man/man8/radiusd.8

   1 .TH RADIUSD 8 "23 June 2004" "" "FreeRADIUS Daemon"
   2 .SH NAME
   3 radiusd - Authentication, Authorization and Accounting server
   4 .SH SYNOPSIS
   5 .B radiusd
   6 .RB [ \-A ]
   7 .RB [ \-S ]
   8 .RB [ \-a
   9 .IR accounting_directory ]
  10 .RB [ \-c ]
  11 .RB [ \-d
  12 .IR config_directory ]
  13 .RB [ \-f ]
  14 .RB [ \-i
  15 .IR ip-address ]
  16 .RB [ \-l
  17 .IR log_directory ]
  18 .RB [ \-g
  19 .IR facility ]
  20 .RB [ \-p
  21 .IR port ]
  22 .RB [ \-s ]
  23 .RB [ \-v ]
  24 .RB [ \-x ]
  25 .RB [ \-X ]
  26 .RB [ \-y ]
  27 .RB [ \-z ]
  28 .SH DESCRIPTION
  29 FreeRADIUS is a high-performance and highly configurable RADIUS
  30 server.  As a result, it can be difficult to configure in systems with
  31 complex requirements.  Our suggestion is to proceed via the following
  32 steps:
  33 .PP
  34 1) Always run the server in debugging mode (
  35 .B radiusd -X
  36 ).  We cannot emphasize this enough.  If you are not running the
  37 server in debugging mode, you \fIwill not\fP be able to see what is
  38 doing, and you \fIwill not\fP be able to correct any problems.
  39 .PP
  40 2) When editing the \fIradiusd.conf\fP file, change as little as
  41 possible, especially in the \fIauthorize{}\fP section.  The ordering
  42 of the modules is critical for the server to be able to
  43 "automatically" figure out how to handle the request.  Changing the
  44 order of the modules ensures that the server will not work.
  45 .PP
  46 3) When testing, start off by configuring a user and password in the
  47 \fIusers\fP file.  So long as the server knows about a user, and has a
  48 clear-text password for that user, \fBalmost all of the authentication
  49 methods will "just work"\fP.
  50 .PP
  51 4) Gradually add more complex configurations to the server, while
  52 testing them as you go.  If you start off by configuring the server in
  53 a complex configuration, you will never be able to debug it.
  54 .PP
  55 5) Ask questions on the mailing list
  56 (freeradius-users@lists.freeradius.org).  When asking questions,
  57 include the output from debugging mode (
  58 .B radiusd -X
  59 ).  This information will allow people to help you.  Without it, your
  60 message will get ignored.
  61
  62 .SH BACKGROUND
  63 \fBRADIUS\fP is a protocol spoken between an access server, typically
  64 a device connected to several modems or ISDN lines, and a \fBradius\fP
  65 server. When a user connects to the access server, (s)he is asked for
  66 a loginname and a password. This information is then sent to the \fBradius\fP
  67 server. The server replies with "access denied", or "access OK". In the
  68 latter case login information is sent along, such as the IP address in
  69 the case of a PPP connection.
  70 .PP
  71 The access server also sends login and logout records to the \fBradius\fP
  72 server so accounting can be done. These records are kept for each terminal
  73 server seperately in a file called \fBdetail\fP, and in the \fIwtmp\fP
  74 compatible logfile \fB/var/log/radwtmp\fP.
  75
  76 .SH OPTIONS
  77
  78 .IP \-A
  79 Write a file \fIdetail.auth\fP in addition to the standard \fBdetail\fP file
  80 in the same directory. This file will contain all the authentication-request
  81 records. This can be useful for debugging, but not for normal operation.
  82
  83 This command line option is accepted only for backwards
  84 compatibility.  It no longer does anything.  See the configuration for
  85 the \fIdetail\fP module in \fIradiusd.conf\fP.
  86
  87 .IP \-S
  88 Write the stripped usernames (without prefix or suffix) in the \fBdetail\fP
  89 file instead of the raw record as received from the terminal server.
  90
  91 This command line option is deprecated.  See the \fIlog_stripped_names\fP
  92 configuration item in the \fIradiusd.conf\fP file.
  93
  94 .IP "\-a \fIaccounting directory\fP"
  95 This defaults to \fI/var/log/radacct\fP. If that directory exists,
  96 \fBradiusd\fP will write an ascii accounting record into a detail file for
  97 every login/logout recorded. The location of the detail file is
  98 \fIacct_dir/\fP\fBterminal_server\fP\fI/detail\fP.
  99
 100 This command line option is deprecated.  See the \fIradacctdir\fP
 101 configuration item in the \fIradiusd.conf\fP file.
 102
 103 .IP "\-l \fIlogging directory\fP"
 104 This defaults to \fI/var/log\fP. \fBRadiusd\fP writes a logfile here
 105 called \fIradius.log\fP. It contains informational and error messages,
 106 and optionally a record of every login attempt (for aiding an ISP's
 107 helpdesk). The special arguments \fIstdout\fP and \fIstderr\fP cause
 108 the information to get written to the standard output, or standard
 109 error instead. The special argument \fIsyslog\fP sends the information
 110 with \fBsyslog\fP(3).
