raddb/clients.conf

   1 # -*- text -*-
   2 ##
   3 ## clients.conf -- client configuration directives
   4 ##
   5 ##      $Id$
   6
   7 #######################################################################
   8 #
   9 #  Definition of a RADIUS client (usually a NAS).
  10 #
  11 #  The information given here over rides anything given in the
  12 #  'clients' file, or in the 'naslist' file.  The configuration here
  13 #  contains all of the information from those two files, and allows
  14 #  for more configuration items.
  15 #
  16 #  The "shortname" is be used for logging.  The "nastype", "login" and
  17 #  "password" fields are mainly used for checkrad and are optional.
  18 #
  19
  20 #
  21 #  Defines a RADIUS client.
  22 #
  23 #  '127.0.0.1' is another name for 'localhost'.  It is enabled by default,
  24 #  to allow testing of the server after an initial installation.  If you
  25 #  are not going to be permitting RADIUS queries from localhost, we suggest
  26 #  that you delete, or comment out, this entry.
  27 #
  28 #
  29
  30 #
  31 #  Each client has a "short name" that is used to distinguish it from
  32 #  other clients.
  33 #
  34 #  In version 1.x, this field was the IP address of the client.
  35 #  In 2.0, the IP address is configured via the "ipaddr" or "ipv6addr"
  36 #  fields.  For compatibility, the 1.x format is still accepted.
  37 #
  38 client localhost {
  39         #  Allowed values are:
  40         #       dotted quad (1.2.3.4)
  41         #       hostname    (radius.example.com)
  42         ipaddr = 127.0.0.1
  43
  44         #  OR, you can use an IPv6 address, but not both
  45         #  at the same time.
  46 #       ipv6addr = ::   # any.  ::1 == localhost
  47
  48         #
  49         #  A note on DNS:  We STRONGLY recommend using IP addresses
  50         #  rather than host names.  Using host names means that the
  51         #  server will do DNS lookups when it starts, making it
  52         #  dependent on DNS.  i.e. If anything goes wrong with DNS,
  53         #  the server won't start!
  54         #
  55         #  The server also looks up the IP address from DNS once, and
  56         #  only once, when it starts.  If the DNS record is later
  57         #  updated, the server WILL NOT see that update.
  58         #
  59
  60         #  One client definition can be applied to an entire network.
  61         #  e.g. 127/8 should be defined with "ipaddr = 127.0.0.0" and
  62         #  "netmask = 8"
  63         #
  64         #  If not specified, the default netmask is 32 (i.e. /32)
  65         #
  66         #  We do NOT recommend using anything other than 32.  There
  67         #  are usually other, better ways to acheive the same goal.
  68         #  Using netmasks of other than 32 can cause security issues.
  69         #
  70         #  You can specify overlapping networks (127/8 and 127.0/16)
  71         #  In that case, the smallest possible network will be used
  72         #  as the "best match" for the client.
  73         #
  74 #       netmask = 32
  75
  76         #
  77         #  The shared secret use to "encrypt" and "sign" packets between
  78         #  the NAS and FreeRADIUS.  You MUST change this secret from the
  79         #  default, otherwise it's not a secret any more!
  80         #
  81         #  The secret can be any string, up to 8k characters in length.
  82         #
  83         #  Control codes can be entered vi octal encoding,
  84         #       e.g. "\101\102" == "AB"
  85         #  Quotation marks can be entered by escaping them,
  86         #       e.g. "foo\"bar"
  87         #
  88         #  A note on security:  The security of the RADIUS protocol
  89         #  depends COMPLETELY on this secret!  We recommend using a
  90         #  shared secret that is composed of:
  91         #
  92         #       upper case letters
  93         #       lower case letters
  94         #       numbers
  95         #
  96         #  And is at LEAST 8 characters long, preferably 16 characters in
  97         #  length.  The secret MUST be random, and should not be words,
  98         #  phrase, or anything else that is recognizable.
  99         #
 100         #  The default secret below is only for testing, and should
 101         #  not be used in any real environment.
 102         #
 103         secret          = testing123
 104
 105         #
 106         #  The short name is used as an alias for the fully qualified
 107         #  domain name, or the IP address.
 108         #
 109         #  It is accepted for compatibility with 1.x, but it is no
 110         #  longer necessary in 2.0
 111         #
 112 #       shortname       = localhost
 113
 114         #
 115         # the following three fields are optional, but may be used by
 116         # checkrad.pl for simultaneous use checks
 117         #
 118
 119         #
 120         # The nastype tells 'checkrad.pl' which NAS-specific method to
 121         #  use to query the NAS for simultaneous use.
 122         #
 123         #  Permitted NAS types are:
 124         #
 125         #       cisco
 126         #       computone
 127         #       livingston
 128         #       max40xx
 129         #       multitech
 130         #       netserver
 131         #       pathras
 132         #       patton
 133         #       portslave
 134         #       tc
 135         #       usrhiper
 136         #       other           # for all other types
 137
 138         #
 139         nastype     = other     # localhost isn't usually a NAS...
 140
 141         #
 142         #  The following two configurations are for future use.
 143         #  The 'naspasswd' file is currently used to store the NAS
 144         #  login name and password, which is used by checkrad.pl
 145         #  when querying the NAS for simultaneous use.
 146         #
 147 #       login       = !root
 148 #       password    = someadminpas
 149
 150         #
 151         #  As of 2.0, clients can also be tied to a virtual server.
 152         #  This is done by setting the "server" configuration item,
 153         #  as in the example below.
 154         #
 155 #       server = home1
 156 }
 157
 158 # IPv6 Client
 159 #client ::1 {
 160 #       secret          = testing123
 161 #       shortname       = localhost
 162 #}
 163 #
 164 # All IPv6 Site-local clients
 165 #client fe80::/16 {
 166 #       secret          = testing123
 167 #       shortname       = localhost
 168 #}
 169
 170 #client some.host.org {
 171 #       secret          = testing123
 172 #       shortname       = localhost
 173 #}
 174
 175 #
 176 #  You can now specify one secret for a network of clients.
 177 #  When a client request comes in, the BEST match is chosen.
 178 #  i.e. The entry from the smallest possible network.
 179 #
 180 #client 192.168.0.0/24 {
 181 #       secret          = testing123-1
 182 #       shortname       = private-network-1
 183 #}
 184 #
 185 #client 192.168.0.0/16 {
 186 #       secret          = testing123-2
 187 #       shortname       = private-network-2
 188 #}
 189
 190
 191 #client 10.10.10.10 {
 192 #       # secret and password are mapped through the "secrets" file.
 193 #       secret      = testing123
 194 #       shortname   = liv1
 195 #       # the following three fields are optional, but may be used by
 196 #       # checkrad.pl for simultaneous usage checks
 197 #       nastype     = livingston
 198 #       login       = !root
 199 #       password    = someadminpas
 200 #}
 201
 202 #######################################################################
 203 #
 204 #  Per-socket client lists.  The configuration entries are exactly
 205 #  the same as above, but they are nested inside of a section.
 206 #
 207 #  You can have as many per-socket client lists as you have "listen"
 208 #  sections, or you can re-use a list among multiple "listen" sections.
 209 #
 210 #  Un-comment this section, and edit a "listen" section to add:
 211 #  "clients = per_socket_clients".  That IP address/port combination
 212 #  will then accept ONLY the clients listed in this section.
 213 #
 214 #per_socket_clients {
 215 #       client 192.168.3.4 {
 216 #               secret = testing123
 217 #        }
 218 #}