Séminaire Aristote
Sécurité et Mobilité
Retour sur les déploiements eduroam et
Fédération Éducation/Recherche
7 février2013
Agenda
• La communauté RENATER
• L’offre de service
• La mobilité numérique avec la Fédération Éducation/Recherche
• La mobilité réseau avec eduroam
• Conclusion
La communauté RENATER
La communauté des utilisateurs 1/2
Le BRGM : Bureau de la Recherche Géologique et Minière Le CEA : Commissariat à l’Energie Atomique
IRSTEA : Institut National de Recherche en Sciences et Technologies pour l’environnement et l’agriculture
Le CIRAD : le Centre de coopération Internationale en Recherche Agronomique pour le Développement
Le CNES : Centre National d’Etudes Spatiales
Le CNRS : Centre National de la Recherche Scientifique La CPU : La Conférence des Présidents d’Université L’INRA : Institut National de la Recherche Agronomique
INRIA : Institut National de Recherche en Informatique et Automatique L’INSERM : Institut National de la Santé et de la Recherche Médicale L’IRD : Institut de recherche pour le développement
Le Ministère de l’Education nationale : Ministère de l’Education nationale
Le Ministère de l’Enseignement Supérieur et de la Recherche : Ministère de l’Enseignement Supérieur et de la Recherche
L’ONERA : le centre français de recherche aérospatiale
La communauté des utilisateurs 2/2
Etablissements d’enseignement ou de recherche relevant d’autres tutelles (industrie, culture, agriculture, défense …)
Fondations impliquées dans la recherche (Institut Curie, Institut Pasteur …)
Grands établissements (CSI, IRCAM …)
…
⇒ 1400+ sites
⇒ 2+ Mutilisateurs
L’offre RENATER
6
L’ offre RENATER
Une infrastructure réseau
Un portefeuille de services pour l’enseignement et la recherche
• Services réseaux
• Services applicatifs
• La sécurité
Quelques chiffres
Une couverture réseau complète
• 11 900 km de fibre optiques, 72 points de présence (NR)
• Réseau: 125 longueurs d’onde 10G
• Trafic: connectivité extérieure cumulée de près de 200Gbit/s, 100+Po échangés avec l’extérieur en 2012
• 1400+ prises en France métropolitaine et DOM/TOMs Des services très utilisés
• 10 000 certificats électroniques délivrés au total
• 30 000 appels téléphoniques/an
• Antispam pour 800 000 comptes de messagerie, 2 000 000 d’emails filtrés par jour
• Accès WIFI eduroam : plus de 150 établissements opérationnels, 50 000 requêtes/jour en France
• Près de 20000 visioconférence RMS et EVO par an
• Le service de listes de diffusion Universalistes : 400 000 abonnés
QoS
IPv4
IPv6
Multicast
Lambda 10GE L2VPN
L3VPN DNS
Allocation IP
Réseau Voix et images
EVO
H323
ToIP
Circuits
Gatekeeper
MCU
IPBX Mobilité
eduroam
Eduspot
802.1X Wi-Fi
Sécurité
CERT
Certificats serveurs
Certificats de
personne TCS
Middleware Applicatifs
Universalistes
SourceSup
Sympa
Metaliste Fédération Education-
Recherche
Edugain SAML
Shiboleth Anti-spam
Anti-virus
Sécurité
La mobilité numérique :
La Fédération Education/Recherche
10
Le contexte :
Le paysage de l’enseignement supérieur et de la recherche se consolide
Les réseaux autorisent désormais l’accès massif aux ressources distantes
De plus en plus d’utilisateurs utilisent les services de plusieurs organisations
Offres de services mutualisées de plus en plus nombreuses (PRES, UNR, …)
De plus en plus de mutualisations au niveau national
⇒ Comment passer à l’échelle pour
l’authentification et l’accès ?
La Fédération Education-Recherche
Infrastructure nationale Pour authentification web
Mécanismes de fédération d’identités Utilisant le logiciel Shibboleth
Implémente le protocole SAML
Fédération / comment ça marche ?
Fédération / précisions
Les mots de passe ne circulent pas
Juste une preuve d
’authentification
Authentification ET attributs utilisateurs
Utiles pour contrôle d
’accès et personnalisation
On ne réinvente rien
Branchement CAS et LDAP
On est interopérable
Protocole SAML
On contrôle les échanges
On peut restreindre le cercle de confiance
Les comptes CRU
Comptes Réseaux Universels
IdP ouvert à tous les utilisateurs :
Création du compte en quelques minutes Sans formalités
Ne nécessite qu’une adresse électronique valide
Permet d’accéder aux (nombreux) services qui les acceptent
Mais …
Pas de vérification de l’identité
Ressources documentaires E-learning
Accès Wi-Fi
Applications métier mutualisées
Applications et services nationaux (dont RENATER) Extranet
Distribution de logiciels
…
Fédération / Pour faire quoi ?
Fédération / Qui l ’ utilise ?
