MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL MICROSOFT WINDOWS

 
CONTINUER À LIRE
MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL MICROSOFT WINDOWS
MANUEL UTILISATEUR

ENVIRONNEMENTS DE TRAVAIL MICROSOFT
            WINDOWS

               Auteur           Direction des Systèmes d'Information (DSI)

                                Université de Nantes, Pôle Réseau & Sécurité

               Version & date   1.3 du 8 décembre 2011
MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL MICROSOFT WINDOWS
1   LIENS

                  [1]      Intel PROSet/Wireless                                              http://www.intel.com
                  [2]      Liste des établissements membres d'eduroam.fr                      http://www.eduroam.fr/service.php
                  [3]      Surveillance de l'état des membres d'eduroam.fr                    http://www.eduroam.fr/monitoring/monitoring.html
                  [4]      Projet eduroam                                                     http://www.eduroam.org
                  [5]      Projet eduroam.fr                                                  Http://www.eduroam.fr
                  [6]      Supplicant SecureW2                                                http://www.securew2.com/
                  |7]      Portail eduroam Université de Nantes                               http://eduroam.univ­nantes.fr/
                  [8]      Charte d'utilisation RENATER                                       http://www.renater.fr/IMG/pdf/charte_fr.pdf

2   GLOSSAIRE

                  AAA                          Authentication Authorization Accounting
                                               Modèle de contrôle d'accès proposant les services d'authentification, d'autorisation et d'accounting
                  CRU                          Comité Réseau des Universités
                  DHCP                         Dynamic Host Configuration
                                               Protocole assurant la configuration automatique de la pile TCP/IP des postes de travail.
                  EAP                          Extensible Authentication Protocol
                  EDUROAM                      EDUcational ROAMing
                  RENATER                      REseau NAtional de télécommunications pour la Technologie, l'Enseignement et la Recherche
                  RPUN                         Réseau Privé Université de Nantes
                  SSID                         Service Set Identifier
                  TKIP                         Temporal Key Integrity Protocol
                                               Protocole d'authentification et d'échange de clés comblant en partie les failles de sécurité du WEP
                  UN                           Université de Nantes
                  WEP                          Wired Equivalent Privacy
                                               Protocole de sécurisation du lien radio supplanté depuis par le WPA et le WPA2
                  WLAN                         Wireless LAN
                                               Réseau local sans fil, également appelé réseau Wi­Fi
                  WPA                          Wi­Fi Protected Access
                                               WPA est un ensemble de protocoles de sécurité comprenant une couche de chiffrement et de contrôle
                                               d'intégrité avec TKIP et une couche d'authentification avec 802.1x/EAP. Il est aujourd'hui remplacé par le
                                               WPA2 dont la robustesse est sensiblement améliorée avec la couche de chiffrement CCMP/AES.

3   DÉFINITIONS

                  Communauté eduroam                                    Ensemble des établissements membres de l'eduroam
                  Connectivité IPv4 / IPv6                              Poste de travail bénéficiant d'une adresse IP au format IPv4 (et/ou IPv6), lui permettant
                                                                        de profiter de services applicatifs (ex. navigation web, messagerie) eux­mêmes en
                                                                        IPv4 (et/ou IPv6).
                  eduroam.fr                                            Communauté eduroam pour la France. Eduroam.fr est piloté par le CRU et proposé à
                                                                        l'ensemble des établissements agréés RENATER
                  Établissement de rattachement                         Établissement d'enseignement et/ou de recherche auquel appartient l'usager
                  Établissement visité                                  Établissement d'enseignement et/ou de recherche dans lequel se déplace l'usager
                  Radius                                                Protocole implémentant le modèle AAA
                  Service eduroam                                       Service de mobilité offert à la communauté eduroam et disponible dans la plupart des
                                                                        pays de l'Union Européenne dont la France ainsi qu'au Canada, Australie, Taïwan...
                  Supplicant                                            Couche logicielle réalisant l'authentification de l'usager sur l'infrastructure réseau sans
                                                                        fil d'un établissement membre de l'eduroam.
                  Usager                                                Utilisateur – personnel administratif, enseignant, chercheur, étudiant – du service
                                                                        eduroam.
MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL MICROSOFT WINDOWS
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                                                                         VERSION   1.3

   4      INDEX

                                 1   LIENS........................................................................................................................................................... 2
                                 2   GLOSSAIRE..................................................................................................................................................... 2
                                 3   DÉFINITIONS................................................................................................................................................... 2
                                 4   INDEX........................................................................................................................................................... 3
                                 5   PRÉAMBULE.................................................................................................................................................... 4
                                 6   PRÉSENTATION................................................................................................................................................ 4
                                       6.1   POPULATION VISÉE.................................................................................................................................. 4
                                       6.2    PRINCIPE GÉNÉRAL.................................................................................................................................. 4
                                       6.3    SÉCURITÉ............................................................................................................................................. 4
                                 7 EDUROAM À
                                 L'UNIVERSITÉ DE NANTES....................................................................................................................................... 5
                                      7.1 CHARTES............................................................................................................................................... 5
                                      7.2 ZONES COUVERTES.................................................................................................................................. 5
                                      7.3 SERVICES
                                      ACCESSIBLES................................................................................................................................................ 5
                                      7.4 STANDARDS
                                      SUPPORTÉS.................................................................................................................................................. 7
                                 8 MODE OPÉRATOIRE........................................................................................................................................... 8
                                      8.1 PRINCIPE GÉNÉRAL.................................................................................................................................. 8
                                      8.2 CHOIX
                                      D'UN SUPPLICANT........................................................................................................................................... 8
                                      8.3 PARAMÉTRAGE
                                      INTERFACE WLAN........................................................................................................................................... 9
                                      8.4 CONNEXION INITIALE.............................................................................................................................. 10
                                           8.4.1. MISE À JOUR DU MAGASIN DE CERTIFICATS.......................................................................................... 11
                                           8.4.2. SUPPLICANT INTEL PROSET/WIRELESS............................................................................................... 14
                                           8.4.3. SUPPLICANT NATIF WINDOWS.......................................................................................................... 17
                                      8.5 RECONNEXION
                                      À L'EDUROAM.............................................................................................................................................. 21
                                           8.5.1. SUPPLICANT INTEL PROSET/WIRELESS............................................................................................... 21
                                           8.5.2. SUPPLICANT NATIF WINDOWS.......................................................................................................... 23
                                 9 NAVIGATION WEB............................................................................................................................................ 24
                                      9.1 USAGERS EXTÉRIEURS............................................................................................................................ 25
                                      9.2 USAGERS UN....................................................................................................................................... 26

                                                                   PAGE   3/28
MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL MICROSOFT WINDOWS
5   PRÉAMBULE

                              Le présent manuel utilisateur est avant tout destiné aux étudiants et personnels de l'Université de
                         Nantes désirant se connecter au réseau sans fil eduroam depuis l'un des sites de l'Université.
                               Ce manuel est également utile aux usagers extérieurs en visite à l'Université de Nantes ou encore
                         aux personnels, étudiants de l'Université de Nantes en déplacement dans un établissement
                         d'enseignement supérieur et de recherche membre de l'eduroam. Dans chacune de ces situations, l'usager
                         devra se référer aux instructions de son établissement de rattachement et de l'établissement visité afin de
                         parfaire la procédure de connexion.

