eduroam und 802.1X: Sichere WiFi-Authentifizierung für Hochschulen

Dieser maßgebliche technische Leitfaden erläutert die Architektur, Bereitstellung und Sicherheit der eduroam- und 802.1X-Authentifizierung. Er wurde für IT-Manager und Netzwerkarchitekten konzipiert und behandelt praktische Implementierungsschritte, die Auswahl der EAP-Methode sowie die sichere Unterstützung des akademischen Roamings durch Veranstaltungsortbetreiber.

📖 6 GuidesSlugPage.minRead📝 1,343 GuidesSlugPage.words🔧 3 GuidesSlugPage.workedExamples❓ 3 GuidesSlugPage.practiceQuestions📚 8 GuidesSlugPage.keyDefinitions

GuidesSlugPage.podcastTitle

GuidesSlugPage.podcastTranscript

PODCAST SCRIPT: eduroam and 802.1X — Secure WiFi Authentication for Higher Education
Runtime: approximately 10 minutes
Voice: UK English, male, senior consultant tone — confident, conversational, authoritative

---

[INTRO — 1 minute]

Welcome back. I'm going to spend the next ten minutes walking you through eduroam and 802.1X — what they are, how they actually work under the hood, and what your team needs to know before you deploy or integrate with either.

If you're an IT manager, network architect, or CTO at a university, college, or research institution — or if you're a venue operator who needs to understand what your academic visitors are expecting from your wireless infrastructure — this is the briefing for you.

Let's start with the big picture. eduroam stands for "education roaming." It's a global WiFi roaming service that lets students, researchers, and staff from member institutions connect to the internet at any participating venue — automatically, securely, using their home institution's credentials. No guest portals. No voucher codes. No asking the front desk for a password.

It's been running since 2003, it now covers over 10,000 institutions across more than 100 countries, and it is the de facto standard for campus wireless networking in higher education worldwide. If your organisation intersects with universities — whether you're a hotel near a campus, a conference centre hosting academic events, or a public library in a university town — understanding eduroam is directly relevant to your network strategy.

---

[TECHNICAL DEEP-DIVE — 5 minutes]

Right. Let's get into the mechanics.

eduroam is built on top of IEEE 802.1X — the port-based network access control standard. 802.1X defines a framework for authenticating devices before they're granted access to a network. It was originally designed for wired Ethernet but it maps cleanly onto wireless, and it's the foundation of what we call WPA2-Enterprise or WPA3-Enterprise security.

The 802.1X model has three components. First, the Supplicant — that's the device trying to connect. A student's laptop, a researcher's phone. Second, the Authenticator — that's your network access point or managed switch. It sits between the supplicant and the rest of the network and acts as a gatekeeper. Third, the Authentication Server — almost always a RADIUS server. RADIUS stands for Remote Authentication Dial-In User Service. It's the component that actually validates the credentials.

Here's how the handshake works. The student's device associates with the wireless access point. The access point doesn't grant full network access yet — it opens what's called a controlled port, but only for EAP traffic. EAP is the Extensible Authentication Protocol. The access point proxies the EAP conversation between the device and the RADIUS server. The RADIUS server challenges the device, the device responds with credentials — typically a username and password, or a certificate — and if the RADIUS server is satisfied, it sends back an Access-Accept message. The access point then opens the full network port. The whole exchange takes under two seconds in a well-configured deployment.

Now, where does eduroam layer on top of this? eduroam uses a hierarchical RADIUS proxy infrastructure. Each participating institution runs its own RADIUS server — called the Identity Provider, or IdP. When a student from, say, the University of Manchester visits Imperial College London and connects to the eduroam SSID, their device sends their credentials in the format username@manchester.ac.uk. Imperial's RADIUS server sees the realm — that's the part after the @ symbol — and proxies the authentication request up to the national RADIUS server, which is operated in the UK by Jisc, the national research and education network. Jisc then routes the request to the University of Manchester's RADIUS server, which validates the credentials and sends back an Accept or Reject. The whole chain resolves in milliseconds.

This proxy chain is what makes eduroam work across institutional boundaries without any pre-shared secrets between institutions. Each hop in the chain uses a shared RADIUS secret only with its immediate neighbour. The student's actual password never leaves the home institution's RADIUS server — it's protected end-to-end by the EAP tunnel.

