raddb/sites-available/default

   1 ######################################################################
   2 #
   3 #       As of 2.0.0, FreeRADIUS supports virtual hosts using the
   4 #       "server" section, and configuration directives.
   5 #
   6 #       Virtual hosts should be put into the "sites-available"
   7 #       directory.  Soft links should be created in the "sites-enabled"
   8 #       directory to these files.  This is done in a normal installation.
   9 #
  10 #       $Id$
  11 #
  12 ######################################################################
  13 #
  14 #       Read "man radiusd" before editing this file.  See the section
  15 #       titled DEBUGGING.  It outlines a method where you can quickly
  16 #       obtain the configuration you want, without running into
  17 #       trouble.  See also "man unlang", which documents the format
  18 #       of this file.
  19 #
  20 #       This configuration is designed to work in the widest possible
  21 #       set of circumstances, with the widest possible number of
  22 #       authentication methods.  This means that in general, you should
  23 #       need to make very few changes to this file.
  24 #
  25 #       The best way to configure the server for your local system
  26 #       is to CAREFULLY edit this file.  Most attempts to make large
  27 #       edits to this file will BREAK THE SERVER.  Any edits should
  28 #       be small, and tested by running the server with "radiusd -X".
  29 #       Once the edits have been verified to work, save a copy of these
  30 #       configuration files somewhere.  (e.g. as a "tar" file).  Then,
  31 #       make more edits, and test, as above.
  32 #
  33 #       There are many "commented out" references to modules such
  34 #       as ldap, sql, etc.  These references serve as place-holders.
  35 #       If you need the functionality of that module, then configure
  36 #       it in radiusd.conf, and un-comment the references to it in
  37 #       this file.  In most cases, those small changes will result
  38 #       in the server being able to connect to the DB, and to
  39 #       authenticate users.
  40 #
  41 ######################################################################
  42
  43 #
  44 #       In 1.x, the "authorize", etc. sections were global in
  45 #       radiusd.conf.  As of 2.0, they SHOULD be in a server section.
  46 #
  47 #       The server section with no virtual server name is the "default"
  48 #       section.  It is used when no server name is specified.
  49 #
  50 #       We don't indent the rest of this file, because doing so
  51 #       would make it harder to read.
  52 #
  53
  54 #  Authorization. First preprocess (hints and huntgroups files),
  55 #  then realms, and finally look in the "users" file.
  56 #
  57 #  The order of the realm modules will determine the order that
  58 #  we try to find a matching realm.
  59 #
  60 #  Make *sure* that 'preprocess' comes before any realm if you
  61 #  need to setup hints for the remote radius server
  62 authorize {
  63         #
  64         #  The preprocess module takes care of sanitizing some bizarre
  65         #  attributes in the request, and turning them into attributes
  66         #  which are more standard.
  67         #
  68         #  It takes care of processing the 'raddb/hints' and the
  69         #  'raddb/huntgroups' files.
  70         preprocess
  71
  72         #
  73         #  If you want to have a log of authentication requests,
  74         #  un-comment the following line, and the 'detail auth_log'
  75         #  section, above.
  76 #       auth_log
  77
  78         #
  79         #  The chap module will set 'Auth-Type := CHAP' if we are
  80         #  handling a CHAP request and Auth-Type has not already been set
  81         chap
  82
  83         #
  84         #  If the users are logging in with an MS-CHAP-Challenge
  85         #  attribute for authentication, the mschap module will find
  86         #  the MS-CHAP-Challenge attribute, and add 'Auth-Type := MS-CHAP'
  87         #  to the request, which will cause the server to then use
  88         #  the mschap module for authentication.
  89         mschap
  90
  91         #
  92         #  If you have a Cisco SIP server authenticating against
  93         #  FreeRADIUS, uncomment the following line, and the 'digest'
  94         #  line in the 'authenticate' section.
  95 #       digest
  96
  97         #
  98         #  The WiMAX specification says that the Calling-Station-Id
  99         #  is 6 octets of the MAC.  This definition conflicts with
 100         #  RFC 3580, and all common RADIUS practices.  Un-commenting
 101         #  the "wimax" module here means that it will fix the
 102         #  Calling-Station-Id attribute to the normal format as
 103         #  specified in RFC 3580 Section 3.21
 104 #       wimax
 105
 106         #
 107         #  Look for IPASS style 'realm/', and if not found, look for
 108         #  '@realm', and decide whether or not to proxy, based on
 109         #  that.
 110 #       IPASS
 111
 112         #
 113         #  If you are using multiple kinds of realms, you probably
 114         #  want to set "ignore_null = yes" for all of them.
 115         #  Otherwise, when the first style of realm doesn't match,
 116         #  the other styles won't be checked.
