man/man5/rlm_pap.5

   1 .\"     # DS - begin display
   2 .de DS
   3 .RS
   4 .nf
   5 .sp
   6 ..
   7 .\"     # DE - end display
   8 .de DE
   9 .fi
  10 .RE
  11 .sp
  12 ..
  13 .TH rlm_pap 5 "6 June 2008" "" "FreeRADIUS Module"
  14 .SH NAME
  15 rlm_pap \- FreeRADIUS Module
  16 .SH DESCRIPTION
  17 The \fIrlm_pap\fP module authenticates RADIUS Access-Request packets
  18 that contain a User-Password attribute.  The module should also be
  19 listed last in the \fIauthorize\fP section, so that it can set the
  20 Auth-Type attribute as appropriate.
  21 .PP
  22 When a RADIUS packet contains a clear-text password in the form of a
  23 User-Password attribute, the \fIrlm_pap\fP module may be used for
  24 authentication.  The module requires a "known good" password, which it
  25 uses to validate the password given in the RADIUS packet.  That "known
  26 good" password must be supplied by another module
  27 (e.g. \fIrlm_files\fP, \fIrlm_ldap\fP, etc.), and is usually taken
  28 from a database.
  29 .SH CONFIGURATION
  30 .PP
  31 The only relevant configuration item is:
  32 .IP auto_header
  33 If set to "yes", the module will look inside of the User-Password
  34 attribute for the headers {crypt}, {clear}, etc., and will
  35 automatically create the appropriate attribute, with the correct
  36 value.
  37 .PP
  38 This module understands many kinds of password hashing methods, as
  39 given by the following table.
  40 .PP
  41 .DS
  42 .br
  43 Header       Attribute          Description
  44 .br
  45 ------       ---------          -----------
  46 .br
  47 {clear}      Cleartext-Password clear-text passwords
  48 .br
  49 {cleartext}  Cleartext-Password clear-text passwords
  50 .br
  51 {crypt}      Crypt-Password     Unix-style "crypt"ed passwords
  52 .br
  53 {md5}        MD5-Password       MD5 hashed passwords
  54 .br
  55 {smd5}       SMD5-Password      MD5 hashed passwords, with a salt
  56 .br
  57 {sha}        SHA-Password       SHA1 hashed passwords
  58 .br
  59 {ssha}       SSHA-Password      SHA1 hashed passwords, with a salt
  60 .br
  61 {nt}         NT-Password        Windows NT hashed passwords
  62 .br
  63 {x-nthash}   NT-Password        Windows NT hashed passwords
  64 .br
  65 {lm}         LM-Password        Windows Lan Manager (LM) passwords.
  66 .DE
  67
  68 The module tries to be flexible when handling the various password
  69 formats.  It will automatically handle Base-64 encoded data, hex
  70 strings, and binary data, and convert them to a format that the server
  71 can use.
  72 .PP
  73 It is important to understand the difference between the User-Password
  74 and Cleartext-Password attributes.  The Cleartext-Password attribute
  75 is the "known good" password for the user.  Simply supplying the
  76 Cleartext-Password to the server will result in most authentication
  77 methods working.  The User-Password attribute is the password as typed
  78 in by the user on their private machine.  The two are not the same,
  79 and should be treated very differently.  That is, you should generally
  80 not use the User-Password attribute anywhere in the RADIUS
  81 configuration.
  82 .PP
  83 For backwards compatibility, there are old configuration parameters
  84 which may be work, although we do not recommend using them.
  85 .SH SECTIONS
  86 .BR authorize
  87 .BR authenticate
  88 .PP
  89 .SH FILES
  90 .I /etc/raddb/radiusd.conf
  91 .PP
  92 .SH "SEE ALSO"
  93 .BR radiusd (8),
  94 .BR radiusd.conf (5)
  95 .SH AUTHOR
  96 Alan DeKok <aland@freeradius.org>
  97