Speaking of EAP methods — this is where a lot of deployments go wrong, so pay attention. The most common EAP methods in eduroam are PEAP — Protected EAP — and EAP-TLS. PEAP wraps an inner authentication method, usually MSCHAPv2, inside a TLS tunnel. It requires a server-side certificate on the RADIUS server, but the client only needs a username and password. EAP-TLS is the more secure option — it uses mutual certificate authentication, meaning both the server and the client present certificates. It's harder to deploy at scale because you need a PKI to issue client certificates, but it's essentially immune to credential phishing.

The critical security requirement that many institutions get wrong is certificate validation on the client side. When a device connects to eduroam using PEAP, the device must verify the RADIUS server's certificate before submitting credentials. If the device is misconfigured to accept any certificate, an attacker can stand up a rogue access point broadcasting the eduroam SSID, present a self-signed certificate, and harvest credentials. This is a known attack vector. The fix is to configure your supplicant profiles — via MDM for managed devices, or via the eduroam Configuration Assistant Tool, known as CAT, for personal devices — to pin the expected certificate authority and server name.

From a standards perspective, eduroam deployments are expected to comply with the eduroam Policy Service Definition, which mandates TLS 1.2 or higher for all RADIUS over TLS connections, prohibits the use of weak EAP methods like EAP-MD5 or LEAP, and requires that all RADIUS proxy connections use RadSec — RADIUS over TLS — rather than plain UDP RADIUS where possible. This aligns with NCSC guidance in the UK and NIST SP 800-120 in the US.

One more technical point worth flagging: VLAN assignment. In a well-architected eduroam deployment, the RADIUS Access-Accept response includes VLAN attributes that tell the access point which VLAN to assign the connecting device to. This lets you segment traffic — putting visiting students on a restricted VLAN with internet-only access, while your own staff get routed to the internal network. This is essential for compliance, particularly if you're subject to PCI DSS or need to maintain separation between research data networks and general internet traffic.

---

[IMPLEMENTATION RECOMMENDATIONS AND PITFALLS — 2 minutes]

Let me give you the practical guidance.

If you're deploying eduroam for the first time, your first call should be to your national NREN — in the UK that's Jisc, in Ireland HEAnet, in the US Internet2. They handle federation membership and will assign you a RADIUS realm. You cannot participate in eduroam without being a member of your national federation.

Your infrastructure checklist: you need 802.1X-capable access points — any enterprise-grade kit from Cisco, Aruba, Juniper, Ruckus, or Ubiquiti UniFi will do this. You need a RADIUS server — FreeRADIUS is the open-source standard, or you can use Microsoft NPS, Cisco ISE, or Aruba ClearPass. You need a valid TLS certificate for your RADIUS server from a CA that is trusted by the eduroam community — typically a certificate from your institution's PKI or a commercial CA on the eduroam approved list.

The three most common deployment failures I see are: first, certificate misconfiguration — either the RADIUS cert has expired, or the client supplicant profiles aren't pinned correctly. Second, RADIUS proxy timeouts — if your upstream NREN connection has latency issues, authentication will time out and users will see connection failures that look like credential errors. Third, VLAN misconfiguration — visiting users end up on the wrong network segment, either getting no internet access or, worse, getting access to internal resources they shouldn't see.

On the client side, deploy eduroam CAT profiles to all managed devices via your MDM platform. For personal devices, publish the CAT installer link prominently. This single step eliminates the majority of support tickets.

For venues that aren't higher education institutions but want to offer eduroam access — conference centres, hotels, and similar — the process is called eduroam Visitor Access, or eVA. It allows non-member organisations to host the eduroam SSID and proxy authentication to the federation without being full members. It's worth investigating if you regularly host academic conferences or university events.

---

[RAPID-FIRE Q&A — 1 minute]

Quick questions I get asked regularly.

"Can eduroam replace our guest WiFi entirely?" No. eduroam only works for users who have credentials at a member institution. You still need a separate guest WiFi solution for everyone else — visitors, contractors, the general public.

"Is eduroam compliant with GDPR?" Yes, with caveats. The federation architecture means your institution processes authentication data, but you need to ensure your privacy notices cover this and that your RADIUS logs are handled appropriately.

"Can we use WPA3 with eduroam?" Yes. WPA3-Enterprise is fully compatible with 802.1X and is the recommended standard for new deployments. It adds 192-bit mode encryption for high-security environments.

