Ticket #4930: 002-openwrt-paths.patch

File 002-openwrt-paths.patch, 29.3 KB (added by jake1981 <oskari.rauta@…>, 9 years ago)

Add this file to patches directory

  • freeradius-server-2.1.4

    diff -Naur freeradius-server-2.1.4/raddb/attrs freeradius-server-2.1.4.new/raddb/attrs
    old new  
    11# 
    2 #       Configuration file for the rlm_attr_filter module. 
    3 #       Please see rlm_attr_filter(5) manpage for more information. 
    4 # 
    52#       $Id$ 
    63# 
    74#       This file contains security and configuration information 
  • raddb/attrs.access_reject

    diff -Naur freeradius-server-2.1.4/raddb/attrs.access_reject freeradius-server-2.1.4.new/raddb/attrs.access_reject
    old new  
    11# 
    2 #       Configuration file for the rlm_attr_filter module. 
    3 #       Please see rlm_attr_filter(5) manpage for more information. 
    4 # 
    52#       $Id$ 
    63# 
    74#       This configuration file is used to remove almost all of the attributes 
  • raddb/attrs.accounting_response

    diff -Naur freeradius-server-2.1.4/raddb/attrs.accounting_response freeradius-server-2.1.4.new/raddb/attrs.accounting_response
    old new  
    11# 
    2 #       Configuration file for the rlm_attr_filter module. 
    3 #       Please see rlm_attr_filter(5) manpage for more information. 
    4 # 
    52#       $Id$ 
    63# 
    74#       This configuration file is used to remove almost all of the attributes 
  • freeradius-server-2.1.4

    diff -Naur freeradius-server-2.1.4/raddb/attrs.pre-proxy freeradius-server-2.1.4.new/raddb/attrs.pre-proxy
    old new  
    11# 
    2 #       Configuration file for the rlm_attr_filter module. 
    3 #       Please see rlm_attr_filter(5) manpage for more information. 
    4 # 
    52#       $Id$ 
    63# 
    74#       This file contains security and configuration information 
  • freeradius-server-2.1.4

    diff -Naur freeradius-server-2.1.4/raddb/dictionary.in freeradius-server-2.1.4.new/raddb/dictionary.in
    old new  
    1111# 
    1212#       The filename given here should be an absolute path.  
    1313# 
    14 $INCLUDE        @prefix@/share/freeradius/dictionary 
     14$INCLUDE        @prefix@/share/freeradius2/dictionary 
    1515 
    1616# 
    1717#       Place additional attributes or $INCLUDEs here.  They will 
    1818#       over-ride the definitions in the pre-defined dictionaries. 
    1919# 
    20 #       See the 'man' page for 'dictionary' for information on 
    21 #       the format of the dictionary files. 
    2220 
    2321# 
    2422#       If you want to add entries to the dictionary file, 
  • freeradius-server-2.1.4

    diff -Naur freeradius-server-2.1.4/raddb/eap.conf freeradius-server-2.1.4.new/raddb/eap.conf
    old new  
    2727                #  then that EAP type takes precedence over the 
    2828                #  default type configured here. 
    2929                # 
    30                 default_eap_type = md5 
     30                default_eap_type = peap 
    3131 
    3232                #  A list is maintained to correlate EAP-Response 
    3333                #  packets with EAP-Request packets.  After a 
     
    7272                #  for wireless connections.  It is insecure, and does 
    7373                #  not provide for dynamic WEP keys. 
    7474                # 
    75                 md5 { 
    76                 } 
    77  
    78                 # Cisco LEAP 
    79                 # 
    80                 #  We do not recommend using LEAP in new deployments.  See: 
    81                 #  http://www.securiteam.com/tools/5TP012ACKE.html 
    82                 # 
    83                 #  Cisco LEAP uses the MS-CHAP algorithm (but not 
    84                 #  the MS-CHAP attributes) to perform it's authentication. 
    85                 # 
    86                 #  As a result, LEAP *requires* access to the plain-text 
    87                 #  User-Password, or the NT-Password attributes. 
    88                 #  'System' authentication is impossible with LEAP. 
    89                 # 
    90                 leap { 
    91                 } 
     75#               md5 { 
     76#               } 
    9277 
    9378                #  Generic Token Card. 
    9479                # 
     