 111
 112 This command line option is deprecated.  See the \fIlog_dir\fP
 113 configuration item in the \fIradiusd.conf\fP file.
 114
 115 .IP "\-g \fIfacility\fP"
 116 Specifies the syslog facility to be used with \fB-l syslog\fP. Default is
 117 \fIdaemon\fP. Another reasonable choice would be \fIauthpriv\fP.
 118
 119 .IP "\-d \fIconfig directory\fP"
 120 Defaults to \fI/etc/raddb\fP. \fBRadiusd\fP looks here for its configuration
 121 files such as the \fIdictionary\fP and the \fIusers\fP files.
 122
 123 .IP "\-i \fIip-address\fP"
 124 Defines which IP address that the server uses for sending and
 125 receiving packets.
 126
 127 If this command-line option is given, then the "bind_address" and all
 128 "listen{}" entries in \fIradiusd.conf\fP are ignored.
 129
 130 .IP \-f
 131 Do not fork, stay running as a foreground process.
 132
 133 .IP "\-p \fIport\fP"
 134 Normally radiusd listens on the ports specified in \fI/etc/services\fP
 135 (radius and radacct). When this option is given, radiusd listens on
 136 the specified port for authentication requests and on the specified
 137 port +1 for accounting requests.
 138
 139 If this command-line option is given, then the "port" directive in
 140 \fIradiusd.conf\fP is ignored.
 141
 142 .IP \-s
 143 Run in "single server" mode.  The server normally runs with multiple
 144 threads and/or processes, which can lower its response time to
 145 requests.  Some systems have issues with threading, however, so
 146 running in "single server" mode may help to address those issues.  In
 147 single server mode, the server will also not "daemonize"
 148 (auto-background) itself.
 149
 150 .IP \-v
 151 Print server version information and exit.
 152
 153 .IP \-X
 154 Debugging mode.  Equivalent to -sfxx.
 155
 156 .IP \-x
 157 Finer-grained debug mode. In this mode the server will print details
 158 of every request on it's \fBstdout\fP output. You can specify this
 159 option multiple times (-x -x or -xx) to get more detailed output.
 160
 161 .IP \-y
 162 Write details about every authentication request in the
 163 \fIradius.log\fP file.
 164
 165 This command line option is deprecated.  See the \fIlog_auth\fP
 166 configuration item in the \fIradiusd.conf\fP file.
 167
 168 .IP \-z
 169 Include the password in the \fIradius.log\fP file \fBeven\fP for successful
 170 logins. \fIThis is very insecure!\fP.
 171
 172 This command line option is deprecated.  See the
 173 \fIlog_auth_badpass\fP and the \fIlog_auth_goodpass\fP configuration
 174 items in the \fIradiusd.conf\fP file.
 175
 176 .SH CONFIGURATION
 177 \fBRadiusd\fP uses a number of configuration files. Each file has it's
 178 own manpage describing the format of the file. These files are:
 179 .IP radiusd.conf
 180 The main configuration file, which sets the administrator-controlled
 181 items.
 182 .IP dictionary
 183 This file is usually static. It defines all the possible RADIUS attributes
 184 used in the other configuration files.  You don't have to modify it.
 185 It includes other dictionary files in the same directory.
 186 .IP clients
 187 [ Deprecated ] Contains the IP address and a secret key for every
 188 client that wants to connect to the server.
 189 .IP naslist
 190 Contains an entry for every NAS (Network Access Server) in the network. This
 191 is not the same as a client, especially if you have \fBradius\fP proxy server
 192 in your network. In that case, the proxy server is the client and it sends
 193 requests for different NASes.
 194 .IP
 195 It also contains a abbreviated name for each
 196 terminal server, used to create the directory name where the \fBdetail\fP
 197 file is written, and used for the \fB/var/log/radwtmp\fP file. Finally
 198 it also defines what type of NAS (Cisco, Livingston, Portslave) the NAS is.
 199 .IP hints
 200 Defines certain hints to the radius server based on the users's loginname
 201 or other attributes sent by the access server. It also provides for
 202 mapping user names (such as Pusername -> username). This provides the
 203 functionality that the \fILivingston 2.0\fP server has as "Prefix" and
 204 "Suffix" support in the \fIusers\fP file, but is more general. Ofcourse
 205 the Livingston way of doing things is also supported, and you can even use
 206 both at the same time (within certain limits).
 207 .IP huntgroups
 208 Defines the huntgroups that you have, and makes it possible to restrict
 209 access to certain huntgroups to certain (groups of) users.
 210 .IP users
 211 Here the users are defined. On a typical setup, this file mainly contains
 212 DEFAULT entries to process the different types of logins, based on hints
 213 from the hints file. Authentication is then based on the contents of
 214 the UNIX \fI/etc/passwd\fP file. However it is also possible to define all
 215 users, and their passwords, in this file.
 216 .SH SEE ALSO
 217 radiusd.conf(5), users(5), huntgroups(5), hints(5),
 218 clients(5), dictionary(5).
 219 .SH AUTHOR
 220 The FreeRADIUS Server Project (http://www.freeradius.org)
 221