"What's the difference between eduroam and OpenRoaming?" OpenRoaming is a broader industry initiative from the Wireless Broadband Alliance that uses the same 802.1X and RADIUS proxy architecture but extends roaming beyond education to commercial venues. Some platforms, including Purple, support OpenRoaming as part of their guest WiFi offering.

---

[SUMMARY AND NEXT STEPS — 1 minute]

To wrap up. eduroam is a mature, well-governed, globally deployed WiFi roaming service built on 802.1X and a hierarchical RADIUS proxy infrastructure. It delivers per-user authentication, strong encryption, and seamless roaming across 10,000-plus institutions — without shared passwords or captive portals.

For IT teams deploying or upgrading campus wireless: prioritise EAP-TLS over PEAP where your PKI can support it, enforce certificate validation on all client profiles, use RadSec for all RADIUS proxy connections, and segment visiting users into a dedicated VLAN.

For venue operators: if you regularly host academic visitors, investigate eduroam Visitor Access. And regardless of whether you deploy eduroam, your guest WiFi infrastructure should be built on enterprise-grade 802.1X principles — not shared PSKs.

If you want to go deeper on any of this — RADIUS architecture, PKI design for EAP-TLS, or how platforms like Purple integrate with eduroam and OpenRoaming — the full written guide is linked in the show notes.

Thanks for listening. Until next time.

---
END OF SCRIPT

Zusammenfassung für die Geschäftsleitung

Für Hochschulen und die Veranstaltungsorte, die deren Studierende und Mitarbeiter beherbergen, ist die Bereitstellung einer sicheren, nahtlosen drahtlosen Konnektivität kein Luxus mehr – sie ist ein operatives Muss. Der Standard für diese Konnektivität ist eduroam, ein globaler Roaming-Dienst, der auf dem IEEE 802.1X-Framework basiert.

Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und Direktoren für Veranstaltungsortbetrieb eine umfassende, herstellerneutrale Referenz zum Verständnis, zur Bereitstellung und zur Fehlerbehebung von 802.1X und eduroam. Wir gehen über grundlegende theoretische Modelle hinaus, um die praktischen Realitäten von Unternehmens-Campus-WiFi zu behandeln, einschließlich Zertifikatsverwaltung, RADIUS-Proxy-Architektur und Integration in umfassendere Gastnetzwerkstrategien.

Ob Sie ein veraltetes Universitätsnetzwerk aufrüsten oder ein Konferenzzentrum für die Unterstützung akademischer Besucher konfigurieren: Die korrekte Implementierung von 802.1X mindert erhebliche Sicherheitsrisiken – insbesondere den Diebstahl von Anmeldeinformationen – und reduziert gleichzeitig den Supportaufwand drastisch. Für Veranstaltungsorte außerhalb der traditionellen Hochschulbildung ist das Verständnis dieser Standards entscheidend für die Bewertung kommerzieller Roaming-Föderationen wie OpenRoaming, die dieselbe zugrunde liegende Architektur teilen.

Technischer Deep-Dive: 802.1X und die eduroam-Architektur

Im Kern ist eduroam eine Implementierung von IEEE 802.1X, dem Standard für die portbasierte Netzwerkzugriffskontrolle. Obwohl ursprünglich für kabelgebundene Netzwerke konzipiert, bildet 802.1X die Grundlage der WPA2-Enterprise- und WPA3-Enterprise-Sicherheit.

Das 802.1X-Dreieck

Das 802.1X-Framework basiert auf drei unterschiedlichen Komponenten, die zur Autorisierung des Zugriffs interagieren:

Supplicant: Das Client-Gerät (z. B. der Laptop oder das Smartphone eines Studenten), das Netzwerkzugriff anfordert.
Authenticator: Das Netzwerkzugriffsgerät (z. B. ein Wireless Access Point oder ein Managed Switch). Es fungiert als Gatekeeper und blockiert den gesamten Datenverkehr außer Authentifizierungsnachrichten, bis das Gerät autorisiert ist.
Authentifizierungsserver: Das Backend-System, das Anmeldeinformationen validiert, fast immer ein RADIUS (Remote Authentication Dial-In User Service) Server.

Wenn ein Gerät eine Verbindung herstellt, richtet der Authenticator einen kontrollierten Port ein. Er leitet Extensible Authentication Protocol (EAP)-Nachrichten zwischen dem Supplicant und dem Authentifizierungsserver weiter. Sind die Anmeldeinformationen gültig, sendet der Server eine RADIUS Access-Accept-Nachricht zurück, und der Authenticator öffnet den Port für den standardmäßigen IP-Verkehr.