    10186                #  the users password will go over the wire in plain-text, 
    10287                #  for anyone to see. 
    10388                # 
    104                 gtc { 
     89#               gtc { 
    10590                        #  The default challenge, which many clients 
    10691                        #  ignore.. 
    107                         #challenge = "Password: " 
     92#                       challenge = "Password: " 
    10893 
    10994                        #  The plain-text response which comes back 
    11095                        #  is put into a User-Password attribute, 
     
    118103                        #  configured for the request, and do the 
    119104                        #  authentication itself. 
    120105                        # 
    121                         auth_type = PAP 
    122                 } 
     106#                       auth_type = PAP 
     107#               } 
    123108 
    124109                ## EAP-TLS 
    125110                # 
     
    130115                #  built, the "tls", "ttls", and "peap" sections will 
    131116                #  be ignored. 
    132117                # 
    133                 #  Otherwise, when the server first starts in debugging 
    134                 #  mode, test certificates will be created.  See the 
    135                 #  "make_cert_command" below for details, and the README 
    136                 #  file in raddb/certs 
    137                 # 
    138118                #  These test certificates SHOULD NOT be used in a normal 
    139119                #  deployment.  They are created only to make it easier 
    140120                #  to install the server, and to perform some simple 
     
    201181                        #  In these cases, fragment size should be 
    202182                        #  1024 or less. 
    203183                        # 
    204                 #       fragment_size = 1024 
     184                        fragment_size = 1024 
    205185 
    206186                        #  include_length is a flag which is 
    207187                        #  by default set to yes If set to 
     
    211191                        #  message is included ONLY in the 
    212192                        #  First packet of a fragment series. 
    213193                        # 
    214                 #       include_length = yes 
     194                        include_length = yes 
    215195 
    216196                        #  Check the Certificate Revocation List 
    217197                        # 
     
    220200                        #    'c_rehash' is OpenSSL's command. 
    221201                        #  3) uncomment the line below. 
    222202                        #  5) Restart radiusd 
    223                 #       check_crl = yes 
    224                 #       CA_path = /path/to/directory/with/ca_certs/and/crls/ 
     203#                       check_crl = yes 
     204#                       CA_path = /path/to/directory/with/ca_certs/and/crls/ 
     205 
     206                        # 
     207                        #  If check_cert_issuer is set, the value will 
     208                        #  be checked against the DN of the issuer in 
     209                        #  the client certificate.  If the values do not 
     210                        #  match, the cerficate verification will fail, 
     211                        #  rejecting the user. 
     212                        # 
     213#                      check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd" 
     214 
     215                        # 
     216                        #  If check_cert_cn is set, the value will 
     217                        #  be xlat'ed and checked against the CN 
     218                        #  in the client certificate.  If the values 
     219                        #  do not match, the certificate verification 
     220                        #  will fail rejecting the user. 
     221                        # 
     222                        #  This check is done only if the previous 
     223                        #  "check_cert_issuer" is not set, or if 
     224                        #  the check succeeds. 
     225                        # 
     226#                       check_cert_cn = %{User-Name} 
    225227 
    226                        # 
    227                        #  If check_cert_issuer is set, the value will 
    228                        #  be checked against the DN of the issuer in 
    229                        #  the client certificate.  If the values do not 
    230                        #  match, the cerficate verification will fail, 
    231                        #  rejecting the user. 
    232                        # 
    233                 #       check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd" 
    234  
    235                        # 
    236                        #  If check_cert_cn is set, the value will 
    237                        #  be xlat'ed and checked against the CN 
    238                        #  in the client certificate.  If the values 
    239                        #  do not match, the certificate verification 
    240                        #  will fail rejecting the user. 
    241                        # 
    242                        #  This check is done only if the previous 
    243                        #  "check_cert_issuer" is not set, or if 
    244                        #  the check succeeds. 
    245                        # 
    246                 #       check_cert_cn = %{User-Name} 
    247                 # 
    248228                        # Set this option to specify the allowed 
    249229                        # TLS cipher suites.  The format is listed 
    250230                        # in "man 1 ciphers". 
    251231                        cipher_list = "DEFAULT" 
    252232 
    253233                        # 
    254  
    255                         #  This configuration entry should be deleted 
    256                         #  once the server is running in a normal 
    257                         #  configuration.  It is here ONLY to make 
    258                         #  initial deployments easier. 
    259                         # 
    260                         make_cert_command = "${certdir}/bootstrap" 
    261  
    262                         # 
    263234                        #  Session resumption / fast reauthentication 
    264235                        #  cache. 
    265236                        # 
    266                         cache { 
    267                               # 
    268                               #  Enable it.  The default is "no". 
    269                               #  Deleting the entire "cache" subsection 
    270                               #  Also disables caching. 
    271                               # 
    272                               #  You can disallow resumption for a 
    273                               #  particular user by adding the following 
    274                               #  attribute to the control item list: 
    275                               # 
    276                               #         Allow-Session-Resumption = No 
    277                               # 
    278                               #  If "enable = no" below, you CANNOT 
    279                               #  enable resumption for just one user 
    280                               #  by setting the above attribute to "yes". 
    281                               # 
    282                               enable = no 
    283  
    284                               # 
    285                               #  Lifetime of the cached entries, in hours. 
    286                               #  The sessions will be deleted after this 
    287                               #  time. 
    288                               # 
    289                               lifetime = 24 # hours 
    290  
    291                               # 
    292                               #  The maximum number of entries in the 
    293                               #  cache.  Set to "0" for "infinite". 
    294                               # 
    295                               #  This could be set to the number of users 
    296                               #  who are logged in... which can be a LOT. 
    297                               # 
    298                               max_entries = 255 
    299                         } 
     237#                       cache { 
     238                                # 
     239                                #  Enable it.  The default is "no". 
     240                                #  Deleting the entire "cache" subsection 
     241                                #  Also disables caching. 
     242                                # 
     243                                #  You can disallow resumption for a 
     244                                #  particular user by adding the following 
     245                                #  attribute to the control item list: 
     246                                # 
     247                                #               Allow-Session-Resumption = No 
     248                                # 
     249                                #  If "enable = no" below, you CANNOT 
     250                                #  enable resumption for just one user 
     251                                #  by setting the above attribute to "yes". 
     252                                # 
     253#                               enable = no 
     254 
     255                                # 
     256                                #  Lifetime of the cached entries, in hours. 
     257                                #  The sessions will be deleted after this 
     258                                #  time. 
     259                                # 
     260#                               lifetime = 24 # hours 
     261 
     262                                # 
     263                                #  The maximum number of entries in the 
     264                                #  cache.  Set to "0" for "infinite". 
     265                                # 
     266                                #  This could be set to the number of users 
     267                                #  who are logged in... which can be a LOT. 
     268                                # 
     269#                               max_entries = 255 
     270#                       } 
    300271                } 
    301272 
    302273                #  The TTLS module implements the EAP-TTLS protocol, 
     