En France
(février 2013)169 fournisseurs d’identités 337 ressources enregistrées
Des ressources locales non enregistrées
RENATER
Migration progressive de tous les services (portails, visio, groupware …) vers une authentification fédérée
Dans d'autres pays
https://federation.renater.fr/docs/autres_federations Interopérables dans le cadre du projet européen
eduGAIN
Initiative européenne d’inter-fédération
Ouverte aux fédérations non européennes
Favorise l ’ échange et l ’ accès à des ressources internationales
Norme SAML 2
Fédération Education-Recherche en cours
d’intégration (cible mi 2013)
Etat du déploiement dans le monde (février 2013)
Fédération / sujets en cours …
Amélioration d’ergonomie à apporter
Intégration en mode SSO dans les ENT
Qualité des référentiels d’identité utilisés pour les IDP
En liaison avec l’activité SupAnn de normalisation des annuaires de la communauté E/R
Concentration des risques sur les IDP (identity provider)
Développement d’IDP avec authentification multi-facteurs
Extensions internationales : eduGAIN
La mobilité réseau :
21
Le contexte :
Différentes opérations nationales
ont développé l’utilisation du WIFI pour les étudiants, les chercheurs et les personnels
L’utilisation d’un ordinateur portable pendant les réunions est désormais banalisé
(y compris pour le chat en support de la visio)
Les collaborations entre établissements se multiplient, les personnels se déplacent …
Les cursus communs se multiplient, les étudiants se déplacent …
⇒ Comment fournir l’accès WIFI partout et pour tous sans multiplier l’effort correspondant ?
eduroam pour l ’ utilisateur E/R
C ’ est une connexion Wi-Fi
Sécurisée (802.1x)
Utilisable dans son établissement d’origine Utilisable dans d’autres établissements
Utilisable à l’étranger
Saisie de son login habituel Configuration initiale du client (PC/mac/tablette/smartphone …)
eduroam en 1:31 min
www.eduroam.org
http://vimeo.com/32210851
eduroam / où l ’ utiliser ?
>150 établissements français membres
~300 sites déclarés
100.000 logins inter-etab en octobre 2010
Europe
36 pays couverts
800+ organisations membres 4500 sites déclarés
Monde
54 pays
Près de 6000 sites
eduroam / où l ’ utiliser ?
>150 établissements français membres
~300 sites déclarés
100.000 logins inter-etab en octobre 2010
Europe
36 pays couverts 800+ org membres 4500 sites déclarés
Monde
54 pays
Près de 6000 sites
eduroam / qui fait quoi ?
L’infrastructure internationale
Europe, USA, Canada, Asie
Serveur radius racine
Organisation financée par l’UE dans le cadre du projet GN3
eduroam en France
Opéré par RENATER
Un service radius proxy national (redondé)
Les établissements
Opèrent un serveur radius pour leurs utilisateurs Proposent des points d’accès Wi-Fi
eduroam / comment ça marche ?
eduroam.fr
eduroam.de univ-xx.de univ-xx.fr crous
radius
référentiel utilisateurs
chiffré 802.1x
Radius
eduroam / utilisation en mobilité
Accès inter-établissement par minute
Augmentation visible sur 12 mois
eduroam / sujets en cours …
Homogénéité des protocoles d’authentification 802.1x
Co-existence (ou pas) de TTLS et PEAP sur les sites En cours d’harmonisation
⇒ http://www.eduroam.fr/monitoring/monitoring.html
Configuration des postes clients
Déploiement imminent d’un service de configuration au niveau européen
⇒ https://cat-test.eduroam.org/
Filtrages mis en œuvre sur les accès eduroam
Préconisation pour les sites
⇒ https://services.renater.fr/ssi/_media/cert/pf-wifi-v6-1f.pdf
Extension d’eduroam vers des réseaux d’opérateurs Support à l’utilisateur
To do (better)
Bonus !
L’accès réseau nomade grâce à la Fédération Education/Recherche
31
eduspot … pourquoi ?
eduroam ne répond pas à 100% des besoins Situation selon les établissements
eduroam pour tout le monde
eduroam pour enseignants et personnel Pas d’eduroam
Les autres solutions Wi-Fi
De type portails captifs Authentification
locale (LDAP, CAS) fédérée (Shibboleth)
Fonctionnement
fournisseur d’’’’identités univ-xx.fr
Portail
+ SP Shibboleth Non chiffré
fournisseur d’’’’identités Univ-yy.fr
eduroam eduspot
Sécurité Flux radio chiffré (802.1x) Flux radio non chiffré
Authentification EAP / Radius (via proxies éventuellement) Fédération d’identités (échange direct utilisateur IdP)
Configuration Configuration du poste utilisateur Aucune (lancement navigateur)
Contraintes
architecture Serveur radius + raccordement au proxy Portail + white list + SP Shibboleth
Ergonomie Transparent (modulo profil standard) Pas de configuration du poste. Plusieurs clics. Partage session ENT
Couverture Internationale (arbre) Nationale (cercle de confiance)
Comptes invités Envisageable Envisageable
vs.
Principaux enseignements
Pour les services à l’utilisateur final, le passage à l’échelle dans la communauté E/R nécessite une organisation répartie La publicité du monitoring des services distribués favorise l’implication des acteurs locaux
L’accompagnement de l’utilisateur final reste un défi à relever à tous les niveaux
Le contexte (plateformes collaboratives, visio, BYOD, équipes réparties, services mutualisés …) et plus que jamais
demandeur d’outils pour la mobilité.
Dès les freins techniques levés, l’adhésion à ces services est toute naturelle pour les utilisateurs !