man/man8/radiusd.8

   1 .TH RADIUSD 8 "21 March 1999" "" "FreeRADIUS Daemon"
   2 .SH NAME
   3 radiusd -- Authentication, Authorization and Accounting server
   4 .SH SYNOPSIS
   5 .B radiusd
   6 .RB [ \-A ]
   7 .RB [ \-S ]
   8 .RB [ \-a
   9 .IR accounting_directory ]
  10 .RB [ \-b ]
  11 .RB [ \-c ]
  12 .RB [ \-d
  13 .IR config_directory ]
  14 .RB [ \-f ]
  15 .RB [ \-i
  16 .IR ip-address ]
  17 .RB [ \-l
  18 .IR log_directory ]
  19 .RB [ \-g
  20 .IR facility ]
  21 .RB [ \-p
  22 .IR port ]
  23 .RB [ \-s ]
  24 .RB [ \-v ]
  25 .RB [ \-x ]
  26 .RB [ \-y ]
  27 .RB [ \-z ]
  28 .SH DESCRIPTION
  29 This is the FreeRADIUS implementation of the well known
  30 .B radius
  31 server program. It is based on \fILivingston's\fP radius version 1.16.
  32 Even though this program is largely compatible with \fILivingston's\fP
  33 radius version 2.0, it's \fBnot\fP based on any part of that code.
  34 .PP
  35 \fBRADIUS\fP is a protocol spoken between an access server, typically
  36 a device connected to several modems or ISDN lines, and a \fBradius\fP
  37 server. When a user connects to the access server, (s)he is asked for
  38 a loginname and a password. This information is then sent to the \fBradius\fP
  39 server. The server replies with "access denied", or "access OK". In the
  40 latter case login information is sent along, such as the IP address in
  41 the case of a PPP connection.
  42 .PP
  43 The access server also sends login and logout records to the \fBradius\fP
  44 server so accounting can be done. These records are kept for each terminal
  45 server seperately in a file called \fBdetail\fP, and in the \fIwtmp\fP
  46 compatible logfile \fB/var/log/radwtmp\fP.
  47 .SH OPTIONS
  48
  49 .IP \-A
  50 Write a file \fIdetail.auth\fP in addition to the standard \fBdetail\fP file
  51 in the same directory. This file will contain all the authentication-request
  52 records. This can be useful for debugging, but not for normal operation.
  53
  54 .IP \-S
  55 Write the stripped usernames (without prefix or suffix) in the \fBdetail\fP
  56 file instead of the raw record as received from the terminal server.
  57
  58 .IP "\-a \fIaccounting directory\fP"
  59 This defaults to \fI/var/log/radacct\fP. If that directory exists,
  60 \fBradiusd\fP will write an ascii accounting record into a detail file for
  61 every login/logout recorded. The location of the detail file is
  62 \fIacct_dir/\fP\fBterminal_server\fP\fI/detail\fP.
  63
  64 .IP "\-l \fIlogging directory\fP"
  65 This defaults to \fI/var/log\fP. \fBRadiusd\fP writes a logfile here
  66 called \fIradius.log\fP. It contains informational and error messages,
  67 and optionally a record of every login attempt (for aiding an ISP's
  68 helpdesk). The special arguments \fIstdout\fP and \fIstderr\fP cause
  69 the information to get written to the standard output, or standard
  70 error instead. The special argument \fIsyslog\fP sends the information
  71 with \fBsyslog\fP(3).
  72
  73 .IP "\-g \fIfacility\fP"
  74 Specifies the syslog facility to be used with \fB-l syslog\fP. Default is
  75 \fIdaemon\fP. Another reasonable choice would be \fIauthpriv\fP.
  76
  77 .IP "\-d \fIconfig directory\fP"
  78 Defaults to \fI/etc/raddb\fP. \fBRadiusd\fP looks here for its configuration
  79 files such as the \fIdictionary\fP and the \fIusers\fP files.
  80
  81 .IP "\-i \fIip-address\fP"
  82 Defines which IP addres to bind to for sending and receiving packets-
  83 useful for multi-homed hosts.
