Ticket #8252: 002-config.patch

File 002-config.patch, 28.9 KB (added by ddxx0n, 7 years ago)

just manually corrected the lines which failed to patch

  • raddb/attrs

    diff -urB a/raddb/attrs b/raddb/attrs
    a b  
    11# 
    2 #       Configuration file for the rlm_attr_filter module. 
    3 #       Please see rlm_attr_filter(5) manpage for more information. 
    4 # 
    52#       $Id$ 
    63# 
    74#       This file contains security and configuration information 
  • raddb/attrs.access_reject

    diff -urB a/raddb/attrs.access_reject b/raddb/attrs.access_reject
    a b  
    11# 
    2 #       Configuration file for the rlm_attr_filter module. 
    3 #       Please see rlm_attr_filter(5) manpage for more information. 
    4 # 
    52#       $Id$ 
    63# 
    74#       This configuration file is used to remove almost all of the attributes 
  • raddb/attrs.accounting_response

    diff -urB a/raddb/attrs.accounting_response b/raddb/attrs.accounting_response
    a b  
    11# 
    2 #       Configuration file for the rlm_attr_filter module. 
    3 #       Please see rlm_attr_filter(5) manpage for more information. 
    4 # 
    52#       $Id$ 
    63# 
    74#       This configuration file is used to remove almost all of the attributes 
  • raddb/attrs.pre-proxy

    diff -urB a/raddb/attrs.pre-proxy b/raddb/attrs.pre-proxy
    a b  
    11# 
    2 #       Configuration file for the rlm_attr_filter module. 
    3 #       Please see rlm_attr_filter(5) manpage for more information. 
    4 # 
    52#       $Id$ 
    63# 
    74#       This file contains security and configuration information 
  • raddb/dictionary.in

    diff -urB a/raddb/dictionary.in b/raddb/dictionary.in
    a b  
    1111# 
    1212#       The filename given here should be an absolute path.  
    1313# 
    14 $INCLUDE        @prefix@/share/freeradius/dictionary 
     14$INCLUDE        @prefix@/share/freeradius2/dictionary 
    1515 
    1616# 
    1717#       Place additional attributes or $INCLUDEs here.  They will 
    1818#       over-ride the definitions in the pre-defined dictionaries. 
    1919# 
    20 #       See the 'man' page for 'dictionary' for information on 
    21 #       the format of the dictionary files. 
    2220 
    2321# 
    2422#       If you want to add entries to the dictionary file, 
  • raddb/eap.conf

    diff -urB a/raddb/eap.conf b/raddb/eap.conf
    a b  
    2727                #  then that EAP type takes precedence over the 
    2828                #  default type configured here. 
    2929                # 
    30                 default_eap_type = md5 
     30                default_eap_type = peap 
    3131 
    3232                #  A list is maintained to correlate EAP-Response 
    3333                #  packets with EAP-Request packets.  After a 
     
    7272                #  for wireless connections.  It is insecure, and does 
    7373                #  not provide for dynamic WEP keys. 
    7474                # 
    75                 md5 { 
    76                 } 
    77  
    78                 # Cisco LEAP 
    79                 # 
    80                 #  We do not recommend using LEAP in new deployments.  See: 
    81                 #  http://www.securiteam.com/tools/5TP012ACKE.html 
    82                 # 
    83                 #  Cisco LEAP uses the MS-CHAP algorithm (but not 
    84                 #  the MS-CHAP attributes) to perform it's authentication. 
    85                 # 
    86                 #  As a result, LEAP *requires* access to the plain-text 
    87                 #  User-Password, or the NT-Password attributes. 
    88                 #  'System' authentication is impossible with LEAP. 
    89                 # 
    90                 leap { 
    91                 } 
     75#               md5 { 
     76#               } 
    9277 
    9378                #  Generic Token Card. 
    9479                # 
     
    10186                #  the users password will go over the wire in plain-text, 
    10287                #  for anyone to see. 
    10388                # 
    104                 gtc { 
     89#               gtc { 
    10590                        #  The default challenge, which many clients 
    10691                        #  ignore.. 
    107                         #challenge = "Password: " 
     92#                       challenge = "Password: " 
    10893 
    10994                        #  The plain-text response which comes back 
    11095                        #  is put into a User-Password attribute, 
     
    118103                        #  configured for the request, and do the 
    119104                        #  authentication itself. 
    120105                        # 
    121                         auth_type = PAP 
    122                 } 
     106#                       auth_type = PAP 
     107#               } 
    123108 
    124109                ## EAP-TLS 
    125110                # 
     
