man/man8/radiusd.8

   1 .TH RADIUSD 8 "27 Dec 2007" "" "FreeRADIUS Daemon"
   2 .SH NAME
   3 radiusd - Authentication, Authorization and Accounting server
   4 .SH SYNOPSIS
   5 .B radiusd
   6 .RB [ \-C ]
   7 .RB [ \-d
   8 .IR config_directory ]
   9 .RB [ \-f ]
  10 .RB [ \-i
  11 .IR ip-address ]
  12 .RB [ \-n
  13 .IR name ]
  14 .RB [ \-p
  15 .IR port ]
  16 .RB [ \-s ]
  17 .RB [ \-v ]
  18 .RB [ \-x ]
  19 .RB [ \-X ]
  20 .SH DESCRIPTION
  21 FreeRADIUS is a high-performance and highly configurable RADIUS
  22 server.  It supports many database back-ends such as flat-text files,
  23 SQL, LDAP, Perl, Python, etc.  It also supports many authentication
  24 protocols such as PAP, CHAP, MS-CHAP(v2), HTTP Digest, and EAP
  25 (EAP-MD5, EAP-TLS, PEAP, EAP-TTLS, EAP-SIM, etc.).
  26
  27 Version 2.0 has preliminary support for Cisco's VLAN Query Protocol,
  28 also known as VMPS.
  29 .SH OPTIONS
  30 The following command-line options are accepted by the server.
  31 .IP \-C
  32 Check the configuration and exit immediately.  If there is a problem
  33 reading the configuration, then the server will exit with a non-zero
  34 status code.  If the configuration appears to be acceptable, then the
  35 server will exit with a zero status code.
  36
  37 Note that there are many limitations to this check.  Due to the
  38 complexities involved in \fIalmost\fP starting a RADIUS server, these
  39 checks are necessarily incomplete.  The server can return a zero
  40 status code when run with -C, but may still exit with an error when
  41 run normally.
  42
  43 See the output of
  44 .B "radiusd -XC"
  45 for an informative list of which modules are checked for correct
  46 configuration, and which modules are skipped, and therefore not checked.
  47 .IP "\-d \fIconfig directory\fP"
  48 Defaults to \fI/etc/raddb\fP. \fBRadiusd\fP looks here for its configuration
  49 files such as the \fIdictionary\fP and the \fIusers\fP files.
  50 .IP "\-i \fIip-address\fP"
  51 Defines which IP address that the server uses for sending and
  52 receiving packets.
  53
  54 If this command-line option is given, then the "bind_address" and all
  55 "listen{}" entries in \fIradiusd.conf\fP are ignored.
  56
  57 This option MUST be used in conjunction with "-p".
  58 .IP \-f
  59 Do not fork, stay running as a foreground process.
  60 .IP "\-n
  61 Read \fIraddb/name.conf\fP instead of \fIraddb/radiusd.conf\fP.
  62 .IP "\-p \fIport\fP"
  63 Normally radiusd listens on the ports specified in \fI/etc/services\fP
  64 (radius and radacct). When this option is given, radiusd listens on
  65 the specified port for authentication requests and on the specified
  66 port +1 for accounting requests.
  67
  68 If this command-line option is given, then the "port" directive in
  69 \fIradiusd.conf\fP is ignored.
  70
  71 This option MUST be used in conjunction with "-i".
  72 .IP \-s
  73 Run in "single server" mode.  The server normally runs with multiple
  74 threads and/or processes, which can lower its response time to
  75 requests.  Some systems have issues with threading, however, so
  76 running in "single server" mode may help to address those issues.  In
  77 single server mode, the server will also not "daemonize"
  78 (auto-background) itself.
  79 .IP \-v
  80 Print server version information and exit.
  81 .IP \-X
  82 Debugging mode.  Equivalent to -sfxx -l stdout
  83 .IP \-x
  84 Finer-grained debug mode. In this mode the server will print details
  85 of every request on it's \fBstdout\fP output. You can specify this
  86 option multiple times (-x -x or -xx) to get more detailed output.
