raddb/radiusd.conf.in

   1 ##
   2 ## radiusd.conf -- FreeRADIUS server configuration file.
   3 ##
   4 ##      http://www.freeradius.org/
   5 ##
   6
   7 #
   8 #       The location of other config files and
   9 #       logfiles are declared in this file
  10 #
  11 #       Also general configuration for modules can be done
  12 #       in this file, it is exported through the API to
  13 #       modules that ask for it.
  14 #
  15
  16 # Stuff from autoconf
  17 prefix = @prefix@
  18 exec_prefix = @exec_prefix@
  19 sysconfdir = @sysconfdir@
  20 localstatedir = @localstatedir@
  21 sbindir = @sbindir@
  22 logdir = @logdir@
  23 libdir = @libdir@
  24 raddbdir = @raddbdir@
  25 radacctdir = @radacctdir@
  26
  27 #
  28 #  Location of config and logfiles.
  29 #
  30 confdir    = ${raddbdir}
  31
  32 run_dir    = ${localstatedir}/run
  33
  34 #
  35 #  pidfile: Where to place the PID of the RADIUS server.
  36 #
  37 #  The server may be signalled while it's running by using this
  38 #  file.
  39 #
  40 #  e.g.:  kill -HUP `cat /var/run/radiusd.pid`
  41 #
  42 pidfile    = ${run_dir}/radiusd.pid
  43
  44 #
  45 #  max_request_time: The maximum time (in seconds) to handle a request.
  46 #
  47 #  Requests which take more time to process than this are killed, and
  48 #  a REJECT message is returned.
  49 #
  50 max_request_time        = 30
  51
  52 #
  53 #  cleanup_delay: The time to wait (in seconds) before cleaning up
  54 #  a reply which was already sent to the NAS.  If it is set too low,
  55 #  then duplicate requests from the NAS MAY NOT be detected,
  56 #  and will instead be handled as seperate requests.
  57 #
  58 cleanup_delay           = 5
  59
  60 #
  61 #  max_requests: The maximum number of requests which the server keeps
  62 #  track of.  This should be 256 multiplied by the number of clients.
  63 #  e.g. With 4 clients, this number should be 1024.
  64 #
  65 #  If this number is too low, then when the server becomes busy,
  66 #  it will not respond to any new requests, until the 'cleanup_delay'
  67 #  time has passed, and it has removed the old requests.
  68 #
  69 #  If this number is set too high, then the server will use a bit more
  70 #  memory for no real benefit.
  71 #
  72 #  If you aren't sure what it should be set to, it's better to set it
  73 #  too high than too low.  Setting it to 1000 per client is probably
  74 #  the highest it should be.
  75 #
  76 max_requests            = 1024
  77
  78 #
  79 #  bind_address:  Make the server listen on a particular IP address, and
  80 #  send replies out from that address.  This directive is most useful
  81 #  for machines with multiple IP addresses on one interface.
  82 #
  83 #  It can either contain "*", or an IP address, or a fully qualified
  84 #  Internet domain name.  The default is "*"
  85 #
  86 bind_address            = *
  87
  88 #
  89 #  port: Allows you to bind FreeRADIUS to a specific port.
  90 #
  91 #  The default port that most NAS boxes use is 1645, which is historical.
  92 #  RFC 2138 defines 1812 to be the new port.  Many new servers and
  93 #  NAS boxes use 1812, which can create interoperability problems.
  94 #
  95 #  The port is defined here to be 0 so that the server will pick up
  96 #  the machine's local configuration for the radius port, as defined
  97 #  in /etc/services.
  98 #
  99 #  If you want to use the default RADIUS port as defined on your server,
 100 #  (usually through 'grep radius /etc/services') set this to 0 (zero).
 101 #
 102 #  A port given on the command-line via '-p' over-rides this one.
 103 #
 104 port = 0
 105
 106 #
 107 #  Which program to execute check doing concurrency checks.
 108 #
 109 checkrad   = ${sbindir}/checkrad
 110
 111 #
 112 #  hostname_lookups: Log the names of clients or just their IP addresses
 113 #  e.g., www.freeradius.org (on) or 204.62.129.132 (off).