    130115                #  built, the "tls", "ttls", and "peap" sections will 
    131116                #  be ignored. 
    132117                # 
    133                 #  Otherwise, when the server first starts in debugging 
    134                 #  mode, test certificates will be created.  See the 
    135                 #  "make_cert_command" below for details, and the README 
    136                 #  file in raddb/certs 
    137                 # 
    138118                #  These test certificates SHOULD NOT be used in a normal 
    139119                #  deployment.  They are created only to make it easier 
    140120                #  to install the server, and to perform some simple 
     
    205185                        #  In these cases, fragment size should be 
    206186                        #  1024 or less. 
    207187                        # 
    208                 #       fragment_size = 1024 
     188                        fragment_size = 1024 
    209189 
    210190                        #  include_length is a flag which is 
    211191                        #  by default set to yes If set to 
     
    215195                        #  message is included ONLY in the 
    216196                        #  First packet of a fragment series. 
    217197                        # 
    218                 #       include_length = yes 
     198                        include_length = yes 
    219199 
    220200                        #  Check the Certificate Revocation List 
    221201                        # 
     
    224204                        #    'c_rehash' is OpenSSL's command. 
    225205                        #  3) uncomment the line below. 
    226206                        #  5) Restart radiusd 
    227                 #       check_crl = yes 
    228                         CA_path = ${cadir} 
     207#                       check_crl = yes 
     208#                       CA_path = ${cadir} 
     209 
     210                        # 
     211                        #  If check_cert_issuer is set, the value will 
     212                        #  be checked against the DN of the issuer in 
     213                        #  the client certificate.  If the values do not 
     214                        #  match, the cerficate verification will fail, 
     215                        #  rejecting the user. 
     216                        # 
     217                        #  In 2.1.10 and later, this check can be done 
     218                        #  more generally by checking the value of the 
     219                        #  TLS-Client-Cert-Issuer attribute.  This check 
     220                        #  can be done via any mechanism you choose. 
     221                        # 
     222                        check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd" 
     223 
     224                        # 
     225                        #  If check_cert_cn is set, the value will 
     226                        #  be xlat'ed and checked against the CN 
     227                        #  in the client certificate.  If the values 
     228                        #  do not match, the certificate verification 
     229                        #  will fail rejecting the user. 
     230                        # 
     231                        #  This check is done only if the previous 
     232                        #  "check_cert_issuer" is not set, or if 
     233                        #  the check succeeds. 
     234                        # 
     235                        #  In 2.1.10 and later, this check can be done 
     236                        #  more generally by checking the value of the 
     237                        #  TLS-Client-Cert-CN attribute.  This check 
     238                        #  can be done via any mechanism you choose. 
     239                        # 
     240#                       check_cert_cn = %{User-Name} 
    229241 
    230                        # 
    231                        #  If check_cert_issuer is set, the value will 
    232                        #  be checked against the DN of the issuer in 
    233                        #  the client certificate.  If the values do not 
    234                        #  match, the cerficate verification will fail, 
    235                        #  rejecting the user. 
    236                        # 
    237                        #  In 2.1.10 and later, this check can be done 
    238                        #  more generally by checking the value of the 
    239                        #  TLS-Client-Cert-Issuer attribute.  This check 
    240                        #  can be done via any mechanism you choose. 
    241                        # 
    242                 #       check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd" 
    243  
    244                        # 
    245                        #  If check_cert_cn is set, the value will 
    246                        #  be xlat'ed and checked against the CN 
    247                        #  in the client certificate.  If the values 
    248                        #  do not match, the certificate verification 
    249                        #  will fail rejecting the user. 
    250                        # 
    251                        #  This check is done only if the previous 
    252                        #  "check_cert_issuer" is not set, or if 
    253                        #  the check succeeds. 
    254                        # 
    255                        #  In 2.1.10 and later, this check can be done 
    256                        #  more generally by checking the value of the 
    257                        #  TLS-Client-Cert-CN attribute.  This check 
    258                        #  can be done via any mechanism you choose. 
    259                        # 
    260                 #       check_cert_cn = %{User-Name} 
    261                 # 
    262242                        # Set this option to specify the allowed 
    263243                        # TLS cipher suites.  The format is listed 
    264244                        # in "man 1 ciphers". 
     