Die eduroam RADIUS-Proxy-Hierarchie

Was eduroam einzigartig macht, ist seine föderierte Architektur. Es ermöglicht Benutzern, sich an jeder teilnehmenden Institution mit ihren Heim-Anmeldeinformationen zu authentifizieren, ohne dass die Host-Institution eine Kopie dieser Anmeldeinformationen benötigt.

Dies wird durch eine hierarchische RADIUS-Proxy-Kette erreicht. Wenn ein Benutzer von username@university.ac.uk sich mit der eduroam SSID an einem Host-Veranstaltungsort verbindet:

Das Gerät des Benutzers sendet eine Authentifizierungsanfrage im Format username@university.ac.uk.
Der RADIUS-Server des Host-Veranstaltungsortes prüft den Realm (den Teil nach dem @). Da er ihn als externe Domäne erkennt, leitet er die Anfrage an den nationalen Top-Level-RADIUS-Server (betrieben vom National Research and Education Network, oder NREN) weiter.
Der nationale Server leitet die Anfrage an den RADIUS-Server der Heimateinrichtung (university.ac.uk) weiter.
Die Heimateinrichtung validiert die Anmeldeinformationen und sendet eine Access-Accept- oder Access-Reject-Nachricht die Kette hinunter zurück.

Dieser gesamte Prozess ist typischerweise in weniger als zwei Sekunden abgeschlossen. Entscheidend ist, dass das Passwort des Benutzers niemals der Host-Institution oder den Zwischen-Proxys offengelegt wird; es ist innerhalb eines verschlüsselten EAP-Tunnels geschützt, der direkt zwischen dem Supplicant und dem Heim-RADIUS-Server aufgebaut wird.

EAP-Methoden: Sicherheit vs. Bereitstellbarkeit

Die Wahl der EAP-Methode bestimmt, wie der verschlüsselte Tunnel gebildet und wie Anmeldeinformationen ausgetauscht werden. Die eduroam Policy Service Definition schränkt zulässige Methoden stark ein, um die Sicherheit zu gewährleisten.

PEAP (Protected EAP): Die häufigste Bereitstellung. Es etabliert einen TLS-Tunnel unter Verwendung eines serverseitigen Zertifikats auf dem RADIUS-Server. Der Client authentifiziert sich dann innerhalb dieses Tunnels, typischerweise unter Verwendung von MSCHAPv2 (Benutzername und Passwort). Es ist relativ einfach bereitzustellen, aber anfällig für Angriffe durch Rogue Access Points, wenn Clients nicht so konfiguriert sind, dass sie das Serverzertifikat streng validieren.
EAP-TLS: Der Goldstandard für Sicherheit. Es erfordert eine gegenseitige Authentifizierung, was bedeutet, dass sowohl der RADIUS-Server als auch das Client-Gerät gültige Zertifikate vorweisen müssen. Obwohl es immun gegen Credential Phishing ist, erfordert es eine robuste Public Key Infrastructure (PKI) zur Ausstellung und Verwaltung von Client-Zertifikaten, was die Bereitstellung in großem Maßstab komplexer macht.

Implementierungsleitfaden

Die Bereitstellung von 802.1X und eduroam erfordert eine sorgfältige Koordination zwischen Netzwerkinfrastruktur, Identitätsmanagement und Client-Konfiguration.

1. Infrastrukturvorbereitung

Stellen Sie sicher, dass Ihre Wireless Access Points und Controller WPA2-Enterprise/WPA3-Enterprise und 802.1X unterstützen. Jede moderne Hardware der Enterprise-Klasse (Cisco, Aruba, Juniper usw.) wird diese Anforderung erfüllen. Sie müssen außerdem eine robuste RADIUS-Infrastruktur (z. B. FreeRADIUS, Cisco ISE, Aruba ClearPass) bereitstellen, die die erwartete Authentifizierungslast bewältigen und Anfragen proxen kann.

2. Zertifikatsverwaltung

Für PEAP-Bereitstellungen benötigt Ihr RADIUS-Server ein TLS-Zertifikat, das von einer von Ihren Clients vertrauten Zertifizierungsstelle (CA) ausgestellt wurde. Verwenden Sie keine selbstsignierte Zertifikate für eduroam-Produktionsbereitstellungen. Das Zertifikat muss regelmäßig erneuert werden, um Authentifizierungsausfälle zu verhindern.

