Описывается реализация федеративного контроля доступа для научных сетей на основе технологии eduroam. Технология предоставляет пользователям возможность безопасной аутентификации для доступа к сети и использования сетевых ресурсов в любой сети федерации eduroam с использованием единственного набора учетных данных. Рассматриваются основные технологии и протоколы, используемые для обеспечения прозрачной аутентификации пользователей. Авторами впервые предложен механизм прав доступа на основе групп институтов и пользователей. Информация о группах хранится на групповых RADIUS-серверах в виде списка институтов или списка пользователей. Для аутентификации пользователя в eduroam сервис-провайдер передает запрос на аутентификацию, содержащий имя и пароль пользователя в зашифрованном виде, RADIUS-серверу идентификации института пользователя. Сервер идентификации определяется по доменному имени пользователя, запрос передается через иерархическую систему прокси-серверов RADIUS. Если сервис-провайдер обеспечивает специальный доступ для пользователей некоторой группы, он также направляет на RADIUS-сервер группы запрос о принадлежности пользователя этой группе. Запрос передается через иерархическую систему групповых серверов RADIUS. Иерархия прокси-серверов RADIUS федерации eduroam и групповых серверов основывается на доменной системе имен. Реализация описанных механизмов требует незначительной модификации RADIUS-сервера сервис-провайдера для поддержки групп и не требует внесения изменений в RADIUS-серверы провайдеров идентификации и прокси- серверы системы eduroam. Поддержка групп полностью совместима с существующей системой eduroam, в одной системе могут одновременно функционировать серверы RADIUS сервис-провайдера с поддержкой групп и без поддержки.