    266246 
    267247                        # 
    268248 
    269                         #  This configuration entry should be deleted 
    270                         #  once the server is running in a normal 
    271                         #  configuration.  It is here ONLY to make 
    272                         #  initial deployments easier. 
    273                         # 
    274                         make_cert_command = "${certdir}/bootstrap" 
    275  
    276249                        # 
    277250                        #  Session resumption / fast reauthentication 
    278251                        #  cache. 
     
    299272                        #  You probably also want "use_tunneled_reply = yes" 
    300273                        #  when using fast session resumption. 
    301274                        # 
    302                         cache { 
    303                               # 
    304                               #  Enable it.  The default is "no". 
    305                               #  Deleting the entire "cache" subsection 
    306                               #  Also disables caching. 
    307                               # 
    308                               #  You can disallow resumption for a 
    309                               #  particular user by adding the following 
    310                               #  attribute to the control item list: 
    311                               # 
    312                               #         Allow-Session-Resumption = No 
    313                               # 
    314                               #  If "enable = no" below, you CANNOT 
    315                               #  enable resumption for just one user 
    316                               #  by setting the above attribute to "yes". 
    317                               # 
    318                               enable = no 
    319  
    320                               # 
    321                               #  Lifetime of the cached entries, in hours. 
    322                               #  The sessions will be deleted after this 
    323                               #  time. 
    324                               # 
    325                               lifetime = 24 # hours 
    326  
    327                               # 
    328                               #  The maximum number of entries in the 
    329                               #  cache.  Set to "0" for "infinite". 
    330                               # 
    331                               #  This could be set to the number of users 
    332                               #  who are logged in... which can be a LOT. 
    333                               # 
    334                               max_entries = 255 
    335                         } 
     275#                       cache { 
     276                                # 
     277                                #  Enable it.  The default is "no". 
     278                                #  Deleting the entire "cache" subsection 
     279                                #  Also disables caching. 
     280                                # 
     281                                #  You can disallow resumption for a 
     282                                #  particular user by adding the following 
     283                                #  attribute to the control item list: 
     284                                # 
     285                                #               Allow-Session-Resumption = No 
     286                                # 
     287                                #  If "enable = no" below, you CANNOT 
     288                                #  enable resumption for just one user 
     289                                #  by setting the above attribute to "yes". 
     290                                # 
     291#                               enable = no 
     292 
     293                                # 
     294                                #  Lifetime of the cached entries, in hours. 
     295                                #  The sessions will be deleted after this 
     296                                #  time. 
     297                                # 
     298#                               lifetime = 24 # hours 
     299 
     300                                # 
     301                                #  The maximum number of entries in the 
     302                                #  cache.  Set to "0" for "infinite". 
     303                                # 
     304                                #  This could be set to the number of users 
     305                                #  who are logged in... which can be a LOT. 
     306                                # 
     307#                               max_entries = 255 
     308#                       } 
    336309 
    337310                        # 
    338311                        #  As of version 2.1.10, client certificates can be 
     
    394367                # 
    395368                #  in the control items for a request. 
    396369                # 
    397                 ttls { 
     370#               ttls { 
    398371                        #  The tunneled EAP session needs a default 
    399372                        #  EAP type which is separate from the one for 
    400373                        #  the non-tunneled EAP module.  Inside of the 
     
    402375                        #  If the request does not contain an EAP 
    403376                        #  conversation, then this configuration entry 
    404377                        #  is ignored. 
    405                         default_eap_type = md5 
     378#                       default_eap_type = mschapv2 
    406379 
    407380                        #  The tunneled authentication request does 
    408381                        #  not usually contain useful attributes 
     
    418391                        #  is copied to the tunneled request. 
    419392                        # 
    420393                        # allowed values: {no, yes} 
    421                         copy_request_to_tunnel = no 
     394#                       copy_request_to_tunnel = yes 
    422395 
    423396                        #  The reply attributes sent to the NAS are 
    424397                        #  usually based on the name of the user 
     
    431404                        #  the tunneled request. 
    432405                        # 
    433406                        # allowed values: {no, yes} 
    434                         use_tunneled_reply = no 
     407#                       use_tunneled_reply = no 
    435408 
    436409                        # 
    437410                        #  The inner tunneled request can be sent 
     
    443416                        #  the virtual server that processed the 
    444417                        #  outer requests. 
    445418                        # 
    446                         virtual_server = "inner-tunnel" 
     419#                       virtual_server = "inner-tunnel" 
    447420 
    448421                        #  This has the same meaning as the 
    449422                        #  same field in the "tls" module, above. 
    450423                        #  The default value here is "yes". 
    451424                #       include_length = yes 
    452                 } 
     425#               } 
    453426 
    454427                ################################################## 
    455428                # 
     