6   PRÉSENTATION

6.1   POPULATION VISÉE

                              Eduroam est un service de mobilité ouvert aux usagers ­ personnels administratifs, enseignants,
                         chercheurs, étudiants ­ des établissements d'enseignement supérieur et de recherche. Les établissements
                         membres d'eduroam partagent avec la communauté d'usagers leurs infrastructures réseau sans fil
                         respectives. L'ensemble constitue un « hotspot » WiFi géant où la population eduroam bénéficie d'une
                         connectivité haut débit à Internet.
                                Eduroam vise à favoriser la mobilité des personnels et étudiants entre différents établissements dans
                         le cadre de programmes d'échange internationaux, déplacements professionnels, etc. A ce jour, le projet de
                         mobilité européen eduroam couvre la quasi totalité des pays de l'UE ainsi que plusieurs institutions au
                         Canada, Australie, Chine, Taïwan, Hong Kong, Japon, etc. La liste complète des établissements étrangers
                         couverts est disponible sur le site [4]. eduroam.fr est la déclinaison française du projet eduroam. Plus de
                         110 établissements français sont, aujourd'hui, membres d'eduroam.fr, dont l'Université de Nantes. A plus ou
                         moins court terme, on estime que la totalité des établissements français sera intégrée à la communauté
                         eduroam.fr et en corollaire à eduroam. La liste réactualisée des établissements eduroam.fr est disponible
                         sur le site [2].

6.2   PRINCIPE GÉNÉRAL

                                Un usager rattaché à l'Université de Nantes ­ étudiant, personnel administratif, enseignant,
                         chercheur, stagiaire (...) ­ se déplaçant dans n'importe quel établissement membre de l'eduroam
                         s'authentifiera sur l'infrastructure réseau sans fil de l'établissement visité en saisissant son couple
                         identifiant et mot de passe UN – celui là même qui ouvre l'accès à l'intranet de l'Université, nomade, la
                         messagerie, etc. –.
                                Réciproquement, l'usager d'un établissement tiers, membre de l'eduroam, se déplaçant sur l'un des
                         sites de l'Université de Nantes s'authentifiera sur notre infrastructure réseau sans fil au moyen du couple
                         identifiant et mot de passe de son établissement de rattachement.
                               Dans chacune de ces deux situations, l'établissement visité n'a pas la moindre action à entreprendre
                         avant, pendant et après le passage d'un usager extérieur : point de compte invité à créer, de
                         reconfiguration de matériels, serveurs, applications à la charge de ses équipes de support informatique.
                         Tout cela est rendu possible par une hiérarchie de serveurs distribués AAA RADIUS, à la manière des
                         serveurs de noms de l'Internet (DNS). Les établissements membres de l'eduroam hébergent un ou
                         plusieurs serveurs AAA RADIUS assurant essentiellement le service d'authentification de leurs propres
                         usagers qu'ils soient in­situ ou en déplacement.
                                Les lecteurs souhaitant prendre connaissance des détails techniques sont invités à se référer aux
                         sites [4] et [5].

6.3   SÉCURITÉ

                              Les secrets d'authentification des usagers sont protégés de bout­en­bout en confidentialité et
MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL MICROSOFT WINDOWS
DSI UNIVERSITÉ DE NANTES          MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                        VERSION   1.3

                                        intégrité. Ils sont transmis dans un tunnel sécurisé SSLv3/TLSv1 établi entre le poste de l'usager et les
                                        serveurs AAA RADIUS de son établissement de rattachement. Malgré toute la robustesse de ce mode
                                        d'encapsulation, l'usager est invité à prendre des mesures complémentaires décrites en détail dans la suite
                                        du document. Il s'agit, en pratique, d'éviter toute usurpation d'identité d'un serveur AAA RADIUS en
                                        contrôlant le certificat X.509v3 renvoyé par celui­ci en phase d'établissement du tunnel SSLv3/TLSv1.
                                                Les différences entre les réseaux sans fil eduroam et univ­nantes sont nombreuses. La principale
                                        d'entre­elles est certainement que le réseau univ­nantes ne protège pas le lien radio entre le poste de
                                        l'usager et la borne sans fil. En d'autres termes, le lien n'est ni protégé en confidentialité ­ tout y passe en
                                        clair, sans le moindre chiffrement ­, ni en intégrité ­ les trames échangées sont librement manipulables par
                                        un tiers ­. Ceci oblige naturellement l'emploi de protocoles de plus haut niveau (ex. HTTPS, IMAPS, POPS,
                                        etc.) sécurisés à chaque fois que des données sensibles doivent être échangées, comme au moment de la
                                        phase d'authentification sur le portail captif. La situation est radicalement différente avec le réseau sans fil
                                        eduroam où le lien radio est désormais protégé à la fois en confidentialité et en intégrité.
                                              Nota: une faille de sécurité a été publiée en Q3/2008 sur la couche protocolaire TKIP. Même si
                                        l'impact de la faille reste aujourd'hui limité, il n'en demeure pas moins qu'elle ouvre des chemins d'attaque
                                        sur les réseaux sans fil. Pour des raisons d'interopérabilité avec des postes de travail anciens, nous
                                        sommes tenus pour le moment de maintenir ce protocole sur l'infrastructure de l'Université de Nantes.
                                        Comme cela est rappelé par la suite, il est fortement conseillé à chaque fois que possible d'employer la
                                        couche protocolaire AES­CCMP à la place du TKIP.

   7 EDUROAM À
   L'UNIVERSITÉ DE NANTES

      7.1       CHARTES

                                              Les usagers de l'eduroam connectés sur l'infrastructure réseau sans fil de l'Université de Nantes
                                        s'engagent à respecter la charte RENATER [8]. Une copie de celle­ci est disponible sur le portail eduroam
                                        de l'Université [7].

      7.2       ZONES COUVERTES

                                             L'Université de Nantes a déployé un vaste réseau sans fil constitué de plus de 350 bornes
                                        compatibles IEEE 802.11b/g et IEEE 802.1x réparties sur la quasi totalité de ses sites. Les bornes diffusent
                                        deux SSID, l'un dénommé eduroam et l'autre univ­nantes protégé par un portail captif.
                                              Il est demandé aux personnels et étudiants de l'Université de Nantes d'employer le réseau sans fil
                                        eduroam en lieu et place de univ­nantes. Le portail captif derrière univ­nantes ne devrait être employé
                                        que très occasionnellement, notamment, en cas d'indisponibilité prolongée du réseau eduroam, de
                                        problème technique affectant le poste de travail...
                                              Les sites géographiques où sont déployés ces deux réseaux sans fil sont présentés sur une carte
                                        Google Maps [7]. Les principales zones de couverture à l'intérieur de ces sites sont signalées par une
                                        affichette.

      7.3       SERVICES
      ACCESSIBLES

                                              L'Université de Nantes a déployé en périphérie de son infrastructure réseau sans fil des systèmes de
                                        contrôle d'accès différentiés selon le groupe d'appartenance de l'usager. Trois grands groupes sont
                                        aujourd'hui définis :
                                          1.      les étudiants de l'Université de Nantes,
                                          2.      les personnels de l'Université de Nantes – personnels administratifs, enseignants, chercheurs –,
                                          3.      les usagers extérieurs, autrement dit rattachés à un établissement tiers, membre d'eduroam.

