Hoe configureer ik mijn RADIUS-servers?

Hier vindt u hier de eduroam-wiki van GÉANT. Deze documentatie gaat over eduroam, maar voor govroam gelden dezelfde principes. U moet alleen waar nodig 'SSID eduroam' door 'SSID govroam' vervangen.

Wat is Open1X?

Open1X is de open-source IEEE 802.1X-implementatiesoftware. We raden u aan de Open1X-software te gebruiken om het 802.1X-protocol te beheren. Deze software is hier beschikbaar (voor apparaten met Windows, Mac OS X of Linux).

Belangrijk!

Controleer voordat u het 802.1X-protocol configureert of uw draadloze adapter WPA ondersteunt. Alle recente kaarten ondersteunen dit, maar sommige oudere adapters niet.

Hoe werkt het RADIUS hiërarchieprotocol?

  • Nationaal niveau:

De dienst eduroam maakt gebruik van het RADIUS- protocol, waarmee eenvoudig gegevens kunnen uitgewisseld worden. Organisatie A ontvangt een gebruiker van organisatie B en die gebruiker logt in op het draadloos netwerk van organisatie A.

Op dat moment zal de RADIUS-server van organisatie A de gegevens (gebruikersnaam en wachtwoord) van de gebruiker ter controle doorsturen naar de RADIUS- server van organisatie B. Dit gebeurt via de RADIUS- server van Belnet, die een verzoek ontvangt van de RADIUS-server van organisatie A. Daarna stuurt de server van Belnet onmiddellijk een verzoek naar de RADIUS-server van organisatie B.

Dankzij de creatie van een Transport Layer Security-tunnel tussen de gebruiker en zijn organisatie, kan de server van organisatie B zijn eigen gebruiker op een veilige manier identificeren. Na de controle ontvangt de RADIUS-server van organisatie A de boodschap dat de gebruiker bekend is binnen organisatie B. En zo krijgt de gebruiker toegang tot het draadloos netwerk van organisatie A.

schema govroam

  • Internationaal niveau:

Indien organisatie B een internationale organisatie is, wordt hetzelfde principe gevolgd. De RADIUS-server van Belnet stuurt nu echter ook een verzoek naar de Europese RADIUS-server die op zijn beurt een verzoek stuurt naar het nationale knooppunt van organisatie B. De nationale RADIUS-server van organisatie B stuurt dan een verzoek naar de RADIUS-server van de organisatie zelf. Er wordt terug een tunnel aangemaakt tussen de gebruiker en zijn instelling, waarop de RADIUS-server van organisatie B de nodige informatie stuurt naar organisatie A.

De thuisorganisatie van de gebruiker blijft dus verantwoordelijk voor het bijhouden en controleren van de gebruikersnaam en het wachtwoord, ook als de gebruiker zich bij een gastorganisatie bevindt. Deze gegevens worden niet gedeeld met andere aangesloten instellingen.

hierarchie radius eduroam

What is RadSec?

RadSec staat voor Secure RADIUS-protocol. Dit is een protocol dat het radiusprotocol implementeert bovenop de TLDv3-transportlaag zoals gedefinieerd in het ietf-concept “draft-ietf-radext-radSec-12”. U kunt RadSec alleen gebruiken als uw organisatie lid is van de Belnet R&E Federation. Alleen onderzoeks- en onderwijsorganisaties kunnen lid worden van de R&E Federation. U moet zich ook abonneren op de persoonlijke certificaatservice van Belnet.

Vertrouwen als basis

RadSec als hiërarchisch model zorgt voor een goede vertrouwensrelatie tussen elke deelnemer. Met RadSec moet u certificaten verzenden tussen RADIUS-servers. De certificaten moeten voldoen aan een certificaatbeleid. Het gebruik van dit beleid en gerelateerde certificaten zorgt voor een vertrouwensrelatie tussen alle deelnemers. Momenteel gebruikt Belnet de eduPKI private key-infrastructuur om de certificaten voor de .be RADIUS-servers van het hoogste niveau te verkrijgen.

RADIUS hiërarchieprotocol of RadSec-protocol?