    518491 
    519492                        #  the PEAP module also has these configuration 
    520493                        #  items, which are the same as for TTLS. 
    521                         copy_request_to_tunnel = no 
    522                         use_tunneled_reply = no 
     494                        copy_request_to_tunnel = yes 
     495                        use_tunneled_reply = yes 
    523496 
    524497                        #  When the tunneled session is proxied, the 
    525498                        #  home server may not understand EAP-MSCHAP-V2. 
    526499                        #  Set this entry to "no" to proxy the tunneled 
    527500                        #  EAP-MSCHAP-V2 as normal MSCHAPv2. 
    528                 #       proxy_tunneled_request_as_eap = yes 
     501                        proxy_tunneled_request_as_eap = no 
    529502 
    530                         # 
    531                         #  The inner tunneled request can be sent 
    532                         #  through a virtual server constructed 
    533                         #  specifically for this purpose. 
    534                         # 
    535                         #  If this entry is commented out, the inner 
    536                         #  tunneled request will be sent through 
    537                         #  the virtual server that processed the 
    538                         #  outer requests. 
    539                         # 
    540                         virtual_server = "inner-tunnel" 
     503                        EAP-TLS-Require-Client-Cert = no 
    541504                } 
    542505 
    543506                # 
  • raddb/ldap.attrmap

    diff -urB a/raddb/ldap.attrmap b/raddb/ldap.attrmap
    a b  
    1313#                           If not present, defaults to "==" for checkItems, 
    1414#                           and "=" for replyItems. 
    1515#                           If present, the operator here should be one 
    16 #                           of the same operators as defined in the "users"3 
    17 #                           file ("man users", or "man 5 users"). 
     16#                           of the same operators as defined in the "users" file. 
    1817#                           If an operator is present in the value of the 
    1918#                           LDAP entry (i.e. ":=foo"), then it over-rides 
    2019#                           both the default, and any operator given here. 
  • raddb/modules/counter

    diff -urB a/raddb/modules/counter b/raddb/modules/counter
    a b  
    6969#  'check-name' attribute. 
    7070# 
    7171counter daily { 
    72         filename = ${db_dir}/db.daily 
     72        filename = ${radacctdir}/db.daily 
    7373        key = User-Name 
    7474        count-attribute = Acct-Session-Time 
    7575        reset = daily 
  • raddb/modules/detail

    diff -urB a/raddb/modules/detail b/raddb/modules/detail
    a b  
    4646 
    4747        # 
    4848        #  Every entry in the detail file has a header which 
    49         #  is a timestamp.  By default, we use the ctime 
    50         #  format (see "man ctime" for details). 
     49        #  is a timestamp.  By default, we use the ctime format. 
    5150        # 
    5251        #  The header can be customized by editing this 
    5352        #  string.  See "doc/variables.txt" for a description 
  • raddb/modules/exec

    diff -urB a/raddb/modules/exec b/raddb/modules/exec
    a b  
    1515#  of the program which is executed.  Due to RADIUS protocol 
    1616#  limitations, any output over 253 bytes will be ignored. 
    1717# 
    18 #  The RADIUS attributes from the user request will be placed 
    19 #  into environment variables of the executed program, as 
    20 #  described in "man unlang" and in doc/variables.txt 
     18#  The RADIUS attributes from the user request will be placed into environment 
     19#  variables of the executed program, as described in doc/variables.txt 
    2120# 
    2221#  See also "echo" for more sample configuration. 
    2322# 
  • raddb/modules/pap

    diff -urB a/raddb/modules/pap b/raddb/modules/pap
    a b  
    44 
    55# PAP module to authenticate users based on their stored password 
    66# 
    7 #  Supports multiple encryption/hash schemes.  See "man rlm_pap" 
    8 #  for details. 
     7#  Supports multiple encryption/hash schemes. 
    98# 
    109#  The "auto_header" configuration item can be set to "yes". 
    1110#  In this case, the module will look inside of the User-Password 
     