 117         #
 118         suffix
 119 #       ntdomain
 120
 121         #
 122         #  This module takes care of EAP-MD5, EAP-TLS, and EAP-LEAP
 123         #  authentication.
 124         #
 125         #  It also sets the EAP-Type attribute in the request
 126         #  attribute list to the EAP type from the packet.
 127         #
 128         #  As of 2.0, the EAP module returns "ok" in the authorize stage
 129         #  for TTLS and PEAP.  In 1.x, it never returned "ok" here, so
 130         #  this change is compatible with older configurations.
 131         #
 132         #  The example below uses module failover to avoid querying all
 133         #  of the following modules if the EAP module returns "ok".
 134         #  Therefore, your LDAP and/or SQL servers will not be queried
 135         #  for the many packets that go back and forth to set up TTLS
 136         #  or PEAP.  The load on those servers will therefore be reduced.
 137         #
 138         eap {
 139                 ok = return
 140         }
 141
 142         #
 143         #  Pull crypt'd passwords from /etc/passwd or /etc/shadow,
 144         #  using the system API's to get the password.  If you want
 145         #  to read /etc/passwd or /etc/shadow directly, see the
 146         #  passwd module in radiusd.conf.
 147         #
 148         unix
 149
 150         #
 151         #  Read the 'users' file
 152         files
 153
 154         #
 155         #  Look in an SQL database.  The schema of the database
 156         #  is meant to mirror the "users" file.
 157         #
 158         #  See "Authorization Queries" in sql.conf
 159 #       sql
 160
 161         #
 162         #  If you are using /etc/smbpasswd, and are also doing
 163         #  mschap authentication, the un-comment this line, and
 164         #  configure the 'etc_smbpasswd' module, above.
 165 #       etc_smbpasswd
 166
 167         #
 168         #  The ldap module will set Auth-Type to LDAP if it has not
 169         #  already been set
 170 #       ldap
 171
 172         #
 173         #  Enforce daily limits on time spent logged in.
 174 #       daily
 175
 176         #
 177         # Use the checkval module
 178 #       checkval
 179
 180         expiration
 181         logintime
 182
 183         #
 184         #  If no other module has claimed responsibility for
 185         #  authentication, then try to use PAP.  This allows the
 186         #  other modules listed above to add a "known good" password
 187         #  to the request, and to do nothing else.  The PAP module
 188         #  will then see that password, and use it to do PAP
 189         #  authentication.
 190         #
 191         #  This module should be listed last, so that the other modules
 192         #  get a chance to set Auth-Type for themselves.
 193         #
 194         pap
 195
 196         #
 197         #  If "status_server = yes", then Status-Server messages are passed
 198         #  through the following section, and ONLY the following section.
 199         #  This permits you to do DB queries, for example.  If the modules
 200         #  listed here return "fail", then NO response is sent.
 201         #
 202 #       Autz-Type Status-Server {
 203 #
 204 #       }
 205 }
 206
 207
 208 #  Authentication.
 209 #
 210 #
 211 #  This section lists which modules are available for authentication.
 212 #  Note that it does NOT mean 'try each module in order'.  It means
 213 #  that a module from the 'authorize' section adds a configuration
 214 #  attribute 'Auth-Type := FOO'.  That authentication type is then
 215 #  used to pick the apropriate module from the list below.
 216 #
 217
 218 #  In general, you SHOULD NOT set the Auth-Type attribute.  The server
 219 #  will figure it out on its own, and will do the right thing.  The
 220 #  most common side effect of erroneously setting the Auth-Type
 221 #  attribute is that one authentication method will work, but the
 222 #  others will not.
 223 #
 224 #  The common reasons to set the Auth-Type attribute by hand
 225 #  is to either forcibly reject the user (Auth-Type := Reject),
 226 #  or to or forcibly accept the user (Auth-Type := Accept).
 227 #
 228 #  Note that Auth-Type := Accept will NOT work with EAP.
 229 #
 230 #  Please do not put "unlang" configurations into the "authenticate"
 231 #  section.  Put them in the "post-auth" section instead.  That's what
 232 #  the post-auth section is for.
 233 #
 234 authenticate {
 235         #
 236         #  PAP authentication, when a back-end database listed
 237         #  in the 'authorize' section supplies a password.  The
 238         #  password can be clear-text, or encrypted.
 239         Auth-Type PAP {
 240                 pap
 241         }
 242
 243         #
 244         #  Most people want CHAP authentication
 245         #  A back-end database listed in the 'authorize' section
 246         #  MUST supply a CLEAR TEXT password.  Encrypted passwords
 247         #  won't work.
 248         Auth-Type CHAP {
 249                 chap
 250         }
 251
 252         #
 253         #  MSCHAP authentication.
 254         Auth-Type MS-CHAP {
 255                 mschap
 256         }
 257
 258         #
 259         #  If you have a Cisco SIP server authenticating against
 260         #  FreeRADIUS, uncomment the following line, and the 'digest'
 261         #  line in the 'authorize' section.