    320291                # 
    321292                #  in the control items for a request. 
    322293                # 
    323                 ttls { 
     294#               ttls { 
    324295                        #  The tunneled EAP session needs a default 
    325296                        #  EAP type which is separate from the one for 
    326297                        #  the non-tunneled EAP module.  Inside of the 
     
    328299                        #  If the request does not contain an EAP 
    329300                        #  conversation, then this configuration entry 
    330301                        #  is ignored. 
    331                         default_eap_type = md5 
     302#                       default_eap_type = mschapv2 
    332303 
    333304                        #  The tunneled authentication request does 
    334305                        #  not usually contain useful attributes 
     
    344315                        #  is copied to the tunneled request. 
    345316                        # 
    346317                        # allowed values: {no, yes} 
    347                         copy_request_to_tunnel = no 
     318#                       copy_request_to_tunnel = yes 
    348319 
    349320                        #  The reply attributes sent to the NAS are 
    350321                        #  usually based on the name of the user 
     
    357328                        #  the tunneled request. 
    358329                        # 
    359330                        # allowed values: {no, yes} 
    360                         use_tunneled_reply = no 
    361  
    362                         # 
    363                         #  The inner tunneled request can be sent 
    364                         #  through a virtual server constructed 
    365                         #  specifically for this purpose. 
    366                         # 
    367                         #  If this entry is commented out, the inner 
    368                         #  tunneled request will be sent through 
    369                         #  the virtual server that processed the 
    370                         #  outer requests. 
    371                         # 
    372                         virtual_server = "inner-tunnel" 
    373                 } 
     331#                       use_tunneled_reply = yes 
     332#               } 
    374333 
    375334                ################################################## 
    376335                # 
     