    1413#  with the correct value.  It will also automatically handle 
    1514#  Base-64 encoded data, hex strings, and binary data. 
    1615pap { 
    17         auto_header = no 
     16        auto_header = yes 
    1817} 
  • raddb/modules/radutmp

    diff -urB a/raddb/modules/radutmp b/raddb/modules/radutmp
    a b  
    1212        #  Where the file is stored.  It's not a log file, 
    1313        #  so it doesn't need rotating. 
    1414        # 
    15         filename = ${logdir}/radutmp 
     15        filename = ${radacctdir}/radutmp 
    1616 
    1717        #  The field in the packet to key on for the 
    1818        #  'user' name,  If you have other fields which you want 
  • raddb/modules/sradutmp

    diff -urB a/raddb/modules/sradutmp b/raddb/modules/sradutmp
    a b  
    1010# then name "sradutmp" to identify it later in the "accounting" 
    1111# section. 
    1212radutmp sradutmp { 
    13         filename = ${logdir}/sradutmp 
     13        filename = ${radacctdir}/sradutmp 
    1414        perm = 0644 
    1515        callerid = "no" 
    1616} 
  • raddb/preproxy_users

    diff -urB a/raddb/preproxy_users b/raddb/preproxy_users
    a b  
    11# 
    22#  Configuration file for the rlm_files module. 
    3 #  Please see rlm_files(5) manpage for more information. 
    43# 
    54#  $Id$ 
    65# 
  • raddb/proxy.conf

    diff -urB a/raddb/proxy.conf b/raddb/proxy.conf
    a b  
    573573#  This section defines a new-style "realm".  Note the in version 2.0, 
    574574#  there are many fewer configuration items than in 1.x for a realm. 
    575575# 
    576 #  Automatic proxying is done via the "realms" module (see "man 
    577 #  rlm_realm").  To manually proxy the request put this entry in the 
    578 #  "users" file: 
     576#  Automatic proxying is done via the "realms" module. 
     577#  To manually proxy the request put this entry in the "users" file: 
    579578 
    580579# 
    581580# 
  • raddb/radiusd.conf.in

    diff -urB a/raddb/radiusd.conf.in b/raddb/radiusd.conf.in
    a b  
    88 
    99###################################################################### 
    1010# 
    11 #       Read "man radiusd" before editing this file.  See the section 
    12 #       titled DEBUGGING.  It outlines a method where you can quickly 
    13 #       obtain the configuration you want, without running into 
    14 #       trouble. 
    15 # 
    1611#       Run the server in debugging mode, and READ the output. 
    1712# 
    1813#               $ radiusd -X 
     
    4136#       file, it is exported through the API to modules that ask for 
    4237#       it. 
    4338# 
    44 #       See "man radiusd.conf" for documentation on the format of this 
    45 #       file.  Note that the individual configuration items are NOT 
    46 #       documented in that "man" page.  They are only documented here, 
    47 #       in the comments. 
    48 # 
    4939#       As of 2.0.0, FreeRADIUS supports a simple processing language 
    5040#       in the "authorize", "authenticate", "accounting", etc. sections. 
    51 #       See "man unlang" for details. 
    5241# 
    5342 
    5443prefix = @prefix@ 
     
    6655 
    6756#  Location of config and logfiles. 
    6857confdir = ${raddbdir} 
    69 run_dir = ${localstatedir}/run/${name} 
     58run_dir = ${localstatedir}/run 
    7059 
    7160# Should likely be ${localstatedir}/lib/radiusd 
    7261db_dir = ${raddbdir} 
     
    112101# 
    113102#  This file is written when ONLY running in daemon mode. 
    114103# 
    115 #  e.g.:  kill -HUP `cat /var/run/radiusd/radiusd.pid` 
     104#  e.g.:  kill -HUP `cat /var/run/radiusd.pid` 
    116105# 
    117106pidfile = ${run_dir}/${name}.pid 
    118107 
     
    290279        #  If your system does not support this feature, you will 
    291280        #  get an error if you try to use it. 
    292281        # 
    293 #       interface = eth0 
     282        interface = br-lan 
    294283 
    295284        #  Per-socket lists of clients.  This is a very useful feature. 
    296285        # 
     
    317306#       ipv6addr = :: 
    318307        port = 0 
    319308        type = acct 
    320 #       interface = eth0 
     309        interface = br-lan 
    321310#       clients = per_socket_clients 
    322311} 
    323312 
     
    464453#       msg_badpass = "" 
    465454} 
    466455 
    467 #  The program to execute to do concurrency checks. 
    468 checkrad = ${sbindir}/checkrad 
    469  
    470456# SECURITY CONFIGURATION 
    471457# 
    472458#  There may be multiple methods of attacking on the server.  This 
     