  84
  85 .IP \-b
  86 If the \fBradius\fP server binary was compiled with \fIdbm\fP support,
  87 this flag tells it to actually \fIuse\fP the database files instead of the
  88 flat \fIusers\fP file.
  89
  90 .IP \-c
  91 This is still an \fIexperimental\fP feature.
  92 Cache the password, group and shadow files in a hash-table in memory.
  93 This makes the radius process use a bit more memory, but username
  94 lookups in the password file are \fImuch\fP faster.
  95 .IP
  96 After every change in the real password file (user added, password changed)
  97 you need to send a \fBSIGHUP\fP to the radius server to let it re-read
  98 its configuration and the password/group/shadow files !
  99
 100 .IP \-f
 101 Do not fork, stay running as a foreground process.
 102
 103 .IP "\-p \fIport\fP"
 104 Normally radiusd listens on the ports specified in \fI/etc/services\fP
 105 (radius and radacct). With this option radiusd listens on the specified
 106 port for authentication requests and on the specified port +1 for
 107 accounting requests.
 108
 109 .IP \-s
 110 Normally, the server forks a seperate process for accounting, and a seperate
 111 process for every authentication request. With this flag the server will not
 112 do that. It won't even "daemonize" (auto-background) itself.
 113
 114 .IP \-x
 115 Debug mode. In this mode the server will print details of every request
 116 on it's \fBstderr\fP output. Most useful in combination with \fB-s\fP.
 117 You can specify this option 2 times (-x -x or -xx) to get a bit more
 118 debugging output.
 119
 120 .IP \-y
 121 Write details about every authentication request in the
 122 \fIradius.log\fP file.
 123
 124 .IP \-z
 125 Include the password in the \fIradius.log\fP file \fBeven\fP for successful
 126 logins. \fIThis is very insecure!\fP.
 127
 128 .SH CONFIGURATION
 129 \fBRadiusd\fP uses 6 configuration files. Each file has it's own manpage
 130 describing the format of the file. These files are:
 131 .IP dictionary
 132 This file is usually static. It defines all the possible RADIUS attributes
 133 used in the other configuration files. You don't have to modify it.
 134 .IP clients
 135 Contains the IP address and a secret key for every client that wants
 136 to connect to the server.
 137 .IP naslist
 138 Contains an entry for every NAS (Network Access Server) in the network. This
 139 is not the same as a client, especially if you have \fBradius\fP proxy server
 140 in your network. In that case, the proxy server is the client and it sends
 141 requests for different NASes.
 142 .IP
 143 It also contains a abbreviated name for each
 144 terminal server, used to create the directory name where the \fBdetail\fP
 145 file is written, and used for the \fB/var/log/radwtmp\fP file. Finally
 146 it also defines what type of NAS (Cisco, Livingston, Portslave) the NAS is.
 147 .IP hints
 148 Defines certain hints to the radius server based on the users's loginname
 149 or other attributes sent by the access server. It also provides for
 150 mapping user names (such as Pusername -> username). This provides the
 151 functionality that the \fILivingston 2.0\fP server has as "Prefix" and
 152 "Suffix" support in the \fIusers\fP file, but is more general. Ofcourse
 153 the Livingston way of doing things is also supported, and you can even use
 154 both at the same time (within certain limits).
 155 .IP huntgroups
 156 Defines the huntgroups that you have, and makes it possible to restrict
 157 access to certain huntgroups to certain (groups of) users.
 158 .IP users
 159 Here the users are defined. On a typical setup, this file mainly contains
 160 DEFAULT entries to process the different types of logins, based on hints
 161 from the hints file. Authentication is then based on the contents of
 162 the UNIX \fI/etc/passwd\fP file. However it is also possible to define all
 163 users, and their passwords, in this file.
 164 .SH SEE ALSO
 165 radiusd.conf(5), users(5), huntgroups(5), hints(5),
 166 clients(5), dictionary(5).
 167 .SH AUTHOR
 168 Miquel van Smoorenburg, miquels@cistron.nl.