 114 #  The default is off because it'd be overall better for the net if people
 115 #  had to knowingly turn this feature on, since enabling it means that
 116 #  each client request will result in AT LEAST one lookup request to the
 117 #  nameserver.
 118 #
 119 #  Turning hostname lookups off also means that the server won't block
 120 #  for 30 seconds, if it sees an IP address which has no name associated
 121 #  with it.
 122 #
 123 # allowed values: {no, yes}
 124 #
 125 hostname_lookups        = no
 126
 127 #
 128 #  Core dumps are a bad thing.  This should only be set to 'yes'
 129 #  if you're debugging a problem with the server.
 130 #
 131 # allowed values: {no, yes}
 132 #
 133 allow_core_dumps        = no
 134
 135 #
 136 #  Log the full User-Name attribute, as it was found in the request.
 137 #
 138 # allowed values: {no, yes}
 139 #
 140 log_stripped_names      = no
 141
 142 #
 143 #  Log authentication requests to the log file.
 144 #
 145 # allowed values: {no, yes}
 146 #
 147 log_auth        = no
 148
 149 #
 150 #  Log passwords with the authentication requests.
 151 #
 152 # allowed values: {no, yes}
 153 #
 154 log_auth_pass   = no
 155
 156 #
 157 #  proxy_requests: Turns proxying of RADIUS requests on or off.
 158 #
 159 #  The server has proxying turned on by default.  If your system is NOT
 160 #  set up to proxy requests to another server, then you can turn proxying
 161 #  off here.  This will save a small amount of resources on the server.
 162 #
 163 #  If you have proxying turned off, and your configuration files say
 164 #  to proxy a request, then an error message will be logged.
 165 #
 166 # allowed values: {no, yes}
 167 #
 168 proxy_requests  = yes
 169
 170 #######################################################################
 171 #
 172 #  SNMP configuration
 173 #
 174 #  NOTE: This part is only working if your radiusd is compiled with SNMP
 175 #  support.
 176 #
 177 #  smux_password: Password used for SMUX registration.
 178 #
 179 #  Specifies password used when connecting to the SNMP master agent.
 180 #  This must match the password as configured on the agent. The OID
 181 #  used to register the radius subagent is 1.3.6.1.4.1.3317.1.3.1.
 182 #  A sample entry for the ucd-snmp deamon looks like this:
 183 #
 184 #  smuxpeer .1.3.6.1.4.1.3317.1.3.1 verysecret
 185 #
 186 #  A sample entry for AIX 4.3 is:
 187 #
 188 #  smux 1.3.6.1.4.1.3317.1.3.1 verysecret
 189 #
 190 #  The default password is an empty password.
 191 #
 192 #smux_password = verysecret
 193 #
 194 #  snmp_write_access:
 195 #
 196 #  Controls if write access to the radiusd via SNMP is enabled or not.
 197 #  Set this value to yes, if you want to be able to reload radiusd from
 198 #  your network management station.
 199 #
 200 #  For this to work, you also have to make sure that your master agent
 201 #  is configured to allow SNMP set requests. For security reasons, this
 202 #  setting defaults to no.
 203 #
 204 # allowed values: {no, yes}
 205 #
 206 #snmp_write_access = yes
 207
 208 #######################################################################
 209 #
 210 #  Proxy server configuration
 211 #
 212 #  This entry controls the servers behaviour towards ALL other servers
 213 #  to which it sends proxy requests.
 214 #
 215 proxy server {
 216
 217 #
 218 #  If the NAS re-sends the request to us, we can immediately re-send
 219 #  the proxy request to the end server.  To do so, use 'yes' here.
 220 #
 221 #  If this is set to 'no', then we send the retries on our own schedule,
 222 #  and ignore any duplicate NAS requests.
 223 #
 224 #  If you want to have the server send proxy retries ONLY when the NAS
 225 #  sends it's retries to the server, then set this to 'yes', and
 226 #  set the other proxy configuration parameters to 0 (zero).
 227 #
 228         synchronous = yes
 229
 230 #
 231 #  The time (in seconds) to wait for a response from the proxy, before
 232 #  re-sending the proxied request.
 233 #
 234 #  If this time is set too high, then the NAS may re-send the request,
 235 #  or it may give up entirely, and reject the user.