    433392 
    434393                        #  the PEAP module also has these configuration 
    435394                        #  items, which are the same as for TTLS. 
    436                         copy_request_to_tunnel = no 
    437                         use_tunneled_reply = no 
     395                        copy_request_to_tunnel = yes 
     396                        use_tunneled_reply = yes 
    438397 
    439398                        #  When the tunneled session is proxied, the 
    440399                        #  home server may not understand EAP-MSCHAP-V2. 
    441400                        #  Set this entry to "no" to proxy the tunneled 
    442401                        #  EAP-MSCHAP-V2 as normal MSCHAPv2. 
    443                 #       proxy_tunneled_request_as_eap = yes 
     402                        proxy_tunneled_request_as_eap = no 
    444403 
    445                         # 
    446                         #  The inner tunneled request can be sent 
    447                         #  through a virtual server constructed 
    448                         #  specifically for this purpose. 
    449                         # 
    450                         #  If this entry is commented out, the inner 
    451                         #  tunneled request will be sent through 
    452                         #  the virtual server that processed the 
    453                         #  outer requests. 
    454                         # 
    455                         virtual_server = "inner-tunnel" 
     404                        EAP-TLS-Require-Client-Cert = no 
    456405                } 
    457406 
    458407                # 
  • freeradius-server-2.1.4

    diff -Naur freeradius-server-2.1.4/raddb/ldap.attrmap freeradius-server-2.1.4.new/raddb/ldap.attrmap
    old new  
    1313#                           If not present, defaults to "==" for checkItems, 
    1414#                           and "=" for replyItems. 
    1515#                           If present, the operator here should be one 
    16 #                           of the same operators as defined in the "users"3 
    17 #                           file ("man users", or "man 5 users"). 
     16#                           of the same operators as defined in the "users" file. 
    1817#                           If an operator is present in the value of the 
    1918#                           LDAP entry (i.e. ":=foo"), then it over-rides 
    2019#                           both the default, and any operator given here. 
  • freeradius-server-2.1.4

    diff -Naur freeradius-server-2.1.4/raddb/modules/counter freeradius-server-2.1.4.new/raddb/modules/counter
    old new  
    6969#  'check-name' attribute. 
    7070# 
    7171counter daily { 
    72         filename = ${db_dir}/db.daily 
     72        filename = ${radacctdir}/db.daily 
    7373        key = User-Name 
    7474        count-attribute = Acct-Session-Time 
    7575        reset = daily 
  • freeradius-server-2.1.4

    diff -Naur freeradius-server-2.1.4/raddb/modules/detail freeradius-server-2.1.4.new/raddb/modules/detail
    old new  
    4646 
    4747        # 
    4848        #  Every entry in the detail file has a header which 
    49         #  is a timestamp.  By default, we use the ctime 
    50         #  format (see "man ctime" for details). 
     49        #  is a timestamp.  By default, we use the ctime format. 
    5150        # 
    5251        #  The header can be customized by editing this 
    5352        #  string.  See "doc/variables.txt" for a description 
  • freeradius-server-2.1.4

    diff -Naur freeradius-server-2.1.4/raddb/modules/exec freeradius-server-2.1.4.new/raddb/modules/exec
    old new  
    1515#  of the program which is executed.  Due to RADIUS protocol 
    1616#  limitations, any output over 253 bytes will be ignored. 
    1717# 
    18 #  The RADIUS attributes from the user request will be placed 
    19 #  into environment variables of the executed program, as 
    20 #  described in "man unlang" and in doc/variables.txt 
     18#  The RADIUS attributes from the user request will be placed into environment 
     19#  variables of the executed program, as described in doc/variables.txt 
    2120# 
    2221#  See also "echo" for more sample configuration. 
    2322# 
  • freeradius-server-2.1.4

    diff -Naur freeradius-server-2.1.4/raddb/modules/pap freeradius-server-2.1.4.new/raddb/modules/pap
    old new  
    44 
    55# PAP module to authenticate users based on their stored password 
    66# 
    7 #  Supports multiple encryption/hash schemes.  See "man rlm_pap" 
    8 #  for details. 
     7#  Supports multiple encryption/hash schemes. 
    98# 
    109#  The "auto_header" configuration item can be set to "yes". 
    1110#  In this case, the module will look inside of the User-Password 
     