 262 #       digest
 263
 264         #
 265         #  Pluggable Authentication Modules.
 266 #       pam
 267
 268         #
 269         #  See 'man getpwent' for information on how the 'unix'
 270         #  module checks the users password.  Note that packets
 271         #  containing CHAP-Password attributes CANNOT be authenticated
 272         #  against /etc/passwd!  See the FAQ for details.
 273         #
 274         unix
 275
 276         # Uncomment it if you want to use ldap for authentication
 277         #
 278         # Note that this means "check plain-text password against
 279         # the ldap database", which means that EAP won't work,
 280         # as it does not supply a plain-text password.
 281 #       Auth-Type LDAP {
 282 #               ldap
 283 #       }
 284
 285         #
 286         #  Allow EAP authentication.
 287         eap
 288
 289         #
 290         #  The older configurations sent a number of attributes in
 291         #  Access-Challenge packets, which wasn't strictly correct.
 292         #  If you want to filter out these attributes, uncomment
 293         #  the following lines.
 294         #
 295 #       Auth-Type eap {
 296 #               eap {
 297 #                       handled = 1
 298 #               }
 299 #               if (handled && (Response-Packet-Type == Access-Challenge)) {
 300 #                       attr_filter.access_challenge.post-auth
 301 #                       handled  # override the "updated" code from attr_filter
 302 #               }
 303 #       }
 304 }
 305
 306
 307 #
 308 #  Pre-accounting.  Decide which accounting type to use.
 309 #
 310 preacct {
 311         preprocess
 312
 313         #
 314         #  Ensure that we have a semi-unique identifier for every
 315         #  request, and many NAS boxes are broken.
 316         acct_unique
 317
 318         #
 319         #  Look for IPASS-style 'realm/', and if not found, look for
 320         #  '@realm', and decide whether or not to proxy, based on
 321         #  that.
 322         #
 323         #  Accounting requests are generally proxied to the same
 324         #  home server as authentication requests.
 325 #       IPASS
 326         suffix
 327 #       ntdomain
 328
 329         #
 330         #  Read the 'acct_users' file
 331         files
 332 }
 333
 334 #
 335 #  Accounting.  Log the accounting data.
 336 #
 337 accounting {
 338         #
 339         #  Create a 'detail'ed log of the packets.
 340         #  Note that accounting requests which are proxied
 341         #  are also logged in the detail file.
 342         detail
 343 #       daily
 344
 345         #  Update the wtmp file
 346         #
 347         #  If you don't use "radlast", you can delete this line.
 348         unix
 349
 350         #
 351         #  For Simultaneous-Use tracking.
 352         #
 353         #  Due to packet losses in the network, the data here
 354         #  may be incorrect.  There is little we can do about it.
 355         radutmp
 356 #       sradutmp
 357
 358         #  Return an address to the IP Pool when we see a stop record.
 359 #       main_pool
 360
 361         #
 362         #  Log traffic to an SQL database.
 363         #
 364         #  See "Accounting queries" in sql.conf
 365 #       sql
 366
 367         #
 368         #  Instead of sending the query to the SQL server,
 369         #  write it into a log file.
 370         #
 371 #       sql_log
 372
 373         #  Cisco VoIP specific bulk accounting
 374 #       pgsql-voip
 375
 376         #  Filter attributes from the accounting response.
 377         attr_filter.accounting_response
 378
 379         #
 380         #  See "Autz-Type Status-Server" for how this works.
 381         #
 382 #       Acct-Type Status-Server {
 383 #
 384 #       }
 385 }
 386
 387
 388 #  Session database, used for checking Simultaneous-Use. Either the radutmp
 389 #  or rlm_sql module can handle this.
 390 #  The rlm_sql module is *much* faster
 391 session {
 392         radutmp
 393
 394         #
 395         #  See "Simultaneous Use Checking Queries" in sql.conf
 396 #       sql
 397 }
 398
 399
 400 #  Post-Authentication
 401 #  Once we KNOW that the user has been authenticated, there are
 402 #  additional steps we can take.
 403 post-auth {
 404         #  Get an address from the IP Pool.
 405 #       main_pool
 406
 407         #
 408         #  If you want to have a log of authentication replies,
 409         #  un-comment the following line, and the 'detail reply_log'
 410         #  section, above.
 411 #       reply_log
 412
 413         #
 414         #  After authenticating the user, do another SQL query.
 415         #
 416         #  See "Authentication Logging Queries" in sql.conf
 417 #       sql
 418
 419         #
 420         #  Instead of sending the query to the SQL server,
 421         #  write it into a log file.
