O pessoal do SeTIC me ajudou e agora consigo acessar eduroam no meu Arch. Reproduzo abaixo os passos para referência.
Talvez esqueci de uma ou outra ação (coisas pequenas como criar um arquivo $ touch /foo/bar), mas nesse caso, mensagens de erro + Google devem servir de referência suficiente. Além disso, minha preocupação no momento era em fazer eduroam funcionar, e não em obter a solução mais limpa possível.
Sinta-se livre para entrar em contato para discutir esse documento. Dificilmente poderei ajudar a fazer eduroam funcionar, em vez disso direciono os usuários de Arch a tentarem seguir esse tutorial e, falhando, pedir ajuda no SeTIC. Mas se alguém quiser sugerir melhoras, ou republicar o texto em outro lugar, me mande um email.
Uso netctl-auto, mas não tenho nenhum perfil eduroam no netctl. Em vez disso, usamos wpa_supplicant diretamente, basicamente seguindo a wiki do Arch.