 236 #
 237 #  If it is set too low, then the RADIUS server which receives the proxy
 238 #  request will get kicked unnecessarily.
 239 #
 240         retry_delay = 5
 241
 242 #
 243 #  The number of retries to send before giving up, and sending a reject
 244 #  message to the NAS.
 245 #
 246         retry_count = 3
 247 }
 248
 249 #######################################################################
 250 #
 251 #  Thread pool configuration.
 252 #
 253 #  The thread pool is a long-lived group of threads which
 254 #  take turns (round-robin) handling any incoming requests.
 255 #
 256 #
 257 #  You probably also want to have a few spare threads around,
 258 #  so that high-load situations can be handled immediately.  If you
 259 #  don't have any spare threads, then the request handling will
 260 #  be delayed while a new thread is created, and added to the pool.
 261 #
 262 #  You probably don't want too many spare threads around,
 263 #  otherwise they'll be sitting there taking up resources, and
 264 #  not doing anything productive.
 265 #
 266 #  The numbers given below should be adequate for most situations.
 267 #
 268 #
 269 thread pool {
 270 #
 271 #  Number of servers to start initially --- should be a reasonable ballpark
 272 #  figure.
 273 #
 274         start_servers     = 5
 275
 276 #
 277 #  Limit on the total number of servers running.
 278 #
 279 #  If this limit is ever reached, clients will be LOCKED OUT, so it
 280 #  should NOT BE SET TOO LOW.  It is intended mainly as a brake to
 281 #  keep a runaway server from taking the system with it as it spirals
 282 #  down...
 283 #
 284         max_servers       = 32
 285
 286 #
 287 #  Server-pool size regulation.  Rather than making you guess how many
 288 #  servers you need, FreeRADIUS dynamically adapts to the load it
 289 #  sees --- that is, it tries to maintain enough servers to
 290 #  handle the current load, plus a few spare servers to handle transient
 291 #  load spikes.
 292 #
 293 #  It does this by periodically checking how many servers are waiting
 294 #  for a request.  If there are fewer than min_spare_servers, it creates
 295 #  a new spare.  If there are more than max_spare_servers, some of the
 296 #  spares die off.  The default values are probably OK for most sites.
 297 #
 298         min_spare_servers = 3
 299         max_spare_servers = 10
 300
 301 #
 302 #  There may be memory leaks or resource allocation problems with
 303 #  the server.  If so, set this value to 300 or so, so that the
 304 #  resources will be cleaned up periodically.
 305 #
 306 #  This should only be necessary if there are serious bugs in the
 307 #  server which have not yet been fixed.
 308 #
 309 #  '0' is a special value meaning 'infinity', or 'the servers never exit'
 310 #
 311         max_requests_per_server = 0
 312 }
 313
 314 #######################################################################
 315 #
 316 #  Definition of a NAS or a client.
 317 #
 318 #  The information given here is in ADDITION to the 'clients' file.
 319 #
 320 #  If this is defined as "client foo" then the hostname/ipaddr "foo"
 321 #  will be looked up according to the source IP address of the radius
 322 #  rqeuest packet, and the secret here will be used to check the
 323 #  integrety of the request.
 324 #
 325 #  If this is defined as "nas foo" then foo will be looked up first
 326 #  as the NAS-IP-Address in the radius request, then as the NAS-Ident
 327 #  in the radius request.
 328 #
 329 #  Normally you'd use "client" unless the request came in through a
 330 #  proxy server and you want to define a short name for the NAS
 331 #  for logging purposes, or you want to do a "checkrad" back to the
 332 #  original NAS and not to the proxy radius server!
 333 #
 334 #  The "shortname" can be used for logging, and the "vendor",
 335 #  "type", "login" and "password" fields are mainly used for checkrad.
 336 #
 337
 338 client 127.0.0.1 {
 339         secret          = testing123
 340         shortname       = localhost
 341 }
 342
 343 #client some.host.org {
 344 #       secret          = testing123
 345 #       shortname       = localhost
 346 #}
 347
 348
 349 client 10.10.10.10 {
 350         # secret and password are mapped through the "secrets" file.