                                                                     PAGE   5/28
MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL MICROSOFT WINDOWS
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                              VERSION   1.3

                             GROUPE D'APPARTENANCE                             SERVICES AUTORISES SUR INTERNET / LE RPUN
                             GROUPE 1 : ÉTUDIANTS UN
                                                                               ✔ vers Internet et le RPUN :
                                                                                          ○ Navigation sur le web : HTTP(S)
                                                                                                 • à travers un mandataire en IPv4 (proxy)
                                                                                                 • connexion directe en IPv6
                                                                                          ○ Transfert de fichiers : FTP
                                                                                                 • à travers un mandataire en IPv4 (proxy)
                                                                                                 • connexion directe en IPv6
                                                                                          ○ Vidéoconférence
                                                                                                 • Pont UN : visioconference.univ­nantes.fr
                                                                                                 • EVO (evo.caltech.edu)
                                                                                          ○ Contenus multimédia « streamés » : RTSP, RTMP
                                                                                          ○ Tests de connectivité : ICMP ECHO REQUEST
                                                                               ✔ vers le RPUN :
                                                                                          ○ Synchronisation des horloges : NTP
                                                                                          ○ Résolution de noms : DOMAIN UDP/TCP
                                                                                          ○ Relever son courrier : IMAP4(S), POP3(S)
                                                                                          ○ Envoyer des courriers : SMTP(S)
                                                                                          ○ Messagerie instantanée : JABBER
                             GROUPE 2 : PERSONNELS UN
                                                                               ✔ vers Internet et le RPUN :
                                                                                          ○ Navigation sur le web : HTTP(S)
                                                                                                 • à travers un mandataire en IPv4 (proxy)
                                                                                                 • connexion directe en IPv6
                                                                                          ○ Transfert de fichiers : FTP
                                                                                                 • à travers un mandataire (proxy)
                                                                                                 • connexion directe en IPv6
                                                                                          ○ Vidéoconférence
                                                                                                 • Pont UN : visioconference.univ­nantes.fr
                                                                                                 • EVO (evo.caltech.edu)
                                                                                          ○ Contenus multimédia « streamés » : RTSP, RTMP
                                                                                          ○ Tests de connectivité : ICMP ECHO REQUEST
                                                                               ✔ vers le RPUN :
                                                                                          ○ Synchronisation des horloges : NTP
                                                                                          ○ Résolution de noms : DOMAIN UDP/TCP
                                                                                          ○ Relever son courrier : IMAP4(S), POP3(S)
                                                                                          ○ Envoyer des courriers : SMTP(S)
                                                                                          ○ Messagerie instantanée : JABBER
                                                                                          ○ Accès distant sécurisé : SSH

                                                              PAGE   6/28
MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL MICROSOFT WINDOWS
DSI UNIVERSITÉ DE NANTES    MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                                         VERSION   1.3

                              GROUPE 3 : USAGERS EXTÉRIEURS
                                                                                   ✔ vers Internet en IPv4 et IPv6 :
                                                                                              ○ Navigation sur le web : HTTP(S)
                                                                                              ○ Transfert de fichiers : FTP
                                                                                              ○ Réseaux Privés Virtuels : IPSec ESP (ports UDP et TCP 10000
                                                                                                     et 4500), ISAKMP, OpenVPN (port UDP et TCP 1194), SSH
                                                                                               ○     Relever son courrier : POP(S), IMAP(S)

                                                                                               ○     Envoyer des courriers : SMTP(S)/AUTH

                                                                                               ○     Tests de connectivité : ICMP ECHO REQUEST

                                                                                               ○     Vidéoconférence

                                                                                                     •     Pont UN : visioconference.univ­nantes.fr

                                                                                                     •     EVO (evo.caltech.edu)

                                                                                               ○     Synchronisation des horloges : NTP

                                                                                               ○     Contenus multimédia « streamés » : RTSP, RTMP

                                                                                   ✔ vers le RPUN :
                                                                                              ○ Résolution de noms : DOMAIN UDP/TCP
                                                                                   Les connexions vers le RPUN sont interdites exception faite de la résolution DNS
                                                                                   vers les serveurs de l'Université et des services dits publics, par ailleurs
                                                                                   accessibles de l'Internet.

                                      Les trois groupes d'usagers bénéficient d'une double connectivité IPv4 et IPv6 à Internet et au
                                  RPUN. En comparaison, le réseau sans fil univ­nantes dispose, lui, d'une simple connectivité IPv4.
                                        La politique de sécurité mise en place à l'Université de Nantes interdit toute connexion entrante sur
                                  ses différents réseaux sans fil, que ce soit depuis Internet ou le RPUN. Les connexions et tentatives de
                                  connexion sont journalisées, archivées et analysées.
                                        Tout usage abusif des ressources informatiques de l'Université est susceptible de faire l'objet de
                                  poursuites judiciaires ou sanctions disciplinaires. Chaque usager est tenu de respecter les termes de la
                                  charte RENATER [8].

      7.4       STANDARDS
      SUPPORTÉS

                                        Le tableau ci­dessous récapitule les standards supportés sur l'infrastructure réseau sans fil de
                                  l'Université de Nantes. Ceux­ci sont énumérés dans l'ordre décroissant de préférence d'utilisation.

                              DESCRIPTION                                          STANDARD SUPPORTE
                              Réseaux sans fil
                                                                                   ✔ IEEE 802.11b/g
                              Mode de connexion au réseau sans fil
                                                                                   ✔ WPA2 (Entreprise)
                                                                                   ✔ WPA (Entreprise)
                                                                                   à ne pas confondre avec les modes WPA/WPA2 PSK pour Pre­Shared­Key
                                                                                   disponibles sur les équipements sans fil grand­public
                              Algorithmes d'échange de clés et de chiffrement de
                              la liaison sans fil
                                                                                   ✔ AES­CCMP
                                                                                   ✔ TKIP
                              Protocoles d'authentification
                                                                                   ✔ PEAP/MSCHAPv2                          ✔ EAP­TTLS/MSCHAPv2
                                                                                   ✔ PEAP/MSCHAP                            ✔ EAP­TTLS/MSCHAP
                                                                                   ✔ PEAP/PAP                               ✔ EAP­TTLS/PAP
                                        La suite protocolaire idéale, offrant le meilleur niveau de protection serait en conséquence : WPA2 +
                                  AES­CCMP + (PEAP|EAP­TTLS)/MSCHAPv2. Celle­ci est supportée par l'infrastructure sans fil de
                                  l'Université de Nantes. Cependant, les combinaisons protocolaires acceptables sont susceptibles de varier

                                                               PAGE   7/28
MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL MICROSOFT WINDOWS
DSI UNIVERSITÉ DE NANTES           MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                        VERSION   1.3

                                         d'un établissement membre de l'eduroam à l'autre. C'est pourquoi certaines vérifications à priori sont
                                         souhaitables pour les étudiants et personnels UN en déplacement dans un établissement français
                                         d'enseignement et de recherche :

                                                       ● vérifier l'appartenance de cet établissement à la communauté eduroam en se rendant sur
                                                      le site [2],

                                                       ● contrôler le ou les modes et protocoles d'authentification supportés en se rendant sur le
                                                      site [3]. En fonction des résultats obtenus, il pourra être nécessaire de modifier le profil de
                                                      connexion eduroam obtenu à l'issue du §8.4.

