MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL APPLE MAC OS X
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
MANUEL UTILISATEUR
ENVIRONNEMENTS DE TRAVAIL APPLE MAC
OS X
Auteur Direction des Systèmes d'Information (DSI)
Université de Nantes, Pôle Réseau & Sécurité
Version & date 1.2 du 8 décembre 2011
1 LIENS
[1] Intel PROSet/Wireless http://www.intel.com
[2] Liste des établissements membres d'eduroam.fr http://www.eduroam.fr/service.php
[3] Surveillance de l'état des membres d'eduroam.fr http://www.eduroam.fr/monitoring/monitoring.html
[4] Projet eduroam http://www.eduroam.org
[5] Projet eduroam.fr Http://www.eduroam.fr
[6] Supplicant SecureW2 http://www.securew2.com/
|7] Portail eduroam Université de Nantes http://eduroam.univnantes.fr/
[8] Charte d'utilisation RENATER http://www.renater.fr/IMG/pdf/charte_fr.pdf
2 GLOSSAIRE
AAA Authentication Authorization Accounting
Modèle de contrôle d'accès proposant les services d'authentification, d'autorisation et d'accounting
CRU Comité Réseau des Universités
DHCP Dynamic Host Configuration
Protocole assurant la configuration automatique de la pile TCP/IP des postes de travail.
EAP Extensible Authentication Protocol
EDUROAM EDUcational ROAMing
RENATER REseau NAtional de télécommunications pour la Technologie, l'Enseignement et la Recherche
RPUN Réseau Privé Université de Nantes
SSID Service Set Identifier
TKIP Temporal Key Integrity Protocol
Protocole d'authentification et d'échange de clés comblant en partie les failles de sécurité du WEP
UN Université de Nantes
WEP Wired Equivalent Privacy
Protocole de sécurisation du lien radio supplanté depuis par le WPA et le WPA2
WLAN Wireless LAN
Réseau local sans fil, également appelé réseau WiFi
WPA WiFi Protected Access
WPA est un ensemble de protocoles de sécurité comprenant une couche de chiffrement et de contrôle
d'intégrité avec TKIP et une couche d'authentification avec 802.1x/EAP. Il est aujourd'hui remplacé par le
WPA2 dont la robustesse est sensiblement améliorée avec la couche de chiffrement CCMP/AES.
3 DÉFINITIONS
Communauté eduroam Ensemble des établissements membres de l'eduroam
Connectivité IPv4 / IPv6 Poste de travail bénéficiant d'une adresse IP au format IPv4 (et/ou IPv6), lui permettant
de profiter de services applicatifs (ex. navigation web, messagerie) euxmêmes en
IPv4 (et/ou IPv6).
eduroam.fr Communauté eduroam pour la France. Eduroam.fr est piloté par le CRU et proposé à
l'ensemble des établissements agréés RENATER
Établissement de rattachement Établissement d'enseignement et/ou de recherche auquel appartient l'usager
Établissement visité Établissement d'enseignement et/ou de recherche dans lequel se déplace l'usager
Radius Protocole implémentant le modèle AAA
Service eduroam Service de mobilité offert à la communauté eduroam et disponible dans la plupart des
pays de l'Union Européenne dont la France ainsi qu'au Canada, Australie, Taïwan...
Supplicant Couche logicielle réalisant l'authentification de l'usager sur l'infrastructure réseau sans
fil d'un établissement membre de l'eduroam.
Usager Utilisateur – personnel administratif, enseignant, chercheur, étudiant – du service
eduroam.
DSI UNIVERSITÉ DE NANTES MANUEL UTILISATEUR EDUROAM SOUS APPLE MAC OS X VERSION 1.2
4 INDEX
1 LIENS........................................................................................................................................................... 2
2 GLOSSAIRE..................................................................................................................................................... 2
3 DÉFINITIONS................................................................................................................................................... 2
4 INDEX........................................................................................................................................................... 3
5 PRÉAMBULE.................................................................................................................................................... 3
6 PRÉSENTATION................................................................................................................................................ 4
6.1 POPULATION VISÉE.................................................................................................................................. 4
6.2 PRINCIPE GÉNÉRAL.................................................................................................................................. 4
6.3 SÉCURITÉ............................................................................................................................................. 4
7 EDUROAM À L'UNIVERSITÉ DE NANTES.................................................................................................................... 5
7.1 CHARTES............................................................................................................................................... 5
7.2 ZONES COUVERTES.................................................................................................................................. 5
7.3 SERVICES
ACCESSIBLES................................................................................................................................................ 5
7.4 STANDARDS SUPPORTÉS............................................................................................................................ 7
8 MODE OPÉRATOIRE........................................................................................................................................... 7
8.1 PRINCIPE GÉNÉRAL.................................................................................................................................. 7
8.2 CHOIX D'UN SUPPLICANT........................................................................................................................... 8
8.3 PARAMÉTRAGE INTERFACE WLAN................................................................................................................. 8
8.4 CONNEXION INITIALE................................................................................................................................ 8
8.5 RECONNEXION À L'EDUROAM.................................................................................................................... 12
9 NAVIGATION WEB............................................................................................................................................ 13
9.1 USAGERS EXTÉRIEURS............................................................................................................................ 13
9.2 USAGERS UN........................................................................................................................................ 15
PAGE 3/17
5 PRÉAMBULE
Le présent manuel utilisateur est avant tout destiné aux étudiants et personnels de l'Université de
Nantes désirant se connecter au réseau sans fil eduroam depuis l'un des sites de l'Université.