 351         secret      = testing123
 352         shortname   = liv1
 353         vendor      = livingston
 354         # Type should extend to the line type, because of the "hole".
 355         #Line#/T S Port  SNMP Port
 356         #-------------------------
 357         #1 PRI   0-22    1-23
 358         #2 PRI   24-46   25-47
 359         #1 CT1   0-23    1-24
 360         #2 CT1   24-47   25-48
 361         #1 E1    0-28    1-29
 362         #2 E1    30-58   31-59
 363         #And C0 is 96 in Radius.
 364         type        = pm3-eur # pm3-i23 pm3-ct24 pm3-i30
 365         login       = !root
 366         password    = someadminpas
 367 }
 368
 369 #######################################################################
 370 #
 371 #  Configuration for the proxy module.
 372 #
 373 #  The information given here is in ADDITION to the 'realms' file.
 374 #
 375 #realm isp2.com {
 376 #       type        = radius
 377 #       authhost    = radius.isp2.com:1645
 378 #       accthost    = radius.isp2.com:1646
 379 #       secret      = TheirKey
 380 #       nostrip
 381 #       utmpfile   += /var/log/radutmp.isp2
 382 #       wtmpfile   += /var/log/radwtmp.isp2
 383 #       detailfile += /var/log/radacct/isp2/detail
 384 #}
 385
 386 #realm company.com {
 387 #       type            = radius
 388 #       authhost        = radius.company.com:1600
 389 #       accthost        = radius.company.com:1601
 390 #       secret          = testing123
 391 #}
 392
 393 #realm bla.com {
 394 #       type            = radius
 395 #       authhost        = LOCAL
 396 #       accthost        = LOCAL
 397 #       secret          = testing123
 398 #}
 399
 400 #realm myfakerealm {
 401 #      type            = radius
 402 #      authhost        = radius.company.com:1600
 403 #      accthost        = radius.company.com:1601
 404 #      secret          = testing123
 405 #      notsuffix
 406 #}
 407
 408
 409 modules {
 410         pam {
 411                 # No config options for this yet
 412         }
 413         unix {
 414                 #
 415                 #  Cache /etc/passwd, /etc/shadow, and /etc/group
 416                 #
 417                 #  The default is to NOT cache them.  However, caching them can
 418                 #  speed up system authentications by a substantial amount.
 419                 #
 420                 # allowed values: {no, yes}
 421                 cache           = no
 422
 423                 #
 424                 #  Define the locations of the normal passwd, shadow, and
 425                 #  group files.
 426                 #
 427                 #  'shadow' is commented out by default, because not all
 428                 #  systems have shadow passwords.
 429                 #
 430                 passwd          = /etc/passwd
 431                 #       shadow          = /etc/shadow
 432                 group           = /etc/group
 433         }
 434
 435 # Uncomment this if you want to use ldap (Auth-Type = LDAP)
 436 # Also uncomment it in the authenticate{} block below
 437 #       ldap {
 438 #               server   = localhost
 439 #               login    = "cn=admin,o=My Org,c=US"
 440 #               password = mypass
 441 #               basedn   = "o=My Org,c=US"
 442 #               filter   = "(uid=%u)"
 443 #       }
 444
 445         realm {
 446                 # No config options for this yet
 447         }
 448         preprocess {
 449                 # No config options for this yet
 450         }
 451         files {
 452                 usersfile = ${confdir}/users
 453                 acctusersfile = ${confdir}/acct_users
 454                 detailperm = 0600
 455
 456                 #
 457                 #  If you want to use the old Cistron 'users' file
 458                 #  with FreeRADIUS, you should change the next line
 459                 #  to 'compat = cistron'.  You can the copy your 'users'
 460                 #  file from Cistron.
 461                 #
 462                 compat = no
 463         }
 464
 465         # This module will add a (probably) unique session id
 466         # to an accounting packet based on the attributes listed
 467         # below found in the packet.  see doc/README.rlm_acct_unique
 468         acct_unique {
 469                 key = "User-Name, Acct-Session-Id, NAS-IP-Address, NAS-Port-Id"
 470         }
 471
 472
 473 #
 474 #  Configuration for the SQL module.