    1413#  with the correct value.  It will also automatically handle 
    1514#  Base-64 encoded data, hex strings, and binary data. 
    1615pap { 
    17         auto_header = no 
     16        auto_header = yes 
    1817} 
  • freeradius-server-2.1.4

    diff -Naur freeradius-server-2.1.4/raddb/modules/radutmp freeradius-server-2.1.4.new/raddb/modules/radutmp
    old new  
    1212        #  Where the file is stored.  It's not a log file, 
    1313        #  so it doesn't need rotating. 
    1414        # 
    15         filename = ${logdir}/radutmp 
     15        filename = ${radacctdir}/radutmp 
    1616 
    1717        #  The field in the packet to key on for the 
    1818        #  'user' name,  If you have other fields which you want 
  • raddb/modules/sradutmp

    diff -Naur freeradius-server-2.1.4/raddb/modules/sradutmp freeradius-server-2.1.4.new/raddb/modules/sradutmp
    old new  
    1010# then name "sradutmp" to identify it later in the "accounting" 
    1111# section. 
    1212radutmp sradutmp { 
    13         filename = ${logdir}/sradutmp 
     13        filename = ${radacctdir}/sradutmp 
    1414        perm = 0644 
    1515        callerid = "no" 
    1616} 
  • freeradius-server-2.1.4

    diff -Naur freeradius-server-2.1.4/raddb/preproxy_users freeradius-server-2.1.4.new/raddb/preproxy_users
    old new  
    11# 
    22#  Configuration file for the rlm_files module. 
    3 #  Please see rlm_files(5) manpage for more information. 
    43# 
    54#  $Id$ 
    65# 
  • freeradius-server-2.1.4

    diff -Naur freeradius-server-2.1.4/raddb/proxy.conf freeradius-server-2.1.4.new/raddb/proxy.conf
    old new  
    525525#  This section defines a new-style "realm".  Note the in version 2.0, 
    526526#  there are many fewer configuration items than in 1.x for a realm. 
    527527# 
    528 #  Automatic proxying is done via the "realms" module (see "man 
    529 #  rlm_realm").  To manually proxy the request put this entry in the 
    530 #  "users" file: 
     528#  Automatic proxying is done via the "realms" module. 
     529#  To manually proxy the request put this entry in the "users" file: 
    531530 
    532531# 
    533532# 
  • freeradius-server-2.1.4

    diff -Naur freeradius-server-2.1.4/raddb/radiusd.conf.in freeradius-server-2.1.4.new/raddb/radiusd.conf.in
    old new  
    88 
    99###################################################################### 
    1010# 
    11 #       Read "man radiusd" before editing this file.  See the section 
    12 #       titled DEBUGGING.  It outlines a method where you can quickly 
    13 #       obtain the configuration you want, without running into 
    14 #       trouble. 
    15 # 
    1611#       Run the server in debugging mode, and READ the output. 
    1712# 
    1813#               $ radiusd -X 
     
    4136#       file, it is exported through the API to modules that ask for 
    4237#       it. 
    4338# 
    44 #       See "man radiusd.conf" for documentation on the format of this 
    45 #       file.  Note that the individual configuration items are NOT 
    46 #       documented in that "man" page.  They are only documented here, 
    47 #       in the comments. 
    48 # 
    4939#       As of 2.0.0, FreeRADIUS supports a simple processing language 
    5040#       in the "authorize", "authenticate", "accounting", etc. sections. 
    51 #       See "man unlang" for details. 
    5241# 
    5342 
    5443prefix = @prefix@ 
     
    6655 
    6756#  Location of config and logfiles. 
    6857confdir = ${raddbdir} 
    69 run_dir = ${localstatedir}/run/${name} 
     58run_dir = ${localstatedir}/run 
    7059 
    7160# Should likely be ${localstatedir}/lib/radiusd 
    7261db_dir = ${raddbdir} 
     
    112101# 
    113102#  This file is written when ONLY running in daemon mode. 
    114103# 
    115 #  e.g.:  kill -HUP `cat /var/run/radiusd/radiusd.pid` 
     104#  e.g.:  kill -HUP `cat /var/run/radiusd.pid` 
    116105# 
    117106pidfile = ${run_dir}/${name}.pid 
    118107 
     
    283272        #  If your system does not support this feature, you will 
    284273        #  get an error if you try to use it. 
    285274        # 
    286 #       interface = eth0 
     275        interface = br-lan 
    287276 
    288277        #  Per-socket lists of clients.  This is a very useful feature. 
    289278        # 
     
    310299#       ipv6addr = :: 
    311300        port = 0 
    312301        type = acct 
    313 #       interface = eth0 
     302        interface = br-lan 
    314303#       clients = per_socket_clients 
    315304} 
    316305 
     
    445434        auth_goodpass = no 
    446435} 
    447436 
    448 #  The program to execute to do concurrency checks. 
    449 checkrad = ${sbindir}/checkrad 
    450  
    451437# SECURITY CONFIGURATION 
    452438# 
    453439#  There may be multiple methods of attacking on the server.  This 
     