 422         #
 423 #       sql_log
 424
 425         #
 426         #  Un-comment the following if you have set
 427         #  'edir_account_policy_check = yes' in the ldap module sub-section of
 428         #  the 'modules' section.
 429         #
 430 #       ldap
 431
 432         exec
 433
 434         #
 435         #  Calculate the various WiMAX keys.  In order for this to work,
 436         #  you will need to define the WiMAX NAI, usually via
 437         #
 438         #       update request {
 439         #              WiMAX-MN-NAI = "%{User-Name}"
 440         #       }
 441         #
 442         #  If you want various keys to be calculated, you will need to
 443         #  update the reply with "template" values.  The module will see
 444         #  this, and replace the template values with the correct ones
 445         #  taken from the cryptographic calculations.  e.g.
 446         #
 447         #       update reply {
 448         #               WiMAX-FA-RK-Key = 0x00
 449         #               WiMAX-MSK = "%{EAP-MSK}"
 450         #       }
 451         #
 452         #  You may want to delete the MS-MPPE-*-Keys from the reply,
 453         #  as some WiMAX clients behave badly when those attributes
 454         #  are included.  See "raddb/modules/wimax", configuration
 455         #  entry "delete_mppe_keys" for more information.
 456         #
 457 #       wimax
 458
 459         #  If the WiMAX module did it's work, you may want to do more
 460         #  things here, like delete the MS-MPPE-*-Key attributes.
 461         #
 462         #       if (updated) {
 463         #               update reply {
 464         #                       MS-MPPE-Recv-Key !* 0x00
 465         #                       MS-MPPE-Send-Key !* 0x00
 466         #               }
 467         #       }
 468
 469         #
 470         #  Access-Reject packets are sent through the REJECT sub-section of the
 471         #  post-auth section.
 472         #
 473         #  Add the ldap module name (or instance) if you have set
 474         #  'edir_account_policy_check = yes' in the ldap module configuration
 475         #
 476         Post-Auth-Type REJECT {
 477                 attr_filter.access_reject
 478         }
 479 }
 480
 481 #
 482 #  When the server decides to proxy a request to a home server,
 483 #  the proxied request is first passed through the pre-proxy
 484 #  stage.  This stage can re-write the request, or decide to
 485 #  cancel the proxy.
 486 #
 487 #  Only a few modules currently have this method.
 488 #
 489 pre-proxy {
 490 #       attr_rewrite
 491
 492         #  Uncomment the following line if you want to change attributes
 493         #  as defined in the preproxy_users file.
 494 #       files
 495
 496         #  Uncomment the following line if you want to filter requests
 497         #  sent to remote servers based on the rules defined in the
 498         #  'attrs.pre-proxy' file.
 499 #       attr_filter.pre-proxy
 500
 501         #  If you want to have a log of packets proxied to a home
 502         #  server, un-comment the following line, and the
 503         #  'detail pre_proxy_log' section, above.
 504 #       pre_proxy_log
 505 }
 506
 507 #
 508 #  When the server receives a reply to a request it proxied
 509 #  to a home server, the request may be massaged here, in the
 510 #  post-proxy stage.
 511 #
 512 post-proxy {
 513
 514         #  If you want to have a log of replies from a home server,
 515         #  un-comment the following line, and the 'detail post_proxy_log'
 516         #  section, above.
 517 #       post_proxy_log
 518
 519 #       attr_rewrite
 520
 521         #  Uncomment the following line if you want to filter replies from
 522         #  remote proxies based on the rules defined in the 'attrs' file.
 523 #       attr_filter.post-proxy
 524
 525         #
 526         #  If you are proxying LEAP, you MUST configure the EAP
 527         #  module, and you MUST list it here, in the post-proxy
 528         #  stage.
 529         #
 530         #  You MUST also use the 'nostrip' option in the 'realm'
 531         #  configuration.  Otherwise, the User-Name attribute
 532         #  in the proxied request will not match the user name
 533         #  hidden inside of the EAP packet, and the end server will
 534         #  reject the EAP request.
 535         #
 536         eap
 537
 538         #
 539         #  If the server tries to proxy a request and fails, then the
 540         #  request is processed through the modules in this section.
 541         #
 542         #  The main use of this section is to permit robust proxying
 543         #  of accounting packets.  The server can be configured to
 544         #  proxy accounting packets as part of normal processing.
 545         #  Then, if the home server goes down, accounting packets can
 546         #  be logged to a local "detail" file, for processing with
 547         #  radrelay.  When the home server comes back up, radrelay
 548         #  will read the detail file, and send the packets to the
 549         #  home server.
 550         #
 551         #  With this configuration, the server always responds to
 552         #  Accounting-Requests from the NAS, but only writes
 553         #  accounting packets to disk if the home server is down.
 554         #
 555 #       Post-Proxy-Type Fail {
 556 #                       detail
 557 #       }
 558
 559 }
 560