Ce manuel est également utile aux usagers extérieurs en visite à l'Université de Nantes ou encore
aux personnels, étudiants de l'Université de Nantes en déplacement dans un établissement
d'enseignement supérieur et de recherche membre de l'eduroam. Dans chacune de ces situations, l'usager
devra se référer aux instructions de son établissement de rattachement et de l'établissement visité afin de
parfaire la procédure de connexion.
6 PRÉSENTATION
6.1 POPULATION VISÉE
Eduroam est un service de mobilité ouvert aux usagers personnels administratifs, enseignants,
chercheurs, étudiants des établissements d'enseignement supérieur et de recherche. Les établissements
membres d'eduroam partagent avec la communauté d'usagers leurs infrastructures réseau sans fil
respectives. L'ensemble constitue un « hotspot » WiFi géant où la population eduroam bénéficie d'une
connectivité haut débit à Internet.
Eduroam vise à favoriser la mobilité des personnels et étudiants entre différents établissements dans
le cadre de programmes d'échange internationaux, déplacements professionnels, etc. A ce jour, le projet de
mobilité européen eduroam couvre la quasi totalité des pays de l'UE ainsi que plusieurs institutions au
Canada, Australie, Chine, Taïwan, Hong Kong, Japon, etc. La liste complète des établissements étrangers
couverts est disponible sur le site [4]. eduroam.fr est la déclinaison française du projet eduroam. Plus de
110 établissements français sont, aujourd'hui, membres d'eduroam.fr, dont l'Université de Nantes. A plus ou
moins court terme, on estime que la totalité des établissements français sera intégrée à la communauté
eduroam.fr et en corollaire à eduroam. La liste réactualisée des établissements eduroam.fr est disponible
sur le site [2].
6.2 PRINCIPE GÉNÉRAL
Un usager rattaché à l'Université de Nantes étudiant, personnel administratif, enseignant,
chercheur, stagiaire (...) se déplaçant dans n'importe quel établissement membre de l'eduroam
s'authentifiera sur l'infrastructure réseau sans fil de l'établissement visité en saisissant son couple
identifiant et mot de passe UN – celui là même qui ouvre l'accès à l'intranet de l'Université, nomade, la
messagerie, etc. –.
Réciproquement, l'usager d'un établissement tiers, membre de l'eduroam, se déplaçant sur l'un des
sites de l'Université de Nantes s'authentifiera sur notre infrastructure réseau sans fil au moyen du couple
identifiant et mot de passe de son établissement de rattachement.
Dans chacune de ces deux situations, l'établissement visité n'a pas la moindre action à entreprendre
avant, pendant et après le passage d'un usager extérieur : point de compte invité à créer, de
reconfiguration de matériels, serveurs, applications à la charge de ses équipes de support informatique.
Tout cela est rendu possible par une hiérarchie de serveurs distribués AAA RADIUS, à la manière des
serveurs de noms de l'Internet (DNS). Les établissements membres de l'eduroam hébergent un ou
plusieurs serveurs AAA RADIUS assurant essentiellement le service d'authentification de leurs propres
usagers qu'ils soient insitu ou en déplacement.
Les lecteurs souhaitant prendre connaissance des détails techniques sont invités à se référer aux
sites [4] et [5].