    541527# 
    542528#  allowed values: {no, yes} 
    543529# 
    544 proxy_requests  = yes 
    545 $INCLUDE proxy.conf 
     530proxy_requests  = no 
     531#$INCLUDE proxy.conf 
    546532 
    547533 
    548534# CLIENTS CONFIGURATION 
     
    694680        # 
    695681#       $INCLUDE sql/mysql/counter.conf 
    696682 
    697         # 
    698         #  IP addresses managed in an SQL table. 
    699         # 
    700 #       $INCLUDE sqlippool.conf 
    701683} 
    702684 
    703685# Instantiation 
     
    722704        #  The entire command line (and output) must fit into 253 bytes. 
    723705        # 
    724706        #  e.g. Framed-Pool = `%{exec:/bin/echo foo}` 
    725         exec 
     707#       exec 
    726708 
    727709        # 
    728710        #  The expression module doesn't do authorization, 
     
    735717        #  listed in any other section.  See 'doc/rlm_expr' for 
    736718        #  more information. 
    737719        # 
    738         expr 
     720#       expr 
    739721 
    740722        # 
    741723        # We add the counter module here so that it registers 
    742724        # the check-name attribute before any module which sets 
    743725        # it 
    744726#       daily 
    745         expiration 
    746         logintime 
     727#       expiration 
     728#       logintime 
    747729 
    748730        # subsections here can be thought of as "virtual" modules. 
    749731        # 
     
    767749#       to multiple times. 
    768750# 
    769751###################################################################### 
    770 $INCLUDE policy.conf 
     752#$INCLUDE policy.conf 
    771753 
    772754###################################################################### 
    773755# 
     
    777759#       match the regular expression: /[a-zA-Z0-9_.]+/ 
    778760# 
    779761#       It allows you to define new virtual servers simply by placing 
    780 #       a file into the raddb/sites-enabled/ directory. 
     762#       a file into the /etc/freeradius2/sites/ directory. 
    781763# 
    782 $INCLUDE sites-enabled/ 
     764$INCLUDE sites/ 
    783765 
    784766###################################################################### 
    785767# 
     
    787769#       "authenticate {}", "accounting {}", have been moved to the 
    788770#       the file: 
    789771# 
    790 #               raddb/sites-available/default 
     772#               /etc/freeradius2/sites/default 
    791773# 
    792774#       This is the "default" virtual server that has the same 
    793775#       configuration as in version 1.0.x and 1.1.x.  The default 
    794776#       installation enables this virtual server.  You should 
    795777#       edit it to create policies for your local site. 
    796778# 
    797 #       For more documentation on virtual servers, see: 
    798 # 
    799 #               raddb/sites-available/README 
    800 # 
    801779###################################################################### 
  • raddb/sites-available/default

    diff -urB a/raddb/sites-available/default b/raddb/sites-available/default
    a b  
    1111# 
    1212###################################################################### 
    1313# 
    14 #       Read "man radiusd" before editing this file.  See the section 
    15 #       titled DEBUGGING.  It outlines a method where you can quickly 
    16 #       obtain the configuration you want, without running into 
    17 #       trouble.  See also "man unlang", which documents the format 
    18 #       of this file. 
    19 # 
    2014#       This configuration is designed to work in the widest possible 
    2115#       set of circumstances, with the widest possible number of 
    2216#       authentication methods.  This means that in general, you should 
     
    6761        # 
    6862        #  It takes care of processing the 'raddb/hints' and the 
    6963        #  'raddb/huntgroups' files. 
    70         preprocess 
     64#       preprocess 
    7165 
    7266        # 
    7367        #  If you want to have a log of authentication requests, 
     
    7872        # 
    7973        #  The chap module will set 'Auth-Type := CHAP' if we are 
    8074        #  handling a CHAP request and Auth-Type has not already been set 
    81         chap 
     75#       chap 
    8276 
    8377        # 
    8478        #  If the users are logging in with an MS-CHAP-Challenge 
     
    8983        mschap 
    9084 
    9185        # 
    92         #  If you have a Cisco SIP server authenticating against 
    93         #  FreeRADIUS, uncomment the following line, and the 'digest' 
    94         #  line in the 'authenticate' section. 
    95         digest 
    96  
    97         # 
    9886        #  The WiMAX specification says that the Calling-Station-Id 
    9987        #  is 6 octets of the MAC.  This definition conflicts with 
    10088        #  RFC 3580, and all common RADIUS practices.  Un-commenting 
     
    115103        #  Otherwise, when the first style of realm doesn't match, 
    116104        #  the other styles won't be checked. 
    117105        # 
    118         suffix 
     106#       suffix 
    119107#       ntdomain 
    120108 
    121109        # 
     