   8      MODE OPÉRATOIRE

      8.1       PRINCIPE GÉNÉRAL

                                               Le mode opératoire général de connexion au service eduroam est décrit ci­après. Il reste valable
                                         quelle que soit la localisation géographique de l'usager – Université de Nantes ou autre établissement
                                         membre de l'eduroam – et son établissement d'appartenance – Université de Nantes ou autre – .
                                               1.     Activer le service DHCP sur l'interface WLAN du poste de travail. L'opération n'est en principe à
                                                      réaliser qu'une seule fois. Elle est décrite au §8.3.
                                               2.     Choisir un supplicant, autrement dit, un logiciel de connexion au réseau sans fil sécurisé
                                                      « eduroam ». L'étape est décrite au §8.2.
                                               3.     Configurer le supplicant conformément aux instructions données au §8.4. L'étape peut
                                                      apparaître relativement complexe mais ne sera à effectuer qu'une seule et unique fois, à la
                                                      première connexion au réseau sans fil portant le SSID eduroam.
                                               4.     S'associer au réseau sans fil eduroam précédemment configuré puis s'authentifier avec
                                                      l'identifiant et le mot de passe de son établissement de rattachement. Cette étape sera répétée à
                                                      chaque connexion en s'appuyant sur le profil de connexion sauvegardé à l'étape 3. Elle est
                                                      décrite au §8.5.

      8.2 CHOIX
      D'UN SUPPLICANT

                                                Le supplicant est une couche logicielle réalisant l'échange, le renouvellement de clés de chiffrement
                                         et de signature des messages sur le lien radio ainsi que l'authentification de l'usager. Il est rendu
                                         obligatoire sur les réseaux sans fil protégés en WPA ou WPA2, comme l'eduroam. Les environnements de
                                         travail Microsoft Windows XP, Vista, 7 supportent de nombreux supplicants, gratuits pour la plupart. Nous
                                         n'assurons qu'un support technique pour les deux supplicants suivants:

                                                       •     Le supplicant PEAP et EAP­TTLS de Intel PROSet/Wireless. Sa richesse fonctionnelle en
                                                      fait le supplicant de choix, à condition toutefois de disposer d'une carte WLAN du constructeur
                                                      Intel. Les usagers disposant d'un autre type de carte devront se reporter sur celui de Microsoft.

                                                        • Le supplicant natif de Microsoft Windows. Son avantage est d'être déjà intégré à
                                                      l'environnement Windows d'où l'absence d'installation logicielle tierce. Sa richesse fonctionnelle
                                                      et sa convivialité est cependant un cran en dessous du précédent supplicant. Le fait que seul le
                                                      protocole d'authentification PEAP soit supporté pourrait être un facteur d'incompatibilité avec
                                                      l'infrastructure réseau sans fil d'autres établissements membres de l'eduroam.
                                                Chacun des deux supplicants précédents remplit parfaitement son rôle sur l'infrastructure eduroam
                                         de l'Université de Nantes. L'Intel PROSet/Wireless apparaît être un excellent choix du fait de sa richesse
                                         fonctionnelle, de sa convivialité et de son efficacité pour les possesseurs d'une carte WLAN Intel. La
                                         solution Microsot est compatible, elle, avec toutes les cartes WLAN.

                                                                      PAGE   8/28
MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL MICROSOFT WINDOWS
DSI UNIVERSITÉ DE NANTES       MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                                   VERSION   1.3

      8.3        PARAMÉTRAGE
      INTERFACE WLAN

                                            L'interface WLAN doit être configurée de manière à récupérer automatiquement une adresse IP ainsi
                                     qu'un ensemble de paramètres réseau au travers d'un serveur DHCP de l'Université. Pour s'en assurer, on
                                     suivra les instructions ci­dessous à partir d'un compte utilisateur bénéficiant des droits de l'administrateur
                                     local du poste Microsoft Windows.

                                                                                       Sélectionner le menu démarrer → Paramètres → Connexions
                                                                                       réseau. Cliquer avec le bouton droit de la souris sur l'icône
                                                                                       Connexion réseau sans fil puis sélectionner dans le menu déroulant
                                                                                       l'entrée Propriétés.

                                                                                       Dans la liste des éléments, sélectionner l'entrée Protocole Internet
                                                                                       (TCP/IP) puis cliquer sur le bouton Propriétés.

                                                                                       Choisir les options « Obtenir une adresse IP automatiquement » et
                                                                                       « Obtenir les adresses des serveurs DNS automatiquement ».
                                                                                       Cliquer sur le bouton OK puis dans la fenêtre parente, choisir l'onglet
                                                                                       Avancé.

                                                                  PAGE   9/28
MANUEL UTILISATEUR ENVIRONNEMENTS DE TRAVAIL MICROSOFT WINDOWS
DSI UNIVERSITÉ DE NANTES              MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                                 VERSION   1.3

                                                                                             S'assurer que la case « Autoriser d'autres utilisateurs du réseau à se
                                                                                             connecter via la connexion internet de cet ordinateur est
                                                                                             décochée ». Cliquer sur le bouton Paramètres.

                                                                                             Vérifier que le pare­feu Windows est activé à moins que vous
                                                                                             disposiez déjà d'un autre pare­feu personnel.

                                                                                             Même si le réseau sans fil eduroam est protégé via­à­vis d'Internet,
                                                                                             du RPUN et des autres utilisateurs sans fil, la protection du poste
                                                                                             par un pare­feu personnel est vivement conseillée. Le pare­feu
                                                                                             devra à minima interdire toutes les connexions entrantes sur le
                                                                                             poste, en particulier tout ce qui touche au partage de fichiers.

      8.4        CONNEXION INITIALE

                                                  Nous décrivons dans la présente section les deux modes opératoires de connexion initiale au réseau
                                            eduroam de l'Université de Nantes. A chaque mode opératoire se rapporte un supplicant spécifique que le
                                            lecteur devra sélectionner avant d'aller plus loin.
                                                   Nous conseillons aux lecteurs n'ayant pas d'apriori sur les supplicants de choisir Intel
                                            PROSet/Wireless. Ceci requiert toutefois une interface Wi­Fi du constructeur Intel. Les lecteurs disposant
                                            d'un autre modèle d'interface ou d'une expérience défavorable du supplicant Intel pourront se tourner sur la
                                            solution native de Microsoft.
                                                  Le supplicant natif Microsoft Windows demeure une solution viable au sein de l'Université de Nantes,
                                            d'autant qu'il n'exige aucune installation logicielle. Nous ne conseillons toutefois pas son emploi aux
                                            usagers qui seront amenés à se connecter à l'eduroam depuis d'autres établissements d'enseignement
                                            supérieur et de recherche. Des problèmes d'interopérabilité pourraient subvenir dans cette situation.

                                        Le mode opératoire qui va suivre décrit très précisément les étapes de connexion initiale à l'eduroam
                                                         depuis l'infrastructure réseau sans fil de l'Université de Nantes.

                                                                        PAGE   10/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                                   VERSION   1.3

                                  La plupart des lecteurs risquent d'être déroutés en raison de la complexité des opérations de
                                 paramétrage. La raison en est qu'une compréhension pleine et entière de l'eduroam exige des
                                connaissances techniques en système, réseau et sécurité difficiles à synthétiser dans un manuel
                                                             s'adressant à une population hétéroclite.

                                 Heureusement, ces opérations ne seront réalisées qu'une seule et unique fois, au cours de la
                                  connexion initiale au réseau sans fil eduroam. Un profil de connexion sera à cette occasion
                                automatiquement créé, sauvegardé et réemployé à chaque nouvelle association à ce réseau. La
                               facilité d'emploi s'en trouvera grandement augmentée puisque vous n'aurez seulement qu'à saisir
                                      votre identifiant et mot de passe d'authentification pour établir une session eduroam !

                             La phase de connexion initiale décrite plus bas doit se faire à partir d'un compte utilisateur disposant
                                                         des droits de l'administrateur local du poste.