3. Client-Konfiguration (Das CAT-Tool)

Der häufigste Fehlerpunkt bei eduroam-Bereitstellungen ist eine Fehlkonfiguration des Clients. Benutzer, die sich manuell verbinden, versäumen es oft, die Zertifikatsvalidierung zu konfigurieren, wodurch sie anfällig für das Abgreifen von Anmeldeinformationen werden.

Um dies zu mindern, müssen Institutionen das eduroam Configuration Assistant Tool (CAT) oder eine MDM-Lösung verwenden, um vorkonfigurierte Profile zu verteilen. Diese Profile konfigurieren automatisch die korrekte EAP-Methode, pinnen das erwartete RADIUS-Server-Zertifikat und legen die entsprechenden internen Authentifizierungsprotokolle fest.

4. VLAN-Zuweisung und -Segmentierung

Eine ausgereifte Bereitstellung nutzt RADIUS-Attribute, um VLANs dynamisch basierend auf der Benutzeridentität zuzuweisen.

Heimnutzer: Zugewiesen zu internen VLANs mit entsprechendem Zugriff auf Campus-Ressourcen.
Gastnutzer: Zugewiesen zu einem eingeschränkten Gast-VLAN mit reinem Internetzugang.

Diese Segmentierung ist entscheidend für Sicherheit und Compliance und stellt sicher, dass Gastgeräte nicht auf sensible interne Netzwerke zugreifen können.

Best Practices und herstellerneutrale Empfehlungen

WPA3 priorisieren: Aktivieren Sie für neue Bereitstellungen WPA3-Enterprise, um von der obligatorischen 192-Bit-Verschlüsselung und einem verbesserten Schutz vor Offline-Wörterbuchangriffen zu profitieren.
Zertifikatsvalidierung erzwingen: Schreiben Sie die Verwendung von Konfigurationsprofilen (über CAT oder MDM) vor, um sicherzustellen, dass Supplikanten das RADIUS-Server-Zertifikat strikt validieren, bevor sie Anmeldeinformationen übertragen.
RadSec verwenden: Verwenden Sie bei der Konfiguration von RADIUS-Proxy-Verbindungen zur nationalen Föderation RadSec (RADIUS over TLS) anstelle von einfachem UDP. Dies verschlüsselt den Proxy-Verkehr und verbessert die Zuverlässigkeit über WAN-Verbindungen.
Integration mit Gastlösungen: eduroam bedient nur Benutzer mit akademischen Zugangsdaten. Sie müssen eine separate, sichere Guest WiFi -Lösung für Auftragnehmer, öffentliche Besucher und Veranstaltungsteilnehmer bereitstellen.
Zugehörige Infrastruktur überprüfen: Stellen Sie sicher, dass Ihr zugrunde liegendes Netzwerk sicher ist. Lesen Sie unseren Leitfaden Schützen Sie Ihr Netzwerk mit starkem DNS und Sicherheit für weitere Details. Wenn Sie temporäre Infrastruktur für Universitätsveranstaltungen bereitstellen, konsultieren Sie Event WiFi: Planung und Bereitstellung temporärer drahtloser Netzwerke oder die portugiesische Version Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias .

Fehlerbehebung & Risikominderung

Wenn die Authentifizierung fehlschlägt, ist eine systematische Fehlerbehebung unerlässlich.

Fehlerdomäne isolieren: Bestimmen Sie, ob der Fehler lokal (betrifft Ihre eigenen Benutzer in Ihrem eigenen Netzwerk), remote (betrifft Ihre Benutzer anderswo) oder eingehend (betrifft Besucher in Ihrem Netzwerk) ist.
RADIUS-Protokolle prüfen: Die RADIUS-Server-Protokolle sind die definitive Quelle der Wahrheit. Suchen Sie nach Access-Reject-Meldungen (die auf falsche Anmeldeinformationen oder Richtlinienverstöße hinweisen) oder Timeouts (die auf Proxy-Konnektivitätsprobleme hinweisen).
Zertifikatsgültigkeit überprüfen: Stellen Sie sicher, dass das RADIUS-Server-Zertifikat nicht abgelaufen ist und dass die vollständige Zertifikatskette dem Client präsentiert wird.
Upstream-Latenz überwachen: Eine hohe Latenz bei der Verbindung zum nationalen RADIUS-Proxy kann zu Client-Timeouts führen, was selbst bei korrekten Anmeldeinformationen zu fehlgeschlagenen Verbindungen führt.

