raddb/proxy.conf

   1 #
   2 # proxy.conf - proxy radius and realm configuration directives
   3 #
   4 # This file is included by default.  To disable it, you will need
   5 # to modify the PROXY CONFIGURATION section of "radiusd.conf".
   6 #
   7 #######################################################################
   8 #
   9 #  Proxy server configuration
  10 #
  11 #  This entry controls the servers behaviour towards ALL other servers
  12 #  to which it sends proxy requests.
  13 #
  14 proxy server {
  15
  16 #
  17 #  If the NAS re-sends the request to us, we can immediately re-send
  18 #  the proxy request to the end server.  To do so, use 'yes' here.
  19 #
  20 #  If this is set to 'no', then we send the retries on our own schedule,
  21 #  and ignore any duplicate NAS requests.
  22 #
  23 #  If you want to have the server send proxy retries ONLY when the NAS
  24 #  sends it's retries to the server, then set this to 'yes', and
  25 #  set the other proxy configuration parameters to 0 (zero).
  26 #
  27         synchronous = no
  28
  29 #
  30 #  The time (in seconds) to wait for a response from the proxy, before
  31 #  re-sending the proxied request.
  32 #
  33 #  If this time is set too high, then the NAS may re-send the request,
  34 #  or it may give up entirely, and reject the user.
  35 #
  36 #  If it is set too low, then the RADIUS server which receives the proxy
  37 #  request will get kicked unnecessarily.
  38 #
  39         retry_delay = 5
  40
  41 #
  42 #  The number of retries to send before giving up, and sending a reject
  43 #  message to the NAS.
  44 #
  45         retry_count = 3
  46
  47 #
  48 #  If the home server does not respond to any of the multiple retries,
  49 #  then FreeRADIUS will stop sending it proxy requests, and mark it 'dead'.
  50 #
  51 #  If there are multiple entries configured for this realm, then the
  52 #  server will fail-over to the next one listed.  If no more are listed,
  53 #  then no requests will be proxied to that realm.
  54 #
  55 #
  56 #  After a configurable 'dead_time', in seconds, FreeRADIUS will
  57 #  speculatively mark the home server active, and start sending requests
  58 #  to it again.
  59 #
  60 #  If this dead time is set too low, then you will lose requests,
  61 #  as FreeRADIUS will quickly switch back to the home server, even if
  62 #  it isn't up again.
  63 #
  64 #  If this dead time is set too high, then FreeRADIUS may take too long
  65 #  to switch back to the primary home server.
  66 #
  67 #  Realistic values for this number are in the range of minutes to hours.
  68 #  (60 to 3600)
  69 #
  70         dead_time = 120
  71
  72 #  If you choose to list a realm more then once for fall-through or
  73 #  round-robin, then specify the total number of alternates here. Specify
  74 #  a ldflag attribute for all realms to be included in a round-robin
  75 #  setup. Currently (0 or fail_over) and (1 or round_robin) are the
  76 #  supported values for ldflag. Fail-Over is the default setup.
  77 #
  78         servers_per_realm = 15
  79
  80 #
  81 #  If all exact matching realms did not respond, we can try the
  82 #  DEFAULT realm, too.  This is what the server normally does.
  83 #
  84 #  This behaviour may be undesired for some cases.  e.g. You are proxying
  85 #  for two different ISP's, and then act as a general dial-up for Gric.
  86 #  If one of the first two ISP's has their RADIUS server go down, you do
  87 #  NOT want to proxy those requests to GRIC.  Instead, you probably want
  88 #  to just drop the requests on the floor.  In that case, set this value
  89 #  to 'no'.
  90 #
  91 #  allowed values: {yes, no}
  92 #
  93         default_fallback = yes
  94 }
  95
  96 #######################################################################
  97 #
  98 #  Configuration for the proxy realms.
  99 #
 100 #  The information given here is used in conjunction with the 'realms'
 101 #  file.  This format is preferred, as it is more flexible.  The realms
 102 #  listed here take priority over those listed in the 'realms' file.
 103 #
 104 #realm isp2.com {
 105 #       type        = radius
 106 #       authhost    = radius.isp2.com:1645
 107 #       accthost    = radius.isp2.com:1646
 108 #       secret      = TheirKey
 109 #       nostrip
 110 #}
 111
 112 #
 113 #  a fail-over realm for isp2.com
 114 #
 115 #realm isp2.com {
 116 #       type        = radius
 117 #       authhost    = radius2.isp2.com:1645
 118 #       accthost    = radius2.isp2.com:1646
 119 #       secret      = TheirKey2
 120 #       nostrip
 121 #}
 122
 123 #
 124 #  1st node serv.com...set up for round-robin.
 125 #  The ldflag attribute must be specified on all
 126 #  realms included in a rr scheme. ldflag may also
 127 #  be set as zero on realms using fail-over. Currently
 128 #  (0 or fail_over) and (1 or round_robin) are the only
 129 #  accepted values for ldflag. Fail-Over is the default setup.
 130 #
 131 #realm serv.com {
 132 #       type        = radius
 133 #       authhost    = radius.serv.com:1645
 134 #       accthost    = radius.serv.com:1646
 135 #       secret      = TheirKey
 136 #       ldflag      = round_robin
 137 #       nostrip
 138 #}
 139
 140 #
 141 #  Another node for serv.com
 142 #
 143 #realm serv.com {
 144 #       type        = radius
 145 #       authhost    = radius2.serv.com:1645
 146 #       accthost    = radius2.serv.com:1646
 147 #       secret      = TheirKey2
 148 #       ldflag      = round_robin
 149 #       nostrip
 150 #}
 151
 152 #
 153 #  A third round-robin node realm for serv.com
 154 #
 155 #realm serv.com {
 156 #       type        = radius
 157 #       authhost    = radius3.serv.com:1645
 158 #       accthost    = radius3.serv.com:1646
 159 #       secret      = TheirKey2
 160 #       ldflag      = round_robin
 161 #       nostrip
 162 #}
 163 #
 164 #
 165
 166 #realm company.com {
 167 #       type            = radius
 168 #       authhost        = radius.company.com:1600
 169 #       accthost        = radius.company.com:1601
 170 #       secret          = testing123
 171 #}
 172
 173 #
 174 #  This is a local realm.  The requests are NOT proxied,
 175 #  but instead are authenticated by the RADIUS server itself.
 176 #
 177 #  You don't need a secret if BOTH 'authhost' and 'accthost' are
 178 #  set to LOCAL.
 179 #
 180 #realm bla.com {
 181 #       type            = radius
 182 #       authhost        = LOCAL
 183 #       accthost        = LOCAL
 184 #}
 185
 186 #
 187 #  This realm is for requests which don't have an explicit realm
 188 #  prefix or suffix.  User names like "bob" will match this one.
 189 #
 190 #realm NULL {
 191 #       type            = radius
 192 #       authhost        = radius.company.com:1600
 193 #       accthost        = radius.company.com:1601
 194 #       secret          = testing123
 195 #}
 196
 197 #
 198 #  This realm is for ALL OTHER requests.
 199 #
 200 #realm DEFAULT {
 201 #       type            = radius
 202 #       authhost        = radius.company.com:1600
 203 #       accthost        = radius.company.com:1601
 204 #       secret          = testing123
 205 #}
 206
 207 #realm myfakerealm {
 208 #      type            = radius
 209 #      authhost        = radius.company.com:1600
 210 #      accthost        = radius.company.com:1601
 211 #      secret          = testing123
 212 #      notrealm
 213 #}
 214