6.3 SÉCURITÉ
Les secrets d'authentification des usagers sont protégés de boutenbout en confidentialité et
DSI UNIVERSITÉ DE NANTES MANUEL UTILISATEUR EDUROAM SOUS APPLE MAC OS X VERSION 1.2
intégrité. Ils sont transmis dans un tunnel sécurisé SSLv3/TLSv1 établi entre le poste de l'usager et les
serveurs AAA RADIUS de son établissement de rattachement. Malgré toute la robustesse de ce mode
d'encapsulation, l'usager est invité à prendre des mesures complémentaires décrites en détail dans la suite
du document. Il s'agit, en pratique, d'éviter toute usurpation d'identité d'un serveur AAA RADIUS en
contrôlant le certificat X.509v3 renvoyé par celuici en phase d'établissement du tunnel SSLv3/TLSv1.
Les différences entre les réseaux sans fil eduroam et univnantes sont nombreuses. La principale
d'entreelles est certainement que le réseau univnantes ne protège pas le lien radio entre le poste de
l'usager et la borne sans fil. En d'autres termes, le lien n'est ni protégé en confidentialité tout y passe en
clair, sans le moindre chiffrement , ni en intégrité les trames échangées sont librement manipulables par
un tiers . Ceci oblige naturellement l'emploi de protocoles de plus haut niveau (ex. HTTPS, IMAPS, POPS,
etc.) sécurisés à chaque fois que des données sensibles doivent être échangées, comme au moment de la
phase d'authentification sur le portail captif. La situation est radicalement différente avec le réseau sans fil
eduroam où le lien radio est désormais protégé à la fois en confidentialité et en intégrité.
Nota: une faille de sécurité a été publiée en Q3/2008 sur la couche protocolaire TKIP. Même si
l'impact de la faille reste aujourd'hui limité, il n'en demeure pas moins qu'elle ouvre des chemins d'attaque
sur les réseaux sans fil. Pour des raisons d'interopérabilité avec des postes de travail anciens, nous
sommes tenus pour le moment de maintenir ce protocole sur l'infrastructure de l'Université de Nantes.
Comme cela est rappelé par la suite, il est fortement conseillé à chaque fois que possible d'employer la
couche protocolaire AESCCMP à la place du TKIP.
7 EDUROAM À
L'UNIVERSITÉ DE NANTES
7.1 CHARTES
Les usagers de l'eduroam connectés sur l'infrastructure réseau sans fil de l'Université de Nantes
s'engagent à respecter la charte RENATER [8]. Une copie de celleci est disponible sur le portail eduroam
de l'Université [7].
7.2 ZONES COUVERTES
L'Université de Nantes a déployé un vaste réseau sans fil constitué de plus de 350 bornes
compatibles IEEE 802.11b/g et IEEE 802.1x réparties sur la quasi totalité de ses sites. Les bornes diffusent
deux SSID, l'un dénommé eduroam et l'autre univnantes protégé par un portail captif.
Il est demandé aux personnels et étudiants de l'Université de Nantes d'employer le réseau sans fil
eduroam en lieu et place de univnantes. Le portail captif derrière univnantes ne devrait être employé
que très occasionnellement, notamment, en cas d'indisponibilité prolongée du réseau eduroam, de
problème technique affectant le poste de travail...
Les sites géographiques où sont déployés ces deux réseaux sans fil sont présentés sur une carte
Google Maps [7]. Les principales zones de couverture à l'intérieur de ces sites sont signalées par une
affichette.
7.3 SERVICES
ACCESSIBLES
L'Université de Nantes a déployé en périphérie de son infrastructure réseau sans fil des systèmes de
contrôle d'accès différentiés selon le groupe d'appartenance de l'usager. Trois grands groupes sont
aujourd'hui définis :
1. les étudiants de l'Université de Nantes,
2. les personnels de l'Université de Nantes – personnels administratifs, enseignants, chercheurs –,
3. les usagers extérieurs, autrement dit rattachés à un établissement tiers, membre d'eduroam.