    140128        } 
    141129 
    142130        # 
    143         #  Pull crypt'd passwords from /etc/passwd or /etc/shadow, 
    144         #  using the system API's to get the password.  If you want 
    145         #  to read /etc/passwd or /etc/shadow directly, see the 
    146         #  passwd module in radiusd.conf. 
    147         # 
    148 #       unix 
    149  
    150         # 
    151131        #  Read the 'users' file 
    152132        files 
    153133 
     
    159139#       sql 
    160140 
    161141        # 
    162         #  If you are using /etc/smbpasswd, and are also doing 
    163         #  mschap authentication, the un-comment this line, and 
    164         #  configure the 'etc_smbpasswd' module, above. 
    165 #       etc_smbpasswd 
    166  
    167         # 
    168142        #  The ldap module will set Auth-Type to LDAP if it has not 
    169143        #  already been set 
    170144#       ldap 
    171145 
    172146        # 
    173         #  Enforce daily limits on time spent logged in. 
    174 #       daily 
    175  
    176         # 
    177         # Use the checkval module 
    178 #       checkval 
    179  
    180         expiration 
    181         logintime 
    182  
    183         # 
    184147        #  If no other module has claimed responsibility for 
    185148        #  authentication, then try to use PAP.  This allows the 
    186149        #  other modules listed above to add a "known good" password 
     
    255218                mschap 
    256219        } 
    257220 
    258         # 
    259         #  If you have a Cisco SIP server authenticating against 
    260         #  FreeRADIUS, uncomment the following line, and the 'digest' 
    261         #  line in the 'authorize' section. 
    262         digest 
    263  
    264         # 
    265         #  Pluggable Authentication Modules. 
    266 #       pam 
    267  
    268         # 
    269         #  See 'man getpwent' for information on how the 'unix' 
    270         #  module checks the users password.  Note that packets 
    271         #  containing CHAP-Password attributes CANNOT be authenticated 
    272         #  against /etc/passwd!  See the FAQ for details. 
    273         # 
    274         #  For normal "crypt" authentication, the "pap" module should 
    275         #  be used instead of the "unix" module.  The "unix" module should 
    276         #  be used for authentication ONLY for compatibility with legacy 
    277         #  FreeRADIUS configurations. 
    278         # 
    279         unix 
    280  
    281221        # Uncomment it if you want to use ldap for authentication 
    282222        # 
    283223        # Note that this means "check plain-text password against 
     
    312252# 
    313253#  Pre-accounting.  Decide which accounting type to use. 
    314254# 
    315 preacct { 
    316         preprocess 
     255#preacct { 
     256#       preprocess 
    317257 
    318258        # 
    319259        #  Session start times are *implied* in RADIUS. 
     
    336276        # 
    337277        #  Ensure that we have a semi-unique identifier for every 
    338278        #  request, and many NAS boxes are broken. 
    339         acct_unique 
     279#       acct_unique 
    340280 
    341281        # 
    342282        #  Look for IPASS-style 'realm/', and if not found, look for 
     
    346286        #  Accounting requests are generally proxied to the same 
    347287        #  home server as authentication requests. 
    348288#       IPASS 
    349         suffix 
     289#       suffix 
    350290#       ntdomain 
    351291 
    352292        # 
    353293        #  Read the 'acct_users' file 
    354         files 
    355 } 
     294#       files 
     295#} 
    356296 
    357297# 
    358298#  Accounting.  Log the accounting data. 
     
    362302        #  Create a 'detail'ed log of the packets. 
    363303        #  Note that accounting requests which are proxied 
    364304        #  are also logged in the detail file. 
    365         detail 
     305#       detail 
    366306#       daily 
    367307 
    368         #  Update the wtmp file 
    369         # 
    370         #  If you don't use "radlast", you can delete this line. 
    371         unix 
    372  
    373308        # 
    374309        #  For Simultaneous-Use tracking. 
    375310        # 
     
    378313        radutmp 
    379314#       sradutmp 
    380315 
    381         #  Return an address to the IP Pool when we see a stop record. 
    382 #       main_pool 
    383  
    384316        # 
    385317        #  Log traffic to an SQL database. 
    386318        # 
     
    414346        exec 
    415347 
    416348        #  Filter attributes from the accounting response. 
    417         attr_filter.accounting_response 
     349        #attr_filter.accounting_response 
    418350 
    419351        # 
    420352        #  See "Autz-Type Status-Server" for how this works. 
     