    522508# 
    523509#  allowed values: {no, yes} 
    524510# 
    525 proxy_requests  = yes 
    526 $INCLUDE proxy.conf 
     511proxy_requests  = no 
     512#$INCLUDE proxy.conf 
    527513 
    528514 
    529515# CLIENTS CONFIGURATION 
     
    675661        # 
    676662#       $INCLUDE sql/mysql/counter.conf 
    677663 
    678         # 
    679         #  IP addresses managed in an SQL table. 
    680         # 
    681 #       $INCLUDE sqlippool.conf 
    682664} 
    683665 
    684666# Instantiation 
     
    703685        #  The entire command line (and output) must fit into 253 bytes. 
    704686        # 
    705687        #  e.g. Framed-Pool = `%{exec:/bin/echo foo}` 
    706         exec 
     688#       exec 
    707689 
    708690        # 
    709691        #  The expression module doesn't do authorization, 
     
    716698        #  listed in any other section.  See 'doc/rlm_expr' for 
    717699        #  more information. 
    718700        # 
    719         expr 
     701#       expr 
    720702 
    721703        # 
    722704        # We add the counter module here so that it registers 
    723705        # the check-name attribute before any module which sets 
    724706        # it 
    725707#       daily 
    726         expiration 
    727         logintime 
     708#       expiration 
     709#       logintime 
    728710 
    729711        # subsections here can be thought of as "virtual" modules. 
    730712        # 
     
    748730#       to multiple times. 
    749731# 
    750732###################################################################### 
    751 $INCLUDE policy.conf 
     733#$INCLUDE policy.conf 
    752734 
    753735###################################################################### 
    754736# 
     
    758740#       match the regular expression: /[a-zA-Z0-9_.]+/ 
    759741# 
    760742#       It allows you to define new virtual servers simply by placing 
    761 #       a file into the raddb/sites-enabled/ directory. 
     743#       a file into the /etc/freeradius2/sites/ directory. 
    762744# 
    763 $INCLUDE sites-enabled/ 
     745$INCLUDE sites/ 
    764746 
    765747###################################################################### 
    766748# 
     
    768750#       "authenticate {}", "accounting {}", have been moved to the 
    769751#       the file: 
    770752# 
    771 #               raddb/sites-available/default 
     753#               /etc/freeradius2/sites/default 
    772754# 
    773755#       This is the "default" virtual server that has the same 
    774756#       configuration as in version 1.0.x and 1.1.x.  The default 
    775757#       installation enables this virtual server.  You should 
    776758#       edit it to create policies for your local site. 
    777759# 
    778 #       For more documentation on virtual servers, see: 
    779 # 
    780 #               raddb/sites-available/README 
    781 # 
    782760###################################################################### 
  • raddb/sites-available/default

    diff -Naur freeradius-server-2.1.4/raddb/sites-available/default freeradius-server-2.1.4.new/raddb/sites-available/default
    old new  
    1111# 
    1212###################################################################### 
    1313# 
    14 #       Read "man radiusd" before editing this file.  See the section 
    15 #       titled DEBUGGING.  It outlines a method where you can quickly 
    16 #       obtain the configuration you want, without running into 
    17 #       trouble.  See also "man unlang", which documents the format 
    18 #       of this file. 
    19 # 
    2014#       This configuration is designed to work in the widest possible 
    2115#       set of circumstances, with the widest possible number of 
    2216#       authentication methods.  This means that in general, you should 
     
    6963        #  'raddb/huntgroups' files. 
    7064        # 
    7165        #  It also adds the %{Client-IP-Address} attribute to the request. 
    72         preprocess 
     66#       preprocess 
    7367 
    7468        # 
    7569        #  If you want to have a log of authentication requests, 
     
    8074        # 
    8175        #  The chap module will set 'Auth-Type := CHAP' if we are 
    8276        #  handling a CHAP request and Auth-Type has not already been set 
    83         chap 
     77#       chap 
    8478 
    8579        # 
    8680        #  If the users are logging in with an MS-CHAP-Challenge 
     
    8882        #  the MS-CHAP-Challenge attribute, and add 'Auth-Type := MS-CHAP' 
    8983        #  to the request, which will cause the server to then use 
    9084        #  the mschap module for authentication. 
    91         mschap 
    92  
    93         # 
    94         #  If you have a Cisco SIP server authenticating against 
    95         #  FreeRADIUS, uncomment the following line, and the 'digest' 
    96         #  line in the 'authenticate' section. 
    97 #       digest 
     85#       mschap 
    9886 
    9987        # 
    10088        #  Look for IPASS style 'realm/', and if not found, look for 
     
