raddb/sites-available/abfab-tls

   1 #
   2 #       Example configuration for ABFAB listening on TLS.
   3 #
   4 #       $Id$
   5 #
   6 listen {
   7         ipaddr = *
   8         port = 2083
   9         type = auth
  10         proto = tcp
  11
  12         tls {
  13                 private_key_password = whatever
  14
  15                 # Moonshot tends to distribute certs separate from keys
  16                 private_key_file = ${certdir}/server.key
  17                 certificate_file = ${certdir}/server.pem
  18                 ca_file = ${cadir}/ca.pem
  19                 dh_file = ${certdir}/dh
  20                 fragment_size = 8192
  21                 ca_path = ${cadir}
  22                 cipher_list = "DEFAULT"
  23
  24                 cache {
  25                         enable = no
  26                         lifetime = 24 # hours
  27                         max_entries = 255
  28                 }
  29
  30                 require_client_cert = yes
  31                 verify {
  32                 }
  33
  34                 psk_query = "%{psksql:select hex(key) from psk_keys where keyid = '%{TLS-PSK-Identity}'}"
  35         }
  36
  37         virtual_server = abfab-idp
  38
  39         clients = radsec-abfab
  40 }
  41
  42 clients radsec-abfab {
  43         #
  44         #  Allow all clients, but require TLS.
  45         #  This client stanza will match other RP proxies from other
  46         #  realms  established via the trustrouter.  In general
  47         #  additional client stanzas are also required for local services.
  48         #
  49         client default {
  50                 ipaddr = 0.0.0.0/0
  51                 proto = tls
  52         }
  53
  54         #  An example local service
  55         #  client service_1 {
  56         #       ipaddr = 192.0.2.20
  57         #       #  You should either set gss_acceptor_host_name below
  58         #       #  or set up policy to confirm that a client claims
  59         #       #  the right acceptor hostname when using ABFAB.  If
  60         #       #  set,  the RADIUS server will confirm that all
  61         #       #  requests have this value for the acceptor host name
  62         #       gss_acceptor_host_name = "server.example.com"
  63         #       #  If set, this acceptor realm name will be included.
  64         #  Foreign realms will typically reject a request if this is not
  65         #       #  properly set.
  66         #       gss_acceptor_realm_name = "example.com"
  67         #       #  Additionally, trust_router_coi can be set; if set
  68         #       #  it will override the default_community in the realm
  69         #       #  module
  70         #       # trust_router_coi =  "community1.example.net"
  71         #       #  In production depployments it is important to set
  72         #       #       up certificate verification  so that even if
  73         #       #  clients spoof IP addresses, one client cannot
  74         #       #  impersonate another.
  75         #  }
  76
  77 }