 475 #
 476         sql {
 477
 478                 # Connect info
 479                 server          = "localhost"
 480                 login           = "root"
 481                 password        = "rootpass"
 482
 483                 # Database table configuration
 484                 radius_db       = "radius"
 485                 acct_table      = "radacct"
 486
 487                 authcheck_table = "radcheck"
 488                 authreply_table = "radreply"
 489
 490                 groupcheck_table = "radgroupcheck"
 491                 groupreply_table = "radgroupreply"
 492
 493                 usergroup_table = "usergroup"
 494
 495                 realms_table    = "realms"
 496                 realmgroup_table = "realmgroup"
 497
 498                 # Check case on usernames
 499                 sensitiveusername = no
 500
 501                 # Remove stale session if checkrad does not see a double login
 502                 deletestalesessions = yes
 503
 504                 # Print all SQL statements when in debug mode (-x)
 505                 sqltrace        = no
 506         }
 507
 508 #
 509 #  A second instance of the same module, with the name "sql2" to identify it
 510 #
 511         sql sql2 {
 512
 513                 # Connect info
 514                 server          = "myothersever"
 515                 login           = "root"
 516                 password        = "rootpass"
 517
 518                 # Database table configuration
 519                 radius_db       = "radius"
 520                 acct_table      = "radacct"
 521
 522                 authcheck_table = "radcheck"
 523                 authreply_table = "radreply"
 524
 525                 groupcheck_table = "radgroupcheck"
 526                 groupreply_table = "radgroupreply"
 527
 528                 usergroup_table = "usergroup"
 529
 530                 realms_table    = "realms"
 531                 realmgroup_table = "realmgroup"
 532
 533                 # Check case on usernames
 534                 sensitiveusername = no
 535
 536                 # Remove stale session if checkrad does not see a double login
 537                 deletestalesessions = yes
 538
 539                 # Print all SQL statements when in debug mode (-x)
 540                 sqltrace        = no
 541         }
 542
 543 #######################################################################
 544 #
 545 #       Configuration for the example module.  Uncommenting it will cause it
 546 #       to get loaded and initialized, but should have no real effect as long
 547 #       it is not referencened in one of the autz/auth/preacct/acct sections
 548 #
 549        example {
 550        #
 551        #  Boolean variable.
 552        #
 553        # allowed values: {no, yes}
 554        #
 555                boolean          = yes
 556
 557        #
 558        #  An integer, of any value.
 559        #
 560                integer          = 16
 561
 562        #
 563        #  A string.
 564        #
 565                string           = "This is an example configuration string"
 566
 567        #
 568        # An IP address, either in dotted quad (1.2.3.4) or hostname
 569        # (example.com)
 570        #
 571                ipaddr           = 127.0.0.1
 572
 573        #
 574        # A subsection
 575        #
 576                mysubsection {
 577                        anotherinteger = 1000
 578        #
 579        # They nest
 580        #
 581                        deeply nested {
 582                                string = "This is a different string"
 583                        }
 584                }
 585        }
 586 }
 587
 588 # Authentication types, Auth-Type = System and PAM for now.
 589 authenticate {
 590         pam
 591         unix
 592 # By grouping modules together in an authtype block, that authtype will be
 593 # tried on each module in sequence until one returns REJECT or OK. This
 594 # allows authentication failover if the first SQL server has crashed, for
 595 # example.
 596 #       authtype SQL {
 597 #               sql
 598 #               sql2
 599 #       }
 600 # Uncomment this if you want to use ldap (Auth-Type = LDAP)
 601 #       ldap
 602 }
 603
 604 # Authorization. First preprocess (hints and huntgroups files),
 605 # then realms, and finally look in the "users" file.
 606 # Make *sure* that 'preprocess' comes before 'realm' if you
 607 # need to setup hints for the remote radius server
 608 authorize {
 609         preprocess
 610         realm
 611         files
 612 }
 613
 614 # Pre-accounting. Look for proxy realm, first with the @suffix rule, then the
 615 # acct_users file, then preprocess (hints file).
 616 preacct {
 617         realm
 618         files
 619         preprocess
 620 }
 621
 622 # Accounting. Log to detail file, and to the radwtmp file.
 623 accounting {
 624         #acct_unique
 625         files
 626         unix
 627 }