De huidige implementatie van eduroam (RADIUS hiërarchieprotocol) werkt zeer goed. Door het groeiende aantal gebruikers en organisaties wereldwijd beginnen we echter bepaalde problemen met de timing en betrouwbaarheid van de communicatie op te merken. Met RadSec willen we niet alleen deze problemen oplossen, maar ook enkele nuttige functies toevoegen en het systeem flexibeler maken.

RADIUS hierarchy protocol RadSec Protocol
  • Gebruik van UDP
    Het gebruik van dit protocol is betrouwbaarder tussen RADIUS-servers. Dit vermindert eventuele time-outs en betrouwbaarheidsproblemen.
  • Gebruik van TCP
    Het gebruik van dit protocol is betrouwbaarder tussen RADIUS-servers. Dit vermindert eventuele time-outs en betrouwbaarheidsproblemen.                                         
     
  • MTU
    RadSec heeft een beter MTU (Maximum Transmission Unit) detectie- en fragmentatiebeheer.
  • RADIUS-serverhiërarchie
    Een verbinding via de RADIUS-server houdt in dat er cumulatieve communicatiestromen en verwerkingstijden zijn tussen de hiërarchieniveaus.
  • Realm management
    Niet-nationale domeinen op het hoogste niveau, zoals .net, .org, .edu en .eu, vereisen realm management.

     

 

 

  • Trust relationship
    Elke RADIUS-server moet zichzelf authenticeren met speciale servercertificaten die het mogelijk maken om de “thuis”-instelling met een DNS-query te ontdekken.
     
  • Gebruik van DNS- Discovery
    Door DNS Discovery te gebruiken, hoeven we geen point-to-pointverbinding te maken. Op deze manier voorkomen we cumulatieve communicatiestromen en verwerkingstijden.
     
  • Realm management
    Met DNSDiscovery kunt u uw eigen DNS configureren met andere domeinen dan die op het nationale hoogste niveau. Hiervoor hoeft u alleen SRV- en NAPTR-records toe te voegen.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Wanneer ik me probeer aan te melden met mijn login en paswoord, wordt er mij om een CA certificaat gevraagd. Wat moet ik doen?

U moet controleren of het certificaat overeenkomt met het certificaat van uw instelling en of de juiste CA is gebruikt. Neem contact op met de ICT-afdeling van uw instelling om de te volgen procedure te kennen.

Wat is Belnet Multi-Factor Authentication (MFA)?

Multi-Factorauthenticatie is een elektronische authenticatiemethode waarbij een gebruiker pas toegang krijgt tot een applicatie of website nadat hij met succes twee of meer verificatiefactoren heeft verstrekt, waardoor de kans dat uw organisatie slachtoffer wordt van cybercriminaliteit gevoelig kleiner wordt.

Waarom is Multi-Factor Authentication belangrijk?

Het belangrijkste voordeel van MFA is dat het de beveiliging van uw organisatie verbetert doordat uw gebruikers zich moeten identificeren met meer dan enkel een gebruikersnaam en wachtwoord.
Door het gebruik van een MFA-factor af te dwingen zoals een TOTP die uw gebruikers hebben ontvangen op hun smartphone, zorgt u voor een betere bescherming van gebruikersinformatie en gevoelige bedrijfsgegevens.

Hoe gebruik je Belnet Multi-Factor Authentication voor de eerste keer?

Je moet gebruikersnaam verbinden met een 'Authenticator' naar keuze. Er bestaan verschillende authenticatoren met TOTP, zoals: Google Authenticator, Microsoft Authenticator of SaasPass.

  1. Installeer de authenticator naar keuze op je gsm vóór je je voor de eerste keer aanmeldt.
  2. Log in op de Belnet-app waarvoor je je persoonlijke Belnet-login nodig hebt, zoals het Belnet Portal.
  3. In het begin zal je uit twee mogelijke authenticatiemethoden kunnen kiezen: met of zonder MFA. Dat is slechts tijdelijk, zodat je vertrouwd kan raken met de nieuwe methodologie. In de toekomst zal er maar één optie (die met MFA) beschikbaar zijn. Selecteer de versie met MFA voor je organisatie.
    MFA choice screen
  4. Selecteer de organisatie met MFA en log in zoals voordien. Na de wachtwoordverificatie krijg je een nieuw scherm te zien:
    enrol to TOTP
  5. Omdat je nog geen verbinding hebt gemaakt, klik je op 'Enroll to TOTP'.
  6. Je zal je nog eens moeten authenticeren met LDAP om je TOTP seed code aan te maken.
    select jouw organsatie
  7. Een nieuw scherm zal je QR-code en TOTP seed tonen:

    QR Code
     
  8. Deze QR-code is uniek en ontvang je eenmalig. Als back-up kan je de QR-code opslaan (neem een screenshot of foto). Doe dat vooral als je besluit om nu nog geen verbinding te maken met je authenticatorapp.
  9. Open de geïnstalleerde authenticatorapp op je gsm. Kies om een extra authenticatie toe te voegen (dat hangt af van de gekozen authenticatorapp, gelieve de beschrijving van de app te raadplegen) en klik op de optie om een QR-code te scannen en een nieuwe authenticatie toe te voegen.
  10. Je bent nu klaar om de authenticator te gebruiken om in te loggen met MFA met je persoonlijke Belnet-login. De authenticatorapp genereert 6- tot 8-cijferige codes die slechts tijdelijk geldig zijn.
  11. Note that it is not possible to use <Back> in your browser to go back to the login screen. Just proceed with step 1 under “Use of MFA after enrolment”.

Hoe gebruik je Belnet Multi-Factor Authentication na verbinding met de authenticator app?

  1. Log in op de Belnet-app waarvoor je je persoonlijke Belnet-login nodig hebt, zoals het Belnet portal.
  2. In het begin zal je uit twee mogelijke authenticatiemethoden kunnen kiezen: met of zonder MFA. Dat is slechts tijdelijk, zodat je vertrouwd kan raken met de nieuwe methodologie. In de toekomst zal er maar één optie (die met MFA) beschikbaar zijn. Selecteer de versie met MFA voor je organisatie.
  3. Log in zoals voordien. Na de wachtwoordverificatie krijg je een nieuw scherm te zien waarop je een tokencode moet invoeren:
    enrol to TOTP
     
  4. Open de authenticatorapp, lees de tokencode (6 tot 8 cijfers) en voer die in op de Belnet-website. 5. Je bent nu ingelogd.

Wat te doen in geval van verlies van je gsm?

Als je je gsm verloren bent of als hij niet langer werkt, volg dan de volgende stappen:

  1. Log in op de Belnet-app waarvoor je je persoonlijke Belnet-login nodig hebt, zoals het Belnet portal.
  2. In het begin zal je uit twee mogelijke authenticatiemethoden kunnen kiezen: met of zonder MFA. Dat is slechts tijdelijk, zodat je vertrouwd kan raken met de nieuwe methodologie. In de toekomst zal er maar één optie (die met MFA) beschikbaar zijn. Selecteer de versie met MFA voor je organisatie.
  3. Log in zoals voordien. Na de wachtwoordverificatie krijg je een nieuw scherm te zien waarop je een tokencode moet invoeren:
    enrol to TOTP
  4. Klik op 'Reset TOTP'. Je zal een e-mail ontvangen op je e-mailadres en het volgende bericht zien op de website:

    a reset token message
     
  5. Open je mailbox. Je zal het volgende bericht ontvangen hebben:
    mail for request of reset of a TOTP
  6. Klik op de opgegeven URL. Je wordt vervolgens naar een website geleid waar je je gebruikersnaam moet invoeren:

    Username login
     
  7. Nadat je je gebruikersnaam hebt ingevoerd, krijg je het volgende te zien:
    message TOTP
  8. Volg de stappen onder 'Eerste keer MFA gebruiken' in dit document om opnieuw verbinding te maken.

Wat als mijn Belnet Personal Login gelinkt is aan verschillende organisaties?

Dan moet je MFA opzetten voor elke organisatie afzonderlijk zodat je een token bekomt per organisatie.

 

 

Toegang tot onze eduroam-interface

Meer technische informatie over de managementinterface? Lees onze handleiding

Vond u deze FAQ nuttig?

Copyright © 2021 Belnet.