PAGE 5/17
DSI UNIVERSITÉ DE NANTES MANUEL UTILISATEUR EDUROAM SOUS APPLE MAC OS X VERSION 1.2
GROUPE D'APPARTENANCE SERVICES AUTORISES SUR INTERNET / LE RPUN
GROUPE 1 : ÉTUDIANTS UN
✔ vers Internet et le RPUN :
○ Navigation sur le web : HTTP(S)
• à travers un mandataire en IPv4 (proxy)
• connexion directe en IPv6
○ Transfert de fichiers : FTP
• à travers un mandataire en IPv4 (proxy)
• connexion directe en IPv6
○ Vidéoconférence
• Pont UN : visioconference.univnantes.fr
• EVO (evo.caltech.edu)
○ Contenus multimédia « streamés » : RTSP, RTMP
○ Tests de connectivité : ICMP ECHO REQUEST
✔ vers le RPUN :
○ Synchronisation des horloges : NTP
○ Résolution de noms : DOMAIN UDP/TCP
○ Relever son courrier : IMAP4(S), POP3(S)
○ Envoyer des courriers : SMTP(S)
○ Messagerie instantanée : JABBER
GROUPE 2 : PERSONNELS UN
✔ vers Internet et le RPUN :
○ Navigation sur le web : HTTP(S)
• à travers un mandataire en IPv4 (proxy)
• connexion directe en IPv6
○ Transfert de fichiers : FTP
• à travers un mandataire (proxy)
• connexion directe en IPv6
○ Vidéoconférence
• Pont UN : visioconference.univnantes.fr
• EVO (evo.caltech.edu)
○ Contenus multimédia « streamés » : RTSP, RTMP
○ Tests de connectivité : ICMP ECHO REQUEST
✔ vers le RPUN :
○ Synchronisation des horloges : NTP
○ Résolution de noms : DOMAIN UDP/TCP
○ Relever son courrier : IMAP4(S), POP3(S)
○ Envoyer des courriers : SMTP(S)
○ Messagerie instantanée : JABBER
○ Accès distant sécurisé : SSH
PAGE 6/17
DSI UNIVERSITÉ DE NANTES MANUEL UTILISATEUR EDUROAM SOUS APPLE MAC OS X VERSION 1.2
GROUPE 3 : USAGERS EXTÉRIEURS
✔ vers Internet en IPv4 et IPv6 :
○ Navigation sur le web : HTTP(S)
○ Transfert de fichiers : FTP
○ Réseaux Privés Virtuels : IPSec ESP (ports UDP et TCP 10000
et 4500), ISAKMP, OpenVPN (port UDP et TCP 1194), SSH
○ Relever son courrier : POP(S), IMAP(S)
○ Envoyer des courriers : SMTP(S)/AUTH
○ Tests de connectivité : ICMP ECHO REQUEST
○ Vidéoconférence
• Pont UN : visioconference.univnantes.fr
• EVO (evo.caltech.edu)
○ Synchronisation des horloges : NTP
○ Contenus multimédia « streamés » : RTSP, RTMP
✔ vers le RPUN :
○ Résolution de noms : DOMAIN UDP/TCP
Les connexions vers le RPUN sont interdites exception faite de la résolution DNS
vers les serveurs de l'Université et des services dits publics, par ailleurs
accessibles de l'Internet.
Les trois groupes d'usagers bénéficient d'une double connectivité IPv4 et IPv6 à Internet et au
RPUN. En comparaison, le réseau sans fil univnantes dispose, lui, d'une simple connectivité IPv4.
La politique de sécurité mise en place à l'Université de Nantes interdit toute connexion entrante sur
ses différents réseaux sans fil, que ce soit depuis Internet ou le RPUN. Les connexions et tentatives de
connexion sont journalisées, archivées et analysées.
Tout usage abusif des ressources informatiques de l'Université est susceptible de faire l'objet de
poursuites judiciaires ou sanctions disciplinaires. Chaque usager est tenu de respecter les termes de la
charte RENATER [8].
7.4 STANDARDS
SUPPORTÉS
Le tableau cidessous récapitule les standards supportés sur l'infrastructure réseau sans fil de
l'Université de Nantes. Ceuxci sont énumérés dans l'ordre décroissant de préférence d'utilisation.
DESCRIPTION STANDARD SUPPORTE
Réseaux sans fil
✔ IEEE 802.11b/g
Mode de connexion au réseau sans fil
✔ WPA2 (Entreprise)
✔ WPA (Entreprise)
à ne pas confondre avec les modes WPA/WPA2 PSK pour PreSharedKey
disponibles sur les équipements sans fil grandpublic
Algorithmes d'échange de clés et de chiffrement de
la liaison sans fil
✔ AESCCMP
✔ TKIP
Protocoles d'authentification
✔ PEAP/MSCHAPv2 ✔ EAPTTLS/MSCHAPv2
✔ PEAP/MSCHAP ✔ EAPTTLS/MSCHAP
✔ PEAP/PAP ✔ EAPTTLS/PAP
La suite protocolaire idéale, offrant le meilleur niveau de protection serait en conséquence : WPA2 +
AESCCMP + (PEAP|EAPTTLS)/MSCHAPv2. Celleci est supportée par l'infrastructure sans fil de
l'Université de Nantes. Cependant, les combinaisons protocolaires acceptables sont susceptibles de varier
PAGE 7/17
DSI UNIVERSITÉ DE NANTES MANUEL UTILISATEUR EDUROAM SOUS APPLE MAC OS X VERSION 1.2
d'un établissement membre de l'eduroam à l'autre. C'est pourquoi certaines vérifications à priori sont
souhaitables pour les étudiants et personnels UN en déplacement dans un établissement français
d'enseignement et de recherche :
● vérifier l'appartenance de cet établissement à la communauté eduroam en se rendant sur
le site [2],
● contrôler le ou les modes et protocoles d'authentification supportés en se rendant sur le
site [3]. En fonction des résultats obtenus, il pourra être nécessaire de modifier le profil de
connexion eduroam obtenu à l'issue du §8.4.