    440372#  Post-Authentication 
    441373#  Once we KNOW that the user has been authenticated, there are 
    442374#  additional steps we can take. 
    443 post-auth { 
    444         #  Get an address from the IP Pool. 
    445 #       main_pool 
    446  
     375#post-auth { 
    447376        # 
    448377        #  If you want to have a log of authentication replies, 
    449378        #  un-comment the following line, and the 'detail reply_log' 
     
    469398        # 
    470399#       ldap 
    471400 
    472         # For Exec-Program and Exec-Program-Wait 
    473         exec 
    474  
    475401        # 
    476402        #  Calculate the various WiMAX keys.  In order for this to work, 
    477403        #  you will need to define the WiMAX NAI, usually via 
     
    540466        #  Add the ldap module name (or instance) if you have set  
    541467        #  'edir_account_policy_check = yes' in the ldap module configuration 
    542468        # 
    543         Post-Auth-Type REJECT { 
    544                 # log failed authentications in SQL, too. 
     469#       Post-Auth-Type REJECT { 
     470#               # log failed authentications in SQL, too. 
    545471#               sql 
    546                 attr_filter.access_reject 
    547         } 
    548 } 
     472#               attr_filter.access_reject 
     473#       } 
     474#} 
    549475 
    550476# 
    551477#  When the server decides to proxy a request to a home server, 
     
    555481# 
    556482#  Only a few modules currently have this method. 
    557483# 
    558 pre-proxy { 
     484#pre-proxy { 
    559485#       attr_rewrite 
    560486 
    561487        #  Uncomment the following line if you want to change attributes 
     
    571497        #  server, un-comment the following line, and the 
    572498        #  'detail pre_proxy_log' section, above. 
    573499#       pre_proxy_log 
    574 } 
     500#} 
    575501 
    576502# 
    577503#  When the server receives a reply to a request it proxied 
    578504#  to a home server, the request may be massaged here, in the 
    579505#  post-proxy stage. 
    580506# 
    581 post-proxy { 
     507#post-proxy { 
    582508 
    583509        #  If you want to have a log of replies from a home server, 
    584510        #  un-comment the following line, and the 'detail post_proxy_log' 
     
    602528        #  hidden inside of the EAP packet, and the end server will 
    603529        #  reject the EAP request. 
    604530        # 
    605         eap 
     531#       eap 
    606532 
    607533        # 
    608534        #  If the server tries to proxy a request and fails, then the 
     
    624550#       Post-Proxy-Type Fail { 
    625551#                       detail 
    626552#       } 
    627 } 
     553#} 
    628554 
  • raddb/users

    diff -urB a/raddb/users b/raddb/users
    a b  
    11# 
    2 #       Please read the documentation file ../doc/processing_users_file, 
    3 #       or 'man 5 users' (after installing the server) for more information. 
     2#       Please read the documentation file ../doc/processing_users_file. 
    43# 
    54#       This file contains authentication security and configuration 
    65#       information for each user.  Accounting requests are NOT processed 
     
    169168#       by the terminal server in which case there may not be a "P" suffix. 
    170169#       The terminal server sends "Framed-Protocol = PPP" for auto PPP. 
    171170# 
    172 DEFAULT Framed-Protocol == PPP 
    173         Framed-Protocol = PPP, 
    174         Framed-Compression = Van-Jacobson-TCP-IP 
     171#DEFAULT        Framed-Protocol == PPP 
     172#       Framed-Protocol = PPP, 
     173#       Framed-Compression = Van-Jacobson-TCP-IP 
    175174 
    176175# 
    177176# Default for CSLIP: dynamic IP address, SLIP mode, VJ-compression. 
    178177# 
    179 DEFAULT Hint == "CSLIP" 
    180         Framed-Protocol = SLIP, 
    181         Framed-Compression = Van-Jacobson-TCP-IP 
     178#DEFAULT        Hint == "CSLIP" 
     179#       Framed-Protocol = SLIP, 
     180#       Framed-Compression = Van-Jacobson-TCP-IP 
    182181 
    183182# 
    184183# Default for SLIP: dynamic IP address, SLIP mode. 
    185184# 
    186 DEFAULT Hint == "SLIP" 
    187         Framed-Protocol = SLIP 
     185#DEFAULT        Hint == "SLIP" 
     186#       Framed-Protocol = SLIP 
    188187 
    189188# 
    190189# Last default: rlogin to our main server.