                                 8.4.1.      MISE À JOUR DU MAGASIN DE CERTIFICATS

                                        L'opération suivante est à réaliser avec un compte utilisateur disposant des droits de l'administrateur
                                 local. Elle consiste, dans un premier temps, à ajouter dans le magasin de certificats X.509v3, le certificat
                                 d'Autorité de Certification racine AddTrust External CA Root puis les certificats des Autorités de
                                 Certification intermédiaires UTN­USERFirst­Hardware et TERENA SSL CA.
                                       Dans un premier temps, nous allons télécharger les fichiers rootca.crt, cacert1.crt et cacert2.crt sur
                                 le site [7]. Attention, ces fichiers ne doivent pas être exécutés par le navigateur, seulement
                                 enregistrés sur votre disque comme il en serait pour n'importe quel fichier de travail.

                                                                                   Le certificat racine AddTrust External CA Root est normalement pré­
                                                                                   installé sur les environnements Microsoft Windows. Le contraire
                                                                                   nous a néanmoins été notifié au moins dans un cas, c'est pourquoi
                                                                                   nous précédons tout de même à l'installation systématique de ce
                                                                                   fichier.

                                                                                   Double­cliquer sur le fichier rootca.crt. La fenêtre ci­contre s'ouvre.
                                                                                   Cliquer sur le bouton « Ouvrir ».

                                                                                   Cliquer sur le bouton « Installer le certificat... ».

                                                                                   La croix sur fond rouge nous informe que le certificat n'est pas
                                                                                   encore présent dans le magasin Windows ou que son contrôle de
                                                                                   validité est en échec. L'absence de croix nous informe que le
                                                                                   certificat est correctement pré­installé et validé.

                                                             PAGE   11/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                            VERSION   1.3

                                                                               Windows s'apprête à copier le certificat dans son magasin de clés.
                                                                               Cliquer sur le bouton « Suivant ».

                                                                               Conserver le choix « Sélectionner automatiquement le magasin de
                                                                               certificats selon le type de certificat » puis cliquer sur le bouton
                                                                               « Suivant ».

                                                                               Cliquer sur le bouton « Terminer ».

                                                                               La fenêtre ci­contre est absente lorsque le certificat est déjà pré­
                                                                               installé. Autrement, cliquer sur le bouton « Oui ».

                                                                               L'installation est achevée. Cliquer sur le bouton « OK » puis fermer
                                                                               la fenêtre parente.

                                                             PAGE   12/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                             VERSION   1.3

                                                                               A présent, double­cliquer sur le fichier cacert1.crt. La fenêtre ci­
                                                                               contre s'affiche alors.

                                                                               Cliquer sur le bouton « Installer le certificat... ».

                                                                               Cliquer sur le bouton « Suivant ».

                                                                               Choisir « Sélectionner automatiquement le magasin de certificats
                                                                               selon le type de certificat » puis cliquer sur le bouton « Suivant ».

                                                             PAGE   13/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                                  VERSION   1.3

                                                                                 Cliquer sur le bouton « Terminer ».

                                                                                 La fenêtre ci­contre apparaît quand l'opération s'est correctement
                                                                                 déroulée, . Cliquer sur le bouton « OK ». Le nouveau certificat
                                                                                 X.509v3 d'AC intermédiaire UTN­USERFirst­Hardware est importé
                                                                                 dans le magasin Windows.

                                                                                 Fermer la fenêtre parente en cliquant sur le bouton « OK ».

                                                                                 Installer à présent le certificat d'AC intermédiaire TERENA SSL CA.
                                                                                 Pour cela, double­cliquer sur le fichier cacert2.crt puis répéter les
                                                                                 opérations précédentes.

                                                                                 Une fois l'installation achevée, cliquer sur l'onglet « Chemin d'accès
                                                                                 de certification ». Vous devez observer le chaînage de certificats ci­
                                                                                 contre, sans croix sur fond rouge sur les icônes des certificats. L'état
                                                                                 du certificat doit apparaître « valide ».

                                 8.4.2.      SUPPLICANT INTEL PROSET/WIRELESS

                                       L'outil Intel PROSet/Wireless [1] est généralement installé par défaut sur les ordinateurs portables
                                 disposant d'une carte Wi­Fi Intel. Il remplace avantageusement la gestion WLAN sous les environnements
                                 Microsoft Windows, c'est pourquoi son emploi est conseillé sur le réseau sans fil eduroam.
                                       Le mode opératoire est décrit pour les environnements Windows XP SP3 avec Intel
                                 PROSet/Wireless version 12.4.4. Il devrait coïncider à quelques différences mineures près sous d'autres
                                 environnements Microsoft Windows et d'autres versions du logiciel Intel PROSet.

                                                             PAGE   14/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                               VERSION   1.3

                                                                               Double­cliquer dans la barre des tâches sur l'icône Intel
                                                                               PROSet/Wireless. Si l'icône est absente, sélectionner le menu
                                                                               Démarrer → Programme → Intel PROSet Wireless → Intel PROSet
                                                                               Wireless.

                                                                               La fenêtre ci­contre s'ouvre. Dans une zone couverte par le Wi­Fi de
                                                                               l'Université de Nantes, un réseau eduroam s'affiche dans la liste en
                                                                               plus de celui univ­nantes. Double­cliquer sur l'entrée « eduroam »
                                                                               pour configurer ce réseau.

                                                                               Attention: si ce réseau a déjà été configuré totalement ou
                                                                               partiellement au préalable, la fenêtre de configuration ne s'affichera
                                                                               pas. Dans ce cas, il est nécessaire de supprimer le profil de
                                                                               connexion avant d'aller plus loin. Pour cela, on cliquera sur le bouton
                                                                               « Profils », on sélectionnera dans la liste le profil associé au réseau
                                                                               « eduroam » puis on cliquera sur le bouton « Supprimer ».

                                                                               S'agissant d'une première connexion au réseau eduroam, l'outil Intel
                                                                               PROSet/Wireless propose une série d'écrans de configuration. Dans
                                                                               la première fenêtre affichée ci­contre, nous conservons les valeurs
                                                                               proposées par défaut. Un profil de connexion dénommé eduroam
                                                                               associé au réseau sans fil éponyme (mode infrastructure) sera créé.

                                                                               Cliquer sur le bouton « Suivant ».

                                                                               L'outil recherche les paramètres de sécurité en vigueur sur le réseau
                                                                               sans fil eduroam à proximité. L'opération ne dure que quelques
                                                                               secondes.

                                                                               Cliquer sur le bouton « Suivant ».

                                                             PAGE   15/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                                VERSION   1.3

                                                                               Cliquer sur le bouton «Plus>>» puis renseigner les champs comme
                                                                               suit :

                                                                               •   Authentification réseau : « WPA2 ­ Entreprise » ou à défaut
                                                                                   « WPA Entreprise » si votre carte ne supporte que ce dernier
                                                                                   mode,

                                                                               •   Chiffrement des données : « AES­CCMP » ou à défaut « TKIP »
                                                                                   si votre carte ne supporte que ce dernier algorithme.

                                                                               •   Type d'authentification : sélectionner PEAP ou TTLS. Ces deux
                                                                                   protocoles offrant un niveau de sécurité sensiblement
                                                                                   équivalent, le libre choix est laissé à l'utilisateur. Les prochaines
                                                                                   captures d'écrans sont basées sur PEAP.

                                                                               •   Protocole d'authentification : choisir dans le menu déroulant le
                                                                                   protocole « MS­CHAPv2 ». Notons que les protocoles « MS­
                                                                                   CHAP » et « PAP » sont également supportés mais que l'emploi
                                                                                   de MS­CHAPv2 reste conseillé en PEAP ou TTLS.