8 MODE OPÉRATOIRE
8.1 PRINCIPE GÉNÉRAL
Le mode opératoire général de connexion au service eduroam est décrit ciaprès. Il reste valable
quelle que soit la localisation géographique de l'usager – Université de Nantes ou autre établissement
membre de l'eduroam – et son établissement d'appartenance – Université de Nantes ou autre – .
1. Activer le service DHCP sur l'interface WLAN du poste de travail. L'opération n'est en principe à
réaliser qu'une seule fois. Elle est décrite au §8.3.
2. Choisir un supplicant, autrement dit, un logiciel de connexion au réseau sans fil sécurisé
« eduroam ». L'étape est décrite au §8.2.
3. Configurer le supplicant conformément aux instructions données au §8.4. L'étape peut
apparaître relativement complexe mais ne sera à effectuer qu'une seule et unique fois, à la
première connexion au réseau sans fil portant le SSID eduroam.
4. S'associer au réseau sans fil eduroam précédemment configuré puis s'authentifier avec
l'identifiant et le mot de passe de son établissement de rattachement. Cette étape sera répétée à
chaque connexion en s'appuyant sur le profil de connexion sauvegardé à l'étape 3. Elle est
décrite au §8.5.
8.2 CHOIX D'UN
SUPPLICANT
Un supplicant, autrement dit un agent IEEE 802.1X compatible WPA et WPA2 est intégré aux systèmes
d'exploitation Mac OS X 10.4.6 et versions ultérieures.
8.3 PARAMÉTRAGE
INTERFACE WLAN
Sous Apple Mac OS X, la phase de paramétrage de l'interface WLAN est directement intégrée au
mode opératoire de connexion initiale.
8.4 CONNEXION INITIALE
Le mode opératoire qui va suivre décrit très précisément les étapes de connexion initiale à l'eduroam
depuis l'infrastructure réseau sans fil de l'Université de Nantes. Il doit être réalisé à partir d'un compte
utilisateur disposant des droits administrateur.
La plupart des lecteurs risquent d'être déroutés en raison de la complexité des opérations de
paramétrage. La raison en est qu'une compréhension pleine et entière de l'eduroam exige des
PAGE 8/17
DSI UNIVERSITÉ DE NANTES MANUEL UTILISATEUR EDUROAM SOUS APPLE MAC OS X VERSION 1.2
connaissances techniques en système, réseau et sécurité difficiles à synthétiser dans un manuel
s'adressant à une population hétéroclite.
Heureusement, ces opérations ne seront réalisées qu'une seule et unique fois, au cours de la
connexion initiale au réseau sans fil eduroam. Un profil de connexion sera à cette occasion
automatiquement créé, sauvegardé et réemployé à chaque nouvelle association à ce réseau. La
facilité d'emploi s'en trouvera grandement augmentée puisque vous n'aurez seulement qu'à saisir
votre identifiant et mot de passe d'authentification pour établir une session eduroam !
Le mode opératoire est entièrement décrit pour les environnements Mac OS X 10.5.8. Il devrait
coïncider à peu de différences près avec des versions antérieures ou ultérieures de ce système.
S'assurer tout d'abord que AirPort, autrement dit le WiFi, est activé
sur le poste de travail en sélectionnant le l'icône éponyme dans la
barre des tâches en haut à droite de l'écran.
Sélectionner « Activer AirPort » si ce choix apparaît.
AirPort affiche la liste des réseaux sans fil disponibles. Sur les zones
couvertes par le WiFi à l'Université de Nantes, les réseaux (SSID)
univnantes et eduroam sont diffusés.
Cliquer sur l'icône Airport puis sélectionner « Se connecter à autre
autre réseau... ».
La fenêtre cicontre s'affiche alors. Renseigner les champs indiqué
cidessous:
• Nom du réseau : eduroam
• Sécurité : « WPA2 Entreprise » ou à défaut « WPA Entreprise ».