ROI & Geschäftsauswirkungen

Für Hochschulen wird der ROI einer ordnungsgemäßen eduroam-Bereitstellung an drastisch reduzierten Support-Tickets gemessen. Durch die Eliminierung von Captive Portals und der manuellen Passworteingabe verzeichnen IT-Helpdesks einen signifikanten Rückgang der Anrufe im Zusammenhang mit Konnektivität. (Purples Engagement in diesem Sektor ist offensichtlich; siehe Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers ).

Für kommerzielle Veranstaltungsorte – wie jene im Bereich Gastgewerbe , Einzelhandel , Gesundheitswesen oder Transport – bietet die Unterstützung von eduroam Visitor Access (eVA) oder ähnlichen Föderationen wie OpenRoaming ein reibungsloses Erlebnis für hochwertige Zielgruppen. Es stellt sicher, dass akademische Besucher sich automatisch und sicher verbinden können, was die Zufriedenheit verbessert und es dem Veranstaltungsort ermöglicht, eine strikte Netzwerksegmentierung aufrechtzuerhalten. Wenn Ihr Veranstaltungsort dedizierte Bandbreite zur Unterstützung benötigt, sollten Sie Was ist eine Standleitung? Dediziertes Business Internet lesen.

Bei der Planung von Netzwerk-Upgrades stellt die Integration von 802.1X-Funktionen sicher, dass die Infrastruktur für moderne identitätsgesteuerte Netzwerke bereit ist und die Grundlage für fortschrittliche WiFi Analytics und standortbasierte Dienste legt.

GuidesSlugPage.keyDefinitionsTitle

802.1X

An IEEE standard for port-based Network Access Control (PNAC). It provides an authentication mechanism to devices wishing to attach to a LAN or WLAN.

The foundational protocol for enterprise-grade WiFi security, replacing shared passwords (PSKs) with individualised authentication.

RADIUS (Remote Authentication Dial-In User Service)

A networking protocol that provides centralised Authentication, Authorization, and Accounting (AAA) management for users who connect and use a network service.

The backend server in an 802.1X deployment that actually checks the user's credentials against a directory (like Active Directory).

EAP (Extensible Authentication Protocol)

An authentication framework frequently used in wireless networks and point-to-point connections. It provides for the transport and usage of various authentication mechanisms.

The language spoken between the client device and the RADIUS server during the 802.1X handshake.

Supplicant

The client device (e.g., laptop, smartphone) or the software on that device attempting to authenticate to a network using 802.1X.

The entity requesting access. Its configuration (especially regarding certificate validation) is critical for security.

Authenticator

The network device (e.g., wireless access point, Ethernet switch) that facilitates the 802.1X authentication process by passing messages between the Supplicant and the Authentication Server.

The gatekeeper that blocks network traffic until the RADIUS server gives the green light.

PEAP (Protected Extensible Authentication Protocol)

An EAP method that encapsulates the EAP transaction within a TLS tunnel established using a server-side certificate, protecting the inner authentication (usually a password).

The most common authentication method for eduroam, balancing security with ease of deployment.

RadSec

A protocol for transmitting RADIUS data over TCP and TLS, rather than the traditional UDP.

Recommended for securing the proxy connections between institutions and the national eduroam federation, preventing interception of authentication traffic.

Realm

The portion of a user's identity following the '@' symbol (e.g., 'university.ac.uk' in 'user@university.ac.uk').

Used by RADIUS proxy servers to determine where to route the authentication request in a federated environment like eduroam.

GuidesSlugPage.workedExamplesTitle

A 400-room conference hotel adjacent to a major university frequently hosts academic symposiums. The IT Director wants to allow visiting academics to connect automatically without using the hotel's standard captive portal, but must ensure these visitors cannot access the hotel's corporate network or the standard guest network VLAN.

The hotel should implement eduroam Visitor Access (eVA) or join a commercial federation like OpenRoaming.