                                                                               •   Références de l'utilisateur : « Demander à chaque connexion ».

                                                                               •   Identité d'itinérance :

                                                                                   •   personnels UN : anonymous@univ­nantes.fr
                                                                                   •   étudiants UN : anonymous@etu.univ­nantes.fr

                                                                                   •   usagers extérieurs : se référer aux instructions de votre
                                                                                       établissement de rattachement.

                                                                               Cliquer sur le bouton « Suivant ».

                                                                               Sélectionner dans la liste « Émetteur du certificat » l'entrée
                                                                               « AddTrust External CA Root ».

                                                                               Cocher la case « Spécifier le nom du serveur/certificat ». Choisir
                                                                               « Le nom du domaine doit se terminer par le nom spécifier » puis
                                                                               saisir dans la boîte « Nom du serveur/certificat »:

                                                                               •   univ­nantes.fr

                                                                               Cliquer sur le bouton « Suivant ».

                                                                               La phase de configuration du supplicant Intel est à présent achevée.
                                                                               Cliquer sur le bouton OK.

                                                             PAGE   16/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                                 VERSION   1.3

                                                                                 Le supplicant va immédiatement tenter une connexion au réseau
                                                                                 sans fil eduroam à proximité. La fenêtre d'authentification ci­contre
                                                                                 s'ouvre alors. Renseigner les champs comme indiqué ci­dessous :
                                                                                 •    Nom d'utilisateur :

                                                                                      •   personnels UN : identifiant@univ­nantes.fr ou identifiant (ex.
                                                                                          doe­j@univ­nantes.fr ou doe­j);
                                                                                      •   étudiants UN : identifiant@etu.univ­nantes.fr ou identifiant
                                                                                          (ex. e99001@etu.univ­nantes.fr ou e99001);
                                                                                      •   usagers extérieurs : veuillez vous référer aux instructions de
                                                                                          votre établissement de rattachement.
                                                                                  •    Domaine : conserver ce champ vide,

                                                                                  •    Mot de passe : le mot de passe de connexion dans votre
                                                                                       établissement de rattachement. Pour les étudiants ou
                                                                                       personnels UN, il s'agit de votre de mot de passe de connexion
                                                                                       à l'intranet de l'Université.

                                                                                 Cliquer sur le bouton « OK ».

                                                                                 Lorsque la phase de connexion se déroule correctement, une
                                                                                 notification apparaît quelques instants plus tard avec le message
                                                                                 explicite:
                                                                                 •    Connecté à : eduroam

                                                                                 •    Adresse IP : 172.20.x.y

                                                                                 Il s'agit de l'adresse IPv4 attribuée à votre poste de travail sur
                                                                                 l'infrastructure réseau sans fil eduroam de l'Université de Nantes.

                                                                                 Ces informations se retrouvent en double­cliquant à nouveau sur
                                                                                 l'icône Intel PROSet/Wireless en barre des tâches.

                                 8.4.3.      SUPPLICANT NATIF WINDOWS

                                      Le supplication natif de Windows est une alternative crédible à l'outil Intel PROSet/Wireless pour les
                                 postes ne disposant pas d'une carte WLAN du constructeur Intel.

                                                             PAGE   17/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                                  VERSION   1.3

                                      Le service eduroam n'exige pas strictement WPA2 bien qu'il s'agisse du mode le plus sûr pour se
                                 connecter à une infrastructure Wi­Fi. Si votre système d'exploitation n'est pas suffisamment récent (au
                                 moins XP SP2), le WPA2 ne sera pas disponible. Il faut dans ce cas installer un correctif du site Web de
                                 Microsoft nécessitant un contrôle d'authenticité de votre système («Microsoft Windows Authentique»).
                                 Vous devez télécharger et installer ce correctif à partir des URL suivantes :
                                        Français
                                        Anglais
                                        Les opérations décrites plus bas ne nécessitent pas les droits administrateur local du poste. Pour
                                 information, certains outils de gestion du réseau sans fil, comme Intel PROSet/Wireless prennent par
                                 défaut le pas sur le supplicant natif de Microsoft Windows. Il convient, avant d'aller plus loin de désactiver
                                 la prise en charge d'un éventuel supplicant tiers.

                                                                                        Sélectionner le menu Démarrer → Paramètres → Connexions
                                                                                        réseau puis double­cliquer sur l'icône « Connexion réseau
                                                                                        sans­fil ».

                                                                                        La fenêtre ci­contre apparaît. Dans une zone couverte du Wi­
                                                                                        Fi de l'Université de Nantes, un réseau eduroam s'affiche
                                                                                        dans la liste en plus de celui univ­nantes. Cliquer sur le lien
                                                                                        « Modifier les paramètres avancés » situé à gauche de la
                                                                                        fenêtre.

                                                                                        Nota: il est probable qu'un autre outil de gestion du réseau
                                                                                        sans fil prenne le pas sur le supplicant natif Microsoft
                                                                                        Windows si rien n'apparaît dans la liste alors que vous vous
                                                                                        trouvez dans une zone couverte par l'eduroam, Dans ce cas,
                                                                                        veuillez désactiver la prise en charge du WLAN sur l'outil tiers.

                                                                                        La fenêtre de configuration de l'interface sans­fil se lance.
                                                                                        Cocher les deux cases suivantes:

                                                                                         • « Afficher l'icône dans la zone de notification une fois
                                                                                           connecté »

                                                                                         • « m'indiquer si cette connexion a une connectivité limitée
                                                                                           ou inexistante ».

                                                                                        Entrer dans l'onglet « Configuration réseaux sans fil ».

                                                             PAGE   18/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                         VERSION   1.3

                                                                               S'assurer que la case « Utiliser Windows pour configurer mon
                                                                               réseau sans fil » est cochée.

                                                                               S'agissant d'une première connexion à l'eduroam, ce réseau
                                                                               sans fil n'apparaît pas dans la liste des réseaux favoris. Nous
                                                                               allons y remédier en cliquant sur le bouton « Ajouter ».

                                                                               Nous entrons dans la page de configuration avancée du
                                                                               réseau sans fil « eduroam ».

                                                                               Renseigner les champs comme suit:

                                                                                •   Nom réseau (SSID) : eduroam

                                                                                •   Authentification réseau : WPA2 ou à défaut WPA si votre
                                                                                    carte Wi­Fi ne supporte pas le WPA2.

                                                                                •   Cryptage des données : AES ou à défaut TKIP.

                                                                               Sélectionner maintenant l'onglet intitulé Authentification.

                                                             PAGE   19/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                       VERSION   1.3

                                                                               Dans la liste déroulante, sélectionner le type d'EAP « EAP
                                                                               protégé (PEAP) » et s'assurer que les deux cases qui suivent
                                                                               sont décochées.

                                                                               Cliquer sur le bouton Propriétés.

                                                                               La fenêtre ci­contre permet de spécifier les paramètres
                                                                               d'authentification du serveur radius côté utilisateur.
                                                                                • Cocher la case « valider le certificat du serveur »,
                                                                                • Cocher la case « connexion à ces serveurs »
                                                                                   ○dans le cas des personnels UN, saisir la chaîne :
                                                                                      rad.univ­nantes.fr
                                                                                    ○dans     le cas des étudiants UN, saisir la chaîne :
                                                                                      rad.etu.univ­nantes.fr
                                                                                • Cocher dans la liste des Autorités de certification racine
                                                                                  l'entrée « Add Trust External CA Root »
                                                                                • Cocher    la case « ne pas demander à l'utilisateur
                                                                                  d'autoriser de nouveaux serveurs ou des AC
                                                                                  approuvées ».