En sélectionnant l'un de ces deux modes, la fenêtre de saisie est
automatiquement enrichie avec de nouveaux champs qu'il
convient de renseigner comme suit:
• Nom d'utilisateur :
• personnels UN : identifiant@univnantes.fr ou identifiant (ex.
doej@univnantes.fr ou doej)
• étudiants UN : identifiant@etu.univnantes.fr ou identifiant
(ex. e99001@etu.univnantes.fr ou e99001)
• usagers extérieurs : veuillez vous référer aux instructions de
votre établissement de rattachement.
• Mot de passe : le mot de passe de connexion dans votre
établissement de rattachement. Pour les étudiants ou
personnels UN, il s'agit de votre de mot de passe de connexion
à l'intranet de l'Université.
• 802.1X : automatique
Cocher la case « Mémoriser ce réseau » puis cliquer sur le bouton
« Se connecter ».
Le supplicant Apple tente de s'authentifier auprès du serveur radius
distant. Au cours de cette opération, une fenêtre apparaît, vous
demandant de faire confiance au certificat X.509v3 présenté par le
radius.
Cliquer sur le bouton « Afficher le certificat ».
PAGE 9/17
DSI UNIVERSITÉ DE NANTES MANUEL UTILISATEUR EDUROAM SOUS APPLE MAC OS X VERSION 1.2
Vérifier les points suivants dans le cas où votre établissement de
rattachement est l'Université de Nantes :
• nom du certificat :
• pour les personnels UN : rad.univnantes.fr
• pour les étudiants UN : rad.etu.univnantes.fr
• certificat délivré par TERENA SSL CA
S'assurer que le message « ce certificat est valide » est
présent. La signature du certificat cicontre est ainsi vérifiée ce qui
prévient toute attaque du type l'homme du milieu (HDM) ou Man In
the Middle (MITM). Dans le cas contraire, cliquer sur le bouton
« Annuler ». Un équipement tente d'usurper l'identité d'un des
serveurs radius de l'Université de Nantes. Prenez
immédiatement contact avec votre informaticien de site ou avec
la DSI à l'adresse eduroam@univnantes.fr.
Si tous les précédents éléments sont vérifiés, dérouler le menu sous
« Se fier » puis positionner l'option :
• Lors de l'utilisation de ce certificat : « Toujours approuver »
Cliquer sur le bouton « Continuer ».
Les usagers extérieurs à l'Université de Nantes doivent se conformer
aux instructions de leur établissement de rattachement pour cette
étape.
Saisir le mot de passe système pour enregistrer les modifications de
réglage du trousseau de clés.
Le supplicant poursuit la phase d'authentification. Pour vérifier la bon
déroulement de la connexion sans fil et aussi achever son
paramétrage, il convient de sélectionner avec le bouton droit de la
souris l'icône Réseau sans fil puis de sélectionner le menu « Ouvrir
Préférences Réseau... ».
PAGE 10/17DSI UNIVERSITÉ DE NANTES MANUEL UTILISATEUR EDUROAM SOUS APPLE MAC OS X VERSION 1.2
Le fenêtre cicontre s'ouvre. On peut vérifier à l'état « connecté »
que la connexion sans fil eduroam s'est bien déroulée.
S'assurer que le nom de réseau affiché dans la liste déroulante est
« eduroam » puis cliquer sur le bouton « Avancé ».
Cliquer sur l'entrée « TCP/IP » dans la barre.
S'assurer que le poste récupère automatiquement son IPv4 ainsi
que son IPv6:
• Configure IPv4 : « Via DHCP »
• Configure IPv6 : « Automatiquement »
Cliquer sur l'entrée « 802.1X » dans la barre pour passer à la
configuration du supplicant.
Dérouler les Profils d'utilisateurs puis sélectionner celui portant le
nom « WPA: eduroam ».
Décocher la méthode d'authentification EAPFAST. Conserver
cochées les cases PEAP et TTLS.
Sélectionner avec la souris la méthode PEAP puis cliquer sur le
bouton « Configurer ».
PAGE 11/17DSI UNIVERSITÉ DE NANTES MANUEL UTILISATEUR EDUROAM SOUS APPLE MAC OS X VERSION 1.2
Saisir comme identité externe :
• personnels UN : anonymous@univnantes.fr
• étudiants UN : anonymous@etu.univnantes.fr
• usagers extérieurs : se référer aux instructions de votre
établissement de rattachement.
Cliquer sur le bouton « OK » pour valider l'identité externe.
