radsecproxy.conf Beispielkonfiguration
Auf dieser Seite haben wir einmal eine komplette Radsecproxy-Konfiguration als Beispiel bereitgestellt.
# Falls ein FreeRADIUS auf dem selben Host läuft
# ist der UDP-Port 1812 schon belegt.
# 127.0.0.1 kann ggf. noch angepasst werden.
ListenUDP 127.0.0.1:1814
# Ein angemessenes Log-Level wählen.
# Als Standard ist 3 angemessen.
# Bei Fehlern kann es bis auf 5 angehoben werden.
# (Sollte nicht dauerhaft auf 5 stehen)
LogLevel 5
# Logs können entweder direkt in eine Datei geschrieben
# oder an Syslog übergeben werden.
LogDestination x-syslog:///log_local2
# Das ist eine Beispiel-TLS-Konfiguration für die eduroam-CA
tls default {
CACertificateFile /etc/radsecproxy/eduroam-ca.pem
CertificateFile /etc/radsecproxy/ihr-eduroam-ca-zertifikat.pem
CertificateKeyFile /etc/radsecproxy/ihr-eduroam-ca-private-key.pem
}
###########
# Clients #
###########
# Client-Konfigurationen für Access Points
client 198.51.100.2 {
type udp
secret <shared secret>
}
client 198.51.100.3 {
type udp
secret <shared secret>
}
########################
# Lokale RADIUS-Server #
########################
client ihr-radius-server-1 {
type udp
host 203.0.113.1
secret <shared secret>
}
client ihr-radius-server-2 {
type udp
host 203.0.113.2
secret <shared secret>
}
server ihr-radius-server-1 {
type udp
host 203.0.113.1
secret <shared secret>
}
server ihr-radius-server-2 {
type udp
host 203.0.113.2
secret <shared secret>
}
######################
# Verbindung zum DFN #
######################
client tld1.eduroam.de {
type tls
}
client tld2.eduroam.de {
type tls
}
client tld3.eduroam.de {
type tls
}
server tld1.eduroam.de {
type tls
StatusServer on
}
server tld2.eduroam.de {
type tls
StatusServer on
}
server tld3.eduroam.de {
type tls
StatusServer on
}
#######################
# Realm Konfiguration #
#######################
# Eigene Realm
realm ihre-realm.de {
server ihr-radius-server-1
server ihr-radius-server-2
}
# Ausfiltern von ungültigen Realms
realm /\.$/ {
replymessage "Misconfigured client: Realm must not end with dot."
}
realm /\.3gppnetwork.*/ {
replymessage "Misconfigured client: 3GPP realm is not usable for eduroam."
}
realm /\s/ {
replymessage "Misconfigured client: Realm must not contain spaces"
}
# Default-Regel: Alles unbekannte zu den DFN-Servern weiterleiten
realm * {
server tld1.eduroam.de
server tld2.eduroam.de
server tld3.eduroam.de
}