                                                                               Dans la liste des méthodes d'authentification, sélectionner
                                                                               « mot de passe sécurisé (EAP­MSCHAPv2).

                                                                               Décocher les cases « Activer la reconnexion rapide »,
                                                                               « activer les tests de quarantaine » et « déconnecter si le
                                                                               serveur ne présente pas de TLV de liaison de chiffrement ».

                                                                               Enfin, cliquer sur le bouton « Configurer ».

                                                                               Décocher la case « utiliser automatiquement mon nom
                                                                               d'ouverture de session (...) » puis cliquer sur le bouton OK et
                                                                               fermer toutes les fenêtres intermédiaires.

                                                                               Le supplicant Microsoft débute la connexion au réseau sans fil
                                                                               « eduroam ». Cliquer sur la notification qui apparaît.

                                                             PAGE   20/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                                   VERSION   1.3

                                                                                            Au bout de quelques secondes, Windows va tenter de se
                                                                                            connecter au réseau eduroam. S'il réussit à s'accrocher au
                                                                                            SSID eduroam à proximité, la fenêtre d'authentification ci­
                                                                                            contre s'affiche.
                                                                                            •    Nom d'utilisateur :

                                                                                                 •   personnels UN : identifiant@univ­nantes.fr (ex. doe­
                                                                                                     j@univ­nantes.fr)
                                                                                                 •   étudiants UN : identifiant@etu.univ­nantes.fr       (ex.
                                                                                                     e99001@etu.univ­nantes.fr)
                                                                                                 •   usagers extérieurs : veuillez vous référer aux
                                                                                                     instructions de votre établissement de rattachement.
                                                                                             •    Mot de passe : le mot de passe de connexion dans votre
                                                                                                  établissement de rattachement. Pour les étudiants ou
                                                                                                  personnels UN, il s'agit de votre de mot de passe de
                                                                                                  connexion à l'intranet de l'Université.

                                                                                            Veillez surtout à ne pas spécifier de nom de domaine !

                                                                                            Dans l'hypothèse où la phase d'authentification s'est déroulée
                                                                                            correctement, une nouvelle notification apparaît.

                                                                                            Vous obtenez une adresse IPv4 en 172.20.x.y.

      8.5 RECONNEXION
      À L'EDUROAM

                                       Nous décrivons dans la présente section les opérations de reconnexion au réseau sans fil eduroam.
                                 Les pré­requis sont bien évidemment :

                                               ●     d'avoir installé et configuré l'un des deux supplicants supportés,

                                               ●     de réutiliser ce supplicant et le profil de connexion associé pour la reconnexion.
                                       Nous rappelons à toutes fins utiles que la complexité de configuration du réseau sans fil eduroam
                                 n'apparaît qu'à la connexion initiale au cours de laquelle un profil WLAN est créé et sauvegardé sur le
                                 poste. Les connexions ultérieures s'appuient exclusivement sur ce précédent profil ce qui aboutit à une
                                 procédure de reconnexion simplifiée pour l'utilisateur final. Nous pouvons la résumer en trois principales
                                 étapes :
                                               1.    s'assurer que le service DHCP est toujours activé sur l'interface Wi­Fi (se référer au §8.3).
                                               2.    lancer le supplicant et choisir le profil WLAN associé à l'eduroam.
                                               3.    s'authentifier avec l'identifiant et le mot de passe de son établissement de rattachement.
                                       Seules les opérations 1 et 2 sont décrites par la suite pour les deux supplicants supportés sous les
                                 environnements Microsoft Windows.

                                 8.5.1.      SUPPLICANT INTEL PROSET/WIRELESS

                                                                                       Dans le cas où le réseau sans fil serait désactivé, suivre les
                                                                                       instructions ci­dessous.

                                                                                       1.   Activer l'interface WLAN dans le BIOS de la machine. Il y a
                                                                                            généralement un interrupteur sur les ordinateurs portables ou
                                                                                            encore un raccourci clavier Touche fonction + l'une des
                                                                                            touches F1 à F10 (souvent F2).

                                                             PAGE   21/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                                VERSION   1.3

                                                                               2.       Si le réseau sans fil était en plus désactivé manuellement
                                                                                        dans Intel PROSet/Wireless, il convient de cliquer avec le
                                                                                        bouton droit de la souris sur son icône en barre des tâches
                                                                                        puis de sélectionner l'entrée « Activer WiFi ».

                                                                               Double­cliquer sur l'icône précédente. La fenêtre ci­contre s'ouvre
                                                                               alors. La liste des réseaux sans fil à portée du poste s'affichent.

                                                                               Double­cliquer sur le réseau eduroam pour lequel un profil de
                                                                               connexion a été préalablement créé

                                                                               La fenêtre d'authentification ci­contre s'ouvre.       Renseigner les
                                                                               champs comme indiqué ci­dessous :
                                                                               •    Nom d'utilisateur:

                                                                                    •    personnels UN : identifiant@univ­nantes.fr ou identifiant (ex.
                                                                                         doe­j@univ­nantes.fr ou doe­j);
                                                                                    •    étudiants UN : identifiant@etu.univ­nantes.fr ou identifiant
                                                                                         (ex. e99001@etu.univ­nantes.fr ou e99001);
                                                                                    •    usagers extérieurs : veuillez vous référer aux instructions de
                                                                                         votre établissement de rattachement.
                                                                                • Domaine : conserver ce champ vide,
                                                                               • Mot de passe : le mot de passe de            connexion dans votre
                                                                                    établissement de rattachement. Pour les étudiants ou
                                                                                    personnels UN, il s'agit de votre de mot de passe de connexion
                                                                                    à l'intranet de l'Université.

                                                                               Cliquer sur le bouton OK pour lancer la connexion.

                                                             PAGE   22/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                             VERSION   1.3

                                                                               La connexion au réseau sans fil eduroam est établie en l'espace de
                                                                               quelques secondes. Une adresse IPv4 en 172.20.x.y est
                                                                               automatiquement assignée à l'interface WLAN.

                                 8.5.2.      SUPPLICANT NATIF WINDOWS

                                                                               Sélectionner le menu Démarrer → Paramètres → Connexions
                                                                               réseau puis cliquer avec le bouton droit de la souris sur l'icône
                                                                               Connexion réseau sans­fil. Sélectionner dans le menu l'entrée
                                                                               Propriétés.

                                                                               Sélectionner l'onglet « Configuration réseaux sans fil » puis cliquer
                                                                               sur le bouton « Afficher les réseaux sans fil ».

                                                             PAGE   23/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                               VERSION   1.3

                                                                               Les réseaux sans fil à portée sont listés dans la fenêtre. Double­
                                                                               cliquer sur l'entrée eduroam pour laquelle un profil de connexion a
                                                                               été préalablement créé.

                                                                               Patienter quelques instants le temps que la session s'initialise.

                                                                               Un message apparaît dans la zone de notification. Cliquer dessus
                                                                               pour ouvrir la fenêtre d'authentification à l'eduroam.

                                                                               Renseigner les champs comme indiqué ci­dessous :
                                                                               •   Nom d'utilisateur:

                                                                                   •   personnels UN : identifiant@univ­nantes.fr (ex. doe­j@univ­
                                                                                       nantes.fr)
                                                                                   •   étudiants UN : identifiant@etu.univ­nantes.fr                 (ex.
                                                                                       e99001@etu.univ­nantes.fr)
                                                                                   •   usagers extérieurs : veuillez vous référer aux instructions de
                                                                                       votre établissement de rattachement.
                                                                               •   Mot de passe : le mot de passe de connexion dans votre
                                                                                   établissement de rattachement. Pour les étudiants ou
                                                                                   personnels UN, il s'agit de votre de mot de passe de connexion
                                                                                   à l'intranet de l'Université.
                                                                               •   Domaine : conserver ce champ vide

                                                                               Cliquer sur le bouton OK pour lancer la connexion.