Sélectionner désormais la méthode TTLS puis cliquer sur le bouton
« Configurer ». La fenêtre cicontre s'ouvre.
Sélectionner le protocole MSCHAPv2, MSCHAP ou PAP (préférence
pour le premier) puis saisir comme identité externe :
• personnels UN : anonymous@univnantes.fr
• étudiants UN : anonymous@etu.univnantes.fr
• usagers extérieurs : se référer aux instructions de votre
établissement de rattachement.
Cliquer sur le bouton « OK » pour fermer la fenêtre.
Dans la fenêtre parente, cliquer sur le bouton OK.
8.5 RECONNEXION
À L'EDUROAM
Nous décrivons dans la présente section les opérations de reconnexion au réseau sans fil eduroam.
Les prérequis sont bien évidemment :
● d'avoir configuré un profil « eduroam » avec Airport,
● de réutiliser ce profil pour la reconnexion au réseau sans fil.
Nous rappelons à toutes fins utiles que la complexité de configuration du réseau sans fil eduroam
n'apparaît qu'à la connexion initiale au cours de laquelle un profil WLAN est créé et sauvegardé sur le
poste. Les connexions ultérieures s'appuient exclusivement sur ce précédent profil ce qui aboutit à une
procédure de reconnexion simplifiée pour l'utilisateur final. Nous pouvons la résumer en trois principales
étapes :
1. s'assurer que le service DHCP est toujours activé sur l'interface WiFi : ce point est
toujours vérifié à moins que le profil de connexion « eduroam » n'ait été modifié entretemps.
2. activer Airport et choisir le profil WLAN associé à l'eduroam.
3. s'authentifier avec l'identifiant et le mot de passe de son établissement de rattachement.
Seules les opérations 1 et 2 sont décrites par la suite.
PAGE 12/17DSI UNIVERSITÉ DE NANTES MANUEL UTILISATEUR EDUROAM SOUS APPLE MAC OS X VERSION 1.2
Dans la barre en haut à droite, cliquer sur l'icône Airport puis
sélectionner dans le menu déroulant le réseau sans fil dénommé
eduroam.
La connexion à l'eduroam s'effectue en toute transparence à partir
du profil éponyme créé au préalable. Il n'est pas demandé
d'identifiant et de mot de passe puisque ces informations sont
inclues dans le profil.
En retournant sur l'îcône Airport, nous observons cicontre que nous
sommes connecté à l'eduroam. Pour obtenir plus de détails, il suffit
de choisir dans le menu déroulant l'entrée « Ouvrir Préférences
Réseau ».
La fenêtre cicontre s'ouvre alors. L'état est ici « Authentifié » en
PEAP. Le temps écoulé depuis le début de connexion s'affiche
également.
9 NAVIGATION WEB
Le présent chapitre décrit les étapes successives de paramétrage des navigateurs web pour
bénéficier à la fois de la navigation sur Internet et des web services de l'Université de Nantes.
9.1 USAGERS EXTÉRIEURS
Les usagers extérieurs souhaitant surfer sur Internet depuis le réseau sans fil « eduroam » de
l'Université de Nantes doivent paramétrer leur navigateur web sans le moindre serveur mandataire (proxy).
Nous décrivons cidessous le mode opératoire pour les navigateurs Mozilla Firefox 2, 3+ ainsi que Safari
3.x.
PAGE 13/17DSI UNIVERSITÉ DE NANTES MANUEL UTILISATEUR EDUROAM SOUS APPLE MAC OS X VERSION 1.2
Procédure pour Mozilla Firefox 2, 3 et plus
Lancer le navigateur Firefox puis sélectionner le menu Outils →
Options → Avancé et enfin l'onglet Réseau. Cliquer sur le bouton
Paramètres.
Sélectionner l'entrée « Connexion directe à Internet » puis cliquer
sur le bouton OK.
Vous disposez à présent d'une connectivité directe au web.
Procédure pour Apple Safari
Lancer la navigateur Safari 3.x puis sélectionner le menu Safari →
Préférences.
Dans la fenêtre des Préférences, cliquer sur le bouton Avancées. Au
niveau de l'entrée « Proxies », cliquer sur le bouton « Modifier les
réglages ».
PAGE 14/17DSI UNIVERSITÉ DE NANTES MANUEL UTILISATEUR EDUROAM SOUS APPLE MAC OS X VERSION 1.2
La fenêtre cicontre s'ouvre alors. Spécifier les paramètres de
configuration comme suit :
• Configurer les serveurs proxys : Manuellement.
• Dans la liste « Protocole à configurer », décocher toutes les
cases présentes.