The hotel configures a new SSID ('eduroam' or 'OpenRoaming') on their enterprise access points.
The APs are configured to use WPA2-Enterprise/802.1X.
The hotel deploys a local RADIUS server configured to proxy authentication requests for external realms to the national federation (for eduroam) or the OpenRoaming hub.
Crucially, the local RADIUS server is configured to return a specific VLAN ID attribute in the Access-Accept message for all proxied authentications.
The access points place these authenticated users onto an isolated, internet-only VLAN, completely segmented from the hotel's corporate and standard guest traffic.

GuidesSlugPage.examinerCommentary This approach correctly leverages the RADIUS proxy architecture to offload authentication to the visitors' home institutions. By using dynamic VLAN assignment via RADIUS attributes, the hotel maintains strict network segmentation, satisfying security requirements while providing a frictionless user experience.

A university IT team notices a spike in compromised student accounts. Investigation reveals that students are connecting to a rogue access point broadcasting the 'eduroam' SSID at a local coffee shop. The rogue AP is using a self-signed certificate to harvest credentials via PEAP.

The IT team must immediately enforce strict certificate validation on all client devices.

They must stop advising students to manually connect to the SSID and 'accept the certificate warning'.
They deploy the eduroam Configuration Assistant Tool (CAT) for BYOD devices and update MDM profiles for managed devices.
These profiles configure the supplicant to only trust the specific Certificate Authority (CA) that issued the university's RADIUS server certificate, and to verify the server's Common Name (CN).
Once configured, if a student's device encounters the rogue AP, the EAP tunnel establishment will fail because the rogue certificate does not match the pinned CA/CN, preventing the transmission of credentials.

GuidesSlugPage.examinerCommentary This scenario highlights the most critical vulnerability in PEAP deployments. The solution correctly identifies that the fix is client-side configuration. Relying on user education to spot fake certificates is ineffective; technical controls (profile pinning) are mandatory.

A retail chain wants to offer OpenRoaming across 50 locations using their existing guest WiFi infrastructure, which currently relies on an open SSID with a captive portal.

The retail chain must upgrade their network to support 802.1X and RADIUS proxying.

The network team enables a new SSID broadcasting the OpenRoaming Consortium OI (Organization Identifier).
They configure the access points to authenticate via 802.1X.
They configure their central RADIUS server to proxy requests to the OpenRoaming federation hub.
They ensure their internet backhaul can support the expected increase in automated connections, potentially upgrading to dedicated leased lines if necessary.

GuidesSlugPage.examinerCommentary This highlights that moving from a captive portal to a federated 802.1X model requires fundamental architectural changes, specifically the implementation of RADIUS proxying and the ability to handle increased automated connections.

GuidesSlugPage.practiceQuestionsTitle

Q1. Your university is deploying a new wireless network. The CISO mandates that credential phishing via rogue access points must be mathematically impossible. Which EAP method must you select?

GuidesSlugPage.hintPrefixConsider which method relies on passwords versus which relies entirely on cryptographic keys.

GuidesSlugPage.viewModelAnswer

You must select EAP-TLS. Unlike PEAP, which relies on a password inside a TLS tunnel, EAP-TLS requires mutual certificate authentication. Because the client device authenticates using a cryptographic certificate rather than a password, there are no credentials for a rogue access point to phish.

Q2. A visiting researcher from another university complains they cannot connect to your eduroam network. Your local users are connecting fine. You check your local RADIUS server logs and see the request arriving, but it times out before an Access-Accept is received. What is the most likely cause?

GuidesSlugPage.hintPrefixThink about the path the authentication request takes for a visiting user versus a local user.

GuidesSlugPage.viewModelAnswer

The most likely cause is a connectivity or latency issue between your local RADIUS server and the national NREN RADIUS proxy. Because local users authenticate directly against your server, they are unaffected. The visiting user's request must be proxied upstream, and a timeout indicates the response from the home institution is not returning in time.

Q3. You are a network architect for a retail chain located near a large university. You want to offer seamless WiFi to students using eduroam Visitor Access (eVA), but you must comply with PCI DSS for your point-of-sale terminals. How do you securely integrate eVA?

GuidesSlugPage.hintPrefixHow does 802.1X allow the network access point to differentiate traffic after authentication?

GuidesSlugPage.viewModelAnswer

You integrate eVA by configuring your RADIUS server to assign all successful eVA authentications to a dedicated, internet-only guest VLAN. The Access-Accept message from the RADIUS server must include the specific VLAN ID. This ensures student devices are completely segmented from the PCI-compliant VLAN used by the point-of-sale terminals, satisfying compliance requirements.