                                                                               Au bout de quelques secondes la connexion au réseau sans fil
                                                                               eduroam est établie. L'entrée eduroam doit passer à l'état Connecté.
                                                                               Une adresse IPv4 est automatiquement obtenue par DHCP.

   9      NAVIGATION WEB

                                       Le présent chapitre décrit les étapes successives de paramétrage des navigateurs web pour
                                 bénéficier à la fois de la navigation sur Internet et des web services de l'Université de Nantes.

                                                             PAGE   24/28
DSI UNIVERSITÉ DE NANTES             MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                              VERSION   1.3

      9.1       USAGERS EXTÉRIEURS

                                                  Les usagers extérieurs souhaitant surfer sur Internet depuis le réseau sans fil « eduroam » de
                                           l'Université de Nantes doivent paramétrer leur navigateur web sans le moindre serveur mandataire (proxy).
                                           Nous décrivons ci­dessous le mode opératoire pour les navigateurs Internet Explorer 7+, Mozilla Firefox 2,
                                           3 et plus.

                                                                                           Procédure pour Microsoft Internet Explorer 7 et +

                                                                                           Lancer le navigateur IE puis sélectionner le menu Outils → Options
                                                                                           Internet et enfin l'onglet Connexions. Cliquer sur le bouton
                                                                                           « Paramètres réseau ».

                                                                                           S'assurer que toutes les cases sont décochées puis cliquer sur le
                                                                                           bouton OK. Cliquer à nouveau sur le bouton OK de la fenêtre
                                                                                           parente « Options Internet ».

                                                                                           Vous disposez à présent d'une connectivité directe au web.

                                                                                           Procédure pour Mozilla Firefox 2, 3 et plus

                                                                                           Lancer le navigateur Firefox puis sélectionner le menu Outils →
                                                                                           Options → Avancé et enfin l'onglet Réseau. Cliquer sur le bouton
                                                                                           Paramètres.

                                                                       PAGE   25/28
DSI UNIVERSITÉ DE NANTES      MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                                   VERSION   1.3

                                                                                         Sélectionner l'entrée « Connexion directe à Internet » puis cliquer
                                                                                         sur le bouton OK.

                                                                                         Vous disposez à présent d'une connectivité directe au web.

      9.2        USAGERS UN

                                         Le mode opératoire diffère sensiblement pour les personnels et étudiants de l'Université de Nantes
                                    connectés au réseau sans fil eduroam de l'Université. Là, les connexions directes à Internet sont interdites.
                                    Le navigateur doit faire appel à un script de configuration automatique pour récupérer l'identité du serveur
                                    mandataire (proxy). Nous supportons les deux méthodes de configuration automatique des paramètres
                                    mandataires.
                                                  1. Méthode 1 : paramétrer le navigateur afin qu'il utilise le script de configuration
                                                 automatique: http://www.dsi.univ­nantes.fr/cache.pac
                                                 Cette méthode présente l'avantage, pour les personnels et une partie des étudiants UN, d'être
                                                 fonctionnelle quelle que soit leur localisation : réseau filaire de l'Université, Wi­Fi Université ou
                                                 réseau sans fil tiers, accès Internet au domicile, etc. Où que vous vous situiez, vous n'aurez pas
                                                 à modifier à chaque reprise le paramétrage des paramètres mandataire de votre navigateur.
                                                   2. Méthode 2 : la solution alternative consiste à détecter automatiquement les paramètres de
                                                 connexion. Un fichier équivalent à cache.pac sera alors téléchargé par le navigateur en toute
                                                 transparence pour l'utilisateur. On notera que cette configuration peut entrer en conflit avec
                                                 certains réseaux filaires de l'Université. De fait, quand vous vous déconnecterez du réseau sans
                                                 fil eduroam pour retourner à votre réseau filaire bureautique Université, vous devrez
                                                 généralement réajuster les paramètres d'origine.

                                           La première méthode est celle à privilégier puisqu'elle offre le maximum de souplesse en rendant
                                    l'accès au web fonctionnel sans autre manipulation des paramètres mandataires, quelle que soit votre
                                    localisation.
                                           Les personnels et étudiants UN en déplacement dans un établissement membre de l'eduroam
                                    sont invités à consulter les instructions de connexion de l'établissement visité. Il est toutefois
                                    probable, dans la plupart des établissements, qu'une configuration sans proxy soit en vigueur. Dans ce
                                    cas, la méthode 1 reste pleinement fonctionnelle. Pour les établissements ne satisfaisant pas à cette règle,
                                    les paramètres mandataires devront être modifiés manuellement.
                                          Nous décrivons ci­dessous les instructions de configuration des navigateurs Mozilla Firefox 2, 3 et
                                    plus ainsi que Microsoft Internet Explorer 7+.

                                                                PAGE   26/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS                                                               VERSION   1.3

                                                                               Procédure pour Mozilla Firefox 2, 3 et plus

                                                                               Lancer le navigateur Firefox puis sélectionner le menu Outils →
                                                                               Options et enfin l'icône Avancé. Sous l'onglet Réseau, cliquer sur le
                                                                               bouton Paramètres.

                                                                               L'exemple ci­contre utilise le script de configuration automatique.

                                                                               Cocher la case utiliser un script de configuration automatique puis
                                                                               saisir l'adresse

                                                                               •   http://www.dsi.univ­nantes.fr/cache.pac

                                                                               Dans l'hypothèse où vous ne souhaiteriez pas utiliser ce
                                                                               mécanisme, cocher la case détecter automatiquement les
                                                                               paramètres de connexion. Nous rappelons que cette seconde
                                                                               méthode peut présenter des effets de bord indésirables lorsque le
                                                                               poste sera connecté à l'un des réseaux bureautiques (filaires) de
                                                                               l'Université.

                                                                               Cliquer sur le bouton OK puis une nouvelle fois sur la fenêtre
                                                                               parente.

                                                                               Procédure pour Microsoft Internet Explorer 7

                                                                               Lancer le navigateur IE puis sélectionner le menu Outils → Options
                                                                               Internet et enfin l'onglet Connexions. Cliquer sur le bouton
                                                                               Paramètres réseau.

                                                                               L'exemple ci­contre utilise le script de configuration automatique.

                                                                               Cocher la case utiliser un script de configuration automatique puis
                                                                               saisir l'adresse

                                                                               •   http://www.dsi.univ­nantes.fr/cache.pac

                                                                               Dans l'hypothèse où vous ne souhaiteriez pas utiliser ce
                                                                               mécanisme, cocher la case détecter automatiquement les
                                                                               paramètres de connexion. Nous rappelons que cette seconde
                                                                               méthode peut présenter des effets de bord indésirables lorsque le
                                                                               poste sera connecté à l'un des réseaux bureautiques (filaires) de
                                                                               l'Université.

                                                                               Cliquer sur le bouton OK puis une nouvelle fois sur la fenêtre

                                                             PAGE   27/28
DSI UNIVERSITÉ DE NANTES   MANUEL UTILISATEUR EDUROAM SOUS MICROSOFT WINDOWS              VERSION   1.3

                                                                               parente.

                                                             PAGE   28/28
Vous pouvez aussi lire