  87 .SH DEBUGGING
  88 The server can be difficult to configure correctly in systems with
  89 complex requirements.  We STRONGLY RECOMMEND proceeding via the
  90 following steps:
  91 .PP
  92 1) Always run the server in debugging mode (
  93 .B radiusd -X
  94 ).  We cannot emphasize this enough.  If you are not running the
  95 server in debugging mode, you \fIwill not\fP be able to see what is
  96 doing, and you \fIwill not\fP be able to correct any problems.
  97 .PP
  98 2) When editing the \fIradiusd.conf\fP file, change as little as
  99 possible, especially in the \fIauthorize{}\fP section.  The ordering
 100 of the modules is critical for the server to be able to
 101 "automatically" figure out how to handle the request.  Changing the
 102 order of the modules ensures that the server will not work.
 103 .PP
 104 3) When testing, start off by configuring a user and password in the
 105 \fIusers\fP file.  So long as the server knows about a user, and has a
 106 clear-text password for that user, \fBalmost all of the authentication
 107 methods will "just work"\fP.
 108 .PP
 109 4) Gradually add more complex configurations to the server, while
 110 testing them as you go.  If you start off by configuring the server in
 111 a complex configuration, you will never be able to debug it.
 112 .PP
 113 5) Ask questions on the mailing list
 114 (freeradius-users@lists.freeradius.org).  When asking questions,
 115 include the output from debugging mode (
 116 .B radiusd -X
 117 ).  This information will allow people to help you.  Without it, your
 118 message will get ignored.
 119 .SH BACKGROUND
 120 \fBRADIUS\fP is a protocol spoken between an access server, typically
 121 a device connected to several modems or ISDN lines, and a \fBradius\fP
 122 server. When a user connects to the access server, (s)he is asked for
 123 a loginname and a password. This information is then sent to the \fBradius\fP
 124 server. The server replies with "access denied", or "access OK". In the
 125 latter case login information is sent along, such as the IP address in
 126 the case of a PPP connection.
 127 .PP
 128 The access server also sends login and logout records to the \fBradius\fP
 129 server so accounting can be done. These records are kept for each terminal
 130 server seperately in a file called \fBdetail\fP, and in the \fIwtmp\fP
 131 compatible logfile \fB/var/log/radwtmp\fP.
 132 .SH CONFIGURATION
 133 \fBRadiusd\fP uses a number of configuration files. Each file has it's
 134 own manpage describing the format of the file. These files are:
 135 .IP radiusd.conf
 136 The main configuration file, which sets the administrator-controlled
 137 items.
 138 .IP dictionary
 139 This file is usually static. It defines all the possible RADIUS attributes
 140 used in the other configuration files.  You don't have to modify it.
 141 It includes other dictionary files in the same directory.
 142 .IP hints
 143 Defines certain hints to the radius server based on the users's loginname
 144 or other attributes sent by the access server. It also provides for
 145 mapping user names (such as Pusername -> username). This provides the
 146 functionality that the \fILivingston 2.0\fP server has as "Prefix" and
 147 "Suffix" support in the \fIusers\fP file, but is more general. Ofcourse
 148 the Livingston way of doing things is also supported, and you can even use
 149 both at the same time (within certain limits).
 150 .IP huntgroups
 151 Defines the huntgroups that you have, and makes it possible to restrict
 152 access to certain huntgroups to certain (groups of) users.
 153 .IP users
 154 Here the users are defined. On a typical setup, this file mainly contains
 155 DEFAULT entries to process the different types of logins, based on hints
 156 from the hints file. Authentication is then based on the contents of
 157 the UNIX \fI/etc/passwd\fP file. However it is also possible to define all
 158 users, and their passwords, in this file.
 159 .SH SEE ALSO
 160 radiusd.conf(5), users(5), huntgroups(5), hints(5),
 161 dictionary(5).
 162 .SH AUTHOR
 163 The FreeRADIUS Server Project (http://www.freeradius.org)
 164