    10896        #  Otherwise, when the first style of realm doesn't match, 
    10997        #  the other styles won't be checked. 
    11098        # 
    111         suffix 
     99#       suffix 
    112100#       ntdomain 
    113101 
    114102        # 
     
    133121        } 
    134122 
    135123        # 
    136         #  Pull crypt'd passwords from /etc/passwd or /etc/shadow, 
    137         #  using the system API's to get the password.  If you want 
    138         #  to read /etc/passwd or /etc/shadow directly, see the 
    139         #  passwd module in radiusd.conf. 
    140         # 
    141         unix 
    142  
    143         # 
    144124        #  Read the 'users' file 
    145125        files 
    146126 
     
    152132#       sql 
    153133 
    154134        # 
    155         #  If you are using /etc/smbpasswd, and are also doing 
    156         #  mschap authentication, the un-comment this line, and 
    157         #  configure the 'etc_smbpasswd' module, above. 
    158 #       etc_smbpasswd 
    159  
    160         # 
    161135        #  The ldap module will set Auth-Type to LDAP if it has not 
    162136        #  already been set 
    163137#       ldap 
    164138 
    165139        # 
    166         #  Enforce daily limits on time spent logged in. 
    167 #       daily 
    168  
    169         # 
    170         # Use the checkval module 
    171 #       checkval 
    172  
    173         expiration 
    174         logintime 
    175  
    176         # 
    177140        #  If no other module has claimed responsibility for 
    178141        #  authentication, then try to use PAP.  This allows the 
    179142        #  other modules listed above to add a "known good" password 
     
    248211                mschap 
    249212        } 
    250213 
    251         # 
    252         #  If you have a Cisco SIP server authenticating against 
    253         #  FreeRADIUS, uncomment the following line, and the 'digest' 
    254         #  line in the 'authorize' section. 
    255 #       digest 
    256  
    257         # 
    258         #  Pluggable Authentication Modules. 
    259 #       pam 
    260  
    261         # 
    262         #  See 'man getpwent' for information on how the 'unix' 
    263         #  module checks the users password.  Note that packets 
    264         #  containing CHAP-Password attributes CANNOT be authenticated 
    265         #  against /etc/passwd!  See the FAQ for details. 
    266         #   
    267         unix 
    268  
    269214        # Uncomment it if you want to use ldap for authentication 
    270215        # 
    271216        # Note that this means "check plain-text password against 
     
    278223        # 
    279224        #  Allow EAP authentication. 
    280225        eap 
     226        pap 
    281227} 
    282228 
    283229 
    284230# 
    285231#  Pre-accounting.  Decide which accounting type to use. 
    286232# 
    287 preacct { 
    288         preprocess 
    289  
    290         # 
    291         #  Ensure that we have a semi-unique identifier for every 
    292         #  request, and many NAS boxes are broken. 
    293         acct_unique 
     233#preacct { 
     234#       preprocess 
    294235 
    295236        # 
    296237        #  Look for IPASS-style 'realm/', and if not found, look for 
     
    300241        #  Accounting requests are generally proxied to the same 
    301242        #  home server as authentication requests. 
    302243#       IPASS 
    303         suffix 
     244#       suffix 
    304245#       ntdomain 
    305246 
    306247        # 
    307248        #  Read the 'acct_users' file 
    308         files 
    309 } 
     249#       files 
     250#} 
    310251 
    311252# 
    312253#  Accounting.  Log the accounting data. 
     
    316257        #  Create a 'detail'ed log of the packets. 
    317258        #  Note that accounting requests which are proxied 
    318259        #  are also logged in the detail file. 
    319         detail 
     260#       detail 
    320261#       daily 
    321262 
    322         #  Update the wtmp file 
    323         # 
    324         #  If you don't use "radlast", you can delete this line. 
    325         unix 
    326  
    327263        # 
    328264        #  For Simultaneous-Use tracking. 
    329265        # 
     
    332268        radutmp 
    333269#       sradutmp 
    334270 
    335         #  Return an address to the IP Pool when we see a stop record. 
    336 #       main_pool 
    337  
    338271        # 
    339272        #  Log traffic to an SQL database. 
    340273        # 
     
    351284#       pgsql-voip 
    352285 
    353286        #  Filter attributes from the accounting response. 
    354         attr_filter.accounting_response 
     287        #attr_filter.accounting_response 
    355288 
    356289        # 
    357290        #  See "Autz-Type Status-Server" for how this works. 
     
