<div class="aui-message error aui-message-error">
<p class="title">
<span class="aui-icon icon-error"></span>
<strong>Comala Metadata License Details</strong>
</p>
<p>Invalid commercial evaluation license with a expired error. Please click <a href="https://marketplace.atlassian.com/plugins/org.andya.confluence.plugins.metadata" target="_blank">here</a> to purchase a commercial license.</p>
</div>
Описание
Сервис, используемый используется для обеспечения механизмов ААА при обслуживании Wi-Fi пользователей, подключаемых с использованием механизма безопасности WPA-enterprise (EAP) (точки доступа при подключении клиента производят его авторизацию и аутентификацию по протоколу RADIUS с данными серверами, серверы, в свою очередь, производят запрос клиентских данных из базы данных на серверах DB.), а также выполняет вспомогательные функции при авторизации пользователей через ESR/BRAS.
Сервис устанавливается при помощи пакета eltex-radius.
Способ запуска/остановки
Для остановки сервиса используется команда:
service eltex-radius stop
Для запуска сервиса после остановки используется команда:
service eltex-radius start
Для проверки — запущен ли сервис в данный момент или нет, используется команда:
service eltex-radius status
В ответ последует сообщение:
eltex-radius start/running, process <pid>
в случае если сервис запущен, или
eltex-radius stop/waiting
в случае если сервис не запущен.
Конфигурация
Конфигурация находится в /etc/eltex-radius. Из всех файлов рекомендуется редактировать только следующие:
local.conf- все основные параметры, которые может понадобиться редактироватьcerts/server.crt- сертификат сервера, используемый в EAP-TLScerts/server.key- приватный ключ сервера, используемый в EAP-TLScerts/ca/*.pem- сертификаты корневых CA (при настройке EAP-TLS сертификат CA рекомендуется назватьlocal.pemи прописать вlocal.conf)
Запуск в отладочном режиме: eltex-radius -X
/etc/eltex-radius/local.conf
Основной конфигурационный файл. Содержит следующие параметры:
- Настройка прослушиваемых портов:
auth_port=1812 acct_port=1813 inner_tunnel_port=18121
- Настройка подключения к базе данных radius:
# MySQL database db_host="localhost" db_port=3306 db_login="radius" db_password="radpass" db_name="radius"
- Опция, включающая/отключающая проверку блокировки SSID. Если установлена 1, то на заблокированном через EMS SSID пользователи не смогут пройти авторизацию.
ssid_check_enabled=1
- Настройка подключения к базе данных wireless:
# MySQL 'wireless' database wireless_db_host="localhost" wireless_db_port=3306 wireless_db_login="javauser" wireless_db_password="javapassword" wireless_db_name="wireless"
- Подключение к сервису PCRF:
# PCRF pcrf_host="127.0.0.1" pcrf_port=7080 pcrf_enabled=1
- Название CA сертификата, используемого для авторизации по TLS и ключ для серверного сертификата. Эти параметры будут изменены автоматически при выполнении скрипта установки сертификата, который находится в пакете eltex-radius-nbi.
# EAP ca_cert_name="local.pem" tls_key_password="1234
- Настройка проксирования запросов на сторонний RADIUS сервер:
proxy_auth=0 proxy_domain_regex="^(.+\.)?enterprise\.root$" proxy_host="127.0.0.1" proxy_port=18121 proxy_secret="eltex"
- Активация специальных алгоритмов обработки запросов на авторизацию для устройств некоторых производителей.
ubi_vendor_regex="Apple|Ubiquiti" vendor_group_enabled=1
- Настройка динамических клиентов для авторизации:
# Settings of runtime NAS discovery dynamic_clients=false dynamic_client_subnet=192.168.0.0/16 dynamic_client_lifetime=3600 dynamic_client_rate_limit=false
Таблица NAS
Данная таблица находится в БД radius и содержит адреса клиентов (точек доступа), имеющих право отправлять запросы на проведение авторизации пользователей. Если клиент не включен в эту таблицу, то запросы авторизации будут игнорироваться. После обновления состава этой таблице необходим перезапуск eltex-radius. При изменении состава дерева объектов в EMS (добавлении/удалении точек доступа) происходит автоматическое обновление таблицы и перезапуск eltex-radius.
Логирование
Настройки логирования сервера содержатся в секции log файла /etc/eltex-radius/radiusd.conf. По умолчанию секция выглядит так:
log {
destination = syslog
colourise = yes
file = ${logdir}/radius.log
syslog_facility = daemon
stripped_names = no
auth = yes
auth_badpass = yes
auth_goodpass = yes
msg_denied = "You are already logged in - access denied"
}
Краткое описание значимых параметров секции:
| Параметр | Описание |
|---|---|
| назначение лога, может принимать два значения:
|
file | путь к лог-файлу, по умолчанию |
syslog_facility | facility, категория лога при логировании через syslog |
auth | логировать запросы авторизации, значения yes либо no |
Ротация логов
Для ротации логов при помощи logrotate нужно создать файл конфигурации, пример приведен ниже:
/var/log/eltex-radius/radius.log {
daily
rotate 31
create 640 eltxrad eltxrad
compress
delaycompress
notifempty
missingok
postrotate
invoke-rc.d eltex-radius reload >/dev/null 2>&1 || true
endscript
}
В данному случае,
daily- выполнять ротацию ежедневноrotate 31- сохранять файлы за последний 31 деньcreate 640 eltxrad eltxrad- создавать новый файл с правами доступа 640, установить владельцем пользователя eltxrad, группу владельца eltxrad, под этой учетной записью работает серверpostrotate- reload сервера, чтобы начать запись в созданный файл