Cliquer sur le bouton OK.
Cliquer sur le bouton Appliquer puis fermer la présente fenêtre.
Fermer la fenêtre des Préférences. Vous disposez à présent d'une
connectivité directe au web.
9.2 USAGERS UN
Le mode opératoire diffère sensiblement pour les personnels et étudiants de l'Université de Nantes
connectés au réseau sans fil eduroam de l'Université. Là, les connexions directes à Internet sont interdites.
Le navigateur doit faire appel à un script de configuration automatique pour récupérer l'identité du serveur
mandataire (proxy). Nous supportons les deux méthodes de configuration automatique des paramètres
mandataires.
1. Méthode 1 : paramétrer le navigateur afin qu'il utilise le script de configuration
automatique: http://www.dsi.univnantes.fr/cache.pac
Cette méthode présente l'avantage, pour les personnels et une partie des étudiants UN, d'être
fonctionnelle quelle que soit leur localisation : réseau filaire de l'Université, WiFi Université ou
réseau sans fil tiers, accès Internet au domicile, etc. Où que vous vous situiez, vous n'aurez pas
à modifier à chaque reprise le paramétrage des paramètres mandataire de votre navigateur.
2. Méthode 2 : la solution alternative consiste à détecter automatiquement les paramètres de
connexion. Un fichier équivalent à cache.pac sera alors téléchargé par le navigateur en toute
transparence pour l'utilisateur. On notera que cette configuration peut entrer en conflit avec
certains réseaux filaires de l'Université. De fait, quand vous vous déconnecterez du réseau sans
fil eduroam pour retourner à votre réseau filaire bureautique Université, vous devrez
généralement réajuster les paramètres d'origine.
La première méthode est celle à privilégier puisqu'elle offre le maximum de souplesse en rendant
PAGE 15/17DSI UNIVERSITÉ DE NANTES MANUEL UTILISATEUR EDUROAM SOUS APPLE MAC OS X VERSION 1.2
l'accès au web fonctionnel sans autre manipulation des paramètres mandataires, quelle que soit votre
localisation.
Les personnels et étudiants UN en déplacement dans un établissement membre de l'eduroam
sont invités à consulter les instructions de connexion de l'établissement visité. Il est toutefois
probable, dans la plupart des établissements, qu'une configuration sans proxy soit en vigueur. Dans ce
cas, la méthode 1 reste pleinement fonctionnelle. Pour les établissements ne satisfaisant pas à cette règle,
les paramètres mandataires devront être modifiés manuellement.
Nous décrivons cidessous les instructions de configuration des navigateurs Mozilla Firefox 2 et 3+
ainsi que Safari 3.x.
Procédure pour Mozilla Firefox 2, 3 et plus
Lancer le navigateur Firefox puis sélectionner le menu Outils →
Options et enfin l'icône Avancé. Sous l'onglet Réseau, cliquer sur le
bouton Paramètres.
L'exemple cicontre utilise le script de configuration automatique.
Cocher la case utiliser un script de configuration automatique puis
saisir l'adresse
• http://www.dsi.univnantes.fr/cache.pac
Dans l'hypothèse où vous ne souhaiteriez pas utiliser ce
mécanisme, cocher la case détecter automatiquement les
paramètres de connexion. Nous rappelons que cette seconde
méthode peut présenter des effets de bord indésirables lorsque le
poste sera connecté à l'un des réseaux bureautiques (filaires) de
l'Université.
Cliquer sur le bouton OK puis une nouvelle fois sur la fenêtre
parente.
Procédure pour Apple Safari
Cliquer sur l'icône Airport puis choisir dans le menu déroulant
l'entrée « Ouvrir Préférences Réseau ».
PAGE 16/17DSI UNIVERSITÉ DE NANTES MANUEL UTILISATEUR EDUROAM SOUS APPLE MAC OS X VERSION 1.2
Cliquer sur le bouton « Avancé »
Sélectionner l' onglet « Proxys ». La fenêtre cicontre s'ouvre alors.
Dans la liste « Configurer les serveurs proxys » choisir l'entrée
« Utiliser un fichier PAC ».
Renseigner l'URL du fichier PAC » comme suit:
http://www.dsi.univnantes.fr/cache.pac
On notera que la détection automatique de proxy n'est pas
supportée sous Safari, contrairement à Firefox.
Cliquer sur le bouton « OK » puis sur le bouton « Appliquer » dans la
fenêtre parente. Safari et Camino hériteront automatiquement de
ces paramètres de serveur mandataire.
PAGE 17/17Vous pouvez aussi lire