    377310#  Post-Authentication 
    378311#  Once we KNOW that the user has been authenticated, there are 
    379312#  additional steps we can take. 
    380 post-auth { 
    381         #  Get an address from the IP Pool. 
    382 #       main_pool 
    383  
     313#post-auth { 
    384314        # 
    385315        #  If you want to have a log of authentication replies, 
    386316        #  un-comment the following line, and the 'detail reply_log' 
     
    406336        # 
    407337#       ldap 
    408338 
    409         exec 
     339#       exec 
    410340 
    411341        # 
    412342        #  Access-Reject packets are sent through the REJECT sub-section of the 
     
    415345        #  Add the ldap module name (or instance) if you have set  
    416346        #  'edir_account_policy_check = yes' in the ldap module configuration 
    417347        # 
    418         Post-Auth-Type REJECT { 
    419                 attr_filter.access_reject 
    420         } 
    421 } 
     348#       Post-Auth-Type REJECT { 
     349#               attr_filter.access_reject 
     350#       } 
     351#} 
    422352 
    423353# 
    424354#  When the server decides to proxy a request to a home server, 
     
    428358# 
    429359#  Only a few modules currently have this method. 
    430360# 
    431 pre-proxy { 
     361#pre-proxy { 
    432362#       attr_rewrite 
    433363 
    434364        #  Uncomment the following line if you want to change attributes 
     
    444374        #  server, un-comment the following line, and the 
    445375        #  'detail pre_proxy_log' section, above. 
    446376#       pre_proxy_log 
    447 } 
     377#} 
    448378 
    449379# 
    450380#  When the server receives a reply to a request it proxied 
    451381#  to a home server, the request may be massaged here, in the 
    452382#  post-proxy stage. 
    453383# 
    454 post-proxy { 
     384#post-proxy { 
    455385 
    456386        #  If you want to have a log of replies from a home server, 
    457387        #  un-comment the following line, and the 'detail post_proxy_log' 
     
    475405        #  hidden inside of the EAP packet, and the end server will 
    476406        #  reject the EAP request. 
    477407        # 
    478         eap 
     408#       eap 
    479409 
    480410        # 
    481411        #  If the server tries to proxy a request and fails, then the 
     
    497427#       Post-Proxy-Type Fail { 
    498428#                       detail 
    499429#       } 
    500  
    501 } 
     430#} 
    502431 
  • freeradius-server-2.1.4

    diff -Naur freeradius-server-2.1.4/raddb/users freeradius-server-2.1.4.new/raddb/users
    old new  
    11# 
    2 #       Please read the documentation file ../doc/processing_users_file, 
    3 #       or 'man 5 users' (after installing the server) for more information. 
     2#       Please read the documentation file ../doc/processing_users_file. 
    43# 
    54#       This file contains authentication security and configuration 
    65#       information for each user.  Accounting requests are NOT processed 
     
    169168#       by the terminal server in which case there may not be a "P" suffix. 
    170169#       The terminal server sends "Framed-Protocol = PPP" for auto PPP. 
    171170# 
    172 DEFAULT Framed-Protocol == PPP 
    173         Framed-Protocol = PPP, 
    174         Framed-Compression = Van-Jacobson-TCP-IP 
     171#DEFAULT        Framed-Protocol == PPP 
     172#       Framed-Protocol = PPP, 
     173#       Framed-Compression = Van-Jacobson-TCP-IP 
    175174 
    176175# 
    177176# Default for CSLIP: dynamic IP address, SLIP mode, VJ-compression. 
    178177# 
    179 DEFAULT Hint == "CSLIP" 
    180         Framed-Protocol = SLIP, 
    181         Framed-Compression = Van-Jacobson-TCP-IP 
     178#DEFAULT        Hint == "CSLIP" 
     179#       Framed-Protocol = SLIP, 
     180#       Framed-Compression = Van-Jacobson-TCP-IP 
    182181 
    183182# 
    184183# Default for SLIP: dynamic IP address, SLIP mode. 
    185184# 
    186 DEFAULT Hint == "SLIP" 
    187         Framed-Protocol = SLIP 
     185#DEFAULT        Hint == "SLIP" 
     186#       Framed-Protocol = SLIP 
    188187 
    189188# 
    190189# Last default: rlogin to our main server.