radsecproxy.conf Beispielkonfiguration

Auf dieser Seite haben wir einmal eine komplette Radsecproxy-Konfiguration als Beispiel bereitgestellt.

# Falls ein FreeRADIUS auf dem selben Host läuft
#   ist der UDP-Port 1812 schon belegt.
#   127.0.0.1 kann ggf. noch angepasst werden.
ListenUDP 127.0.0.1:1814

# Ein angemessenes Log-Level wählen.
#   Als Standard ist 3 angemessen.
#   Bei Fehlern kann es bis auf 5 angehoben werden.
#   (Sollte nicht dauerhaft auf 5 stehen)
LogLevel 5

# Logs können entweder direkt in eine Datei geschrieben
#   oder an Syslog übergeben werden.
LogDestination x-syslog:///log_local2

# Das ist eine Beispiel-TLS-Konfiguration für die eduroam-CA
tls default {
    CACertificateFile   /etc/radsecproxy/eduroam-ca.pem
    CertificateFile     /etc/radsecproxy/ihr-eduroam-ca-zertifikat.pem
    CertificateKeyFile  /etc/radsecproxy/ihr-eduroam-ca-private-key.pem
}


###########
# Clients #
###########

# Client-Konfigurationen für Access Points
client 198.51.100.2 {
    type udp
    secret <shared secret>
}
client 198.51.100.3 {
    type udp
    secret <shared secret>
}


########################
# Lokale RADIUS-Server #
########################

client ihr-radius-server-1 {
    type udp
    host 203.0.113.1
    secret <shared secret>
}
client ihr-radius-server-2 {
    type udp
    host 203.0.113.2
    secret <shared secret>
}
server ihr-radius-server-1 {
    type udp
    host 203.0.113.1
    secret <shared secret>
}
server ihr-radius-server-2 {
    type udp
    host 203.0.113.2
    secret <shared secret>
}


######################
# Verbindung zum DFN #
######################

client tld1.eduroam.de {
    type tls
}
client tld2.eduroam.de {
    type tls
}
client tld3.eduroam.de {
    type tls
}
server tld1.eduroam.de {
    type tls
    StatusServer on
}
server tld2.eduroam.de {
    type tls
    StatusServer on
}
server tld3.eduroam.de {
    type tls
    StatusServer on
}


#######################
# Realm Konfiguration #
#######################

# Eigene Realm
realm ihre-realm.de {
    server ihr-radius-server-1
    server ihr-radius-server-2
}

# Ausfiltern von ungültigen Realms
realm /\.$/ {
    replymessage "Misconfigured client: Realm must not end with dot."
}
realm /\.3gppnetwork.*/ {
    replymessage "Misconfigured client: 3GPP realm is not usable for eduroam."
}
realm /\s/ {
    replymessage "Misconfigured client: Realm must not contain spaces"
}

# Default-Regel: Alles unbekannte zu den DFN-Servern weiterleiten
realm * {
    server tld1.eduroam.de
    server tld2.eduroam.de
    server tld3.eduroam.de
}
  • Zuletzt geändert: vor 24 Monaten