|| Device | SoftWLC |
|| DocMainTitle | Руководство администратора |
|| DocTitle3 | Eltex RADIUS |
|| fwversion | 1.8 |
|| issueDate | 26.10.2017 |


Описание

Сервис, используемый используется для обеспечения механизмов ААА  при обслуживании Wi-Fi пользователей, подключаемых с использованием механизма безопасности WPA-enterprise (EAP) (точки доступа при подключении клиента производят его авторизацию и аутентификацию по протоколу RADIUS с данными серверами, серверы, в свою очередь, производят запрос клиентских данных из базы данных на серверах DB.), а также выполняет вспомогательные функции при авторизации пользователей через ESR/BRAS.


Сервис устанавливается при помощи пакета eltex-radius.


Способ запуска/остановки

Для остановки сервиса используется команда:

service eltex-radius stop

Для запуска сервиса после остановки используется команда:

service eltex-radius start

Для проверки — запущен ли сервис в данный момент или нет, используется команда:

service eltex-radius status

В ответ последует сообщение:

eltex-radius start/running, process <pid>

в случае если сервис запущен, или

eltex-radius stop/waiting

в случае если сервис не запущен.

Конфигурация

Конфигурация находится в /etc/eltex-radius. Из всех файлов рекомендуется редактировать только следующие:

  • local.conf - все основные параметры, которые может понадобиться редактировать
  • certs/server.crt - сертификат сервера, используемый в EAP-TLS
  • certs/server.key - приватный ключ сервера, используемый в EAP-TLS
  • certs/ca/*.pem - сертификаты корневых CA (при настройке EAP-TLS сертификат CA рекомендуется назвать local.pem и прописать в local.conf)

Запуск в отладочном режиме: eltex-radius -X

/etc/eltex-radius/local.conf

Основной конфигурационный файл. Содержит следующие параметры:

  • Настройка прослушиваемых портов:
auth_port=1812
acct_port=1813
inner_tunnel_port=18121
  • Настройка подключения к базе данных radius:
# MySQL database
db_host="localhost"
db_port=3306
db_login="radius"
db_password="radpass"
db_name="radius"
  • Опция, включающая/отключающая проверку блокировки SSID. Если установлена 1, то на заблокированном через EMS SSID пользователи не смогут пройти авторизацию.
ssid_check_enabled=1
  • Настройка подключения к базе данных wireless:
# MySQL 'wireless' database
wireless_db_host="localhost"
wireless_db_port=3306
wireless_db_login="javauser"
wireless_db_password="javapassword"
wireless_db_name="wireless"
  • Подключение к сервису PCRF:
# PCRF
pcrf_host="127.0.0.1"
pcrf_port=7080
pcrf_enabled=1
  • Название CA сертификата, используемого для авторизации по TLS и ключ для серверного сертификата. Эти параметры будут изменены автоматически при выполнении скрипта установки сертификата, который находится в пакете eltex-radius-nbi.
# EAP
ca_cert_name="local.pem"
tls_key_password="1234
  • Настройка проксирования запросов на сторонний RADIUS сервер:
proxy_auth=0
proxy_domain_regex="^(.+\.)?enterprise\.root$"
proxy_host="127.0.0.1"
proxy_port=18121
proxy_secret="eltex"
  • Активация специальных алгоритмов обработки запросов на авторизацию для устройств некоторых производителей.
ubi_vendor_regex="Apple|Ubiquiti"
vendor_group_enabled=1
  • Настройка динамических клиентов для авторизации:
# Settings of runtime NAS discovery
dynamic_clients=false
dynamic_client_subnet=192.168.0.0/16
dynamic_client_lifetime=3600
dynamic_client_rate_limit=false


Таблица NAS

Данная таблица находится в БД radius и содержит адреса клиентов (точек доступа), имеющих право отправлять запросы на проведение авторизации пользователей. Если клиент не включен в эту таблицу, то запросы авторизации будут игнорироваться. После обновления состава этой таблице необходим перезапуск eltex-radius. При изменении состава дерева объектов в EMS (добавлении/удалении точек доступа) происходит автоматическое обновление таблицы и перезапуск eltex-radius.

Логирование

Настройки логирования сервера содержатся в секции log файла /etc/eltex-radius/radiusd.conf. По умолчанию секция выглядит так:

log {
	destination = syslog
	colourise = yes
	file = ${logdir}/radius.log
	syslog_facility = daemon
	stripped_names = no
	auth = yes
	auth_badpass = yes
	auth_goodpass = yes
	msg_denied = "You are already logged in - access denied"
}

Краткое описание значимых параметров секции:

ПараметрОписание

destination

назначение лога, может принимать два значения:

  • syslog - значение по умолчанию,обработка осуществляется средствами системного syslog демона
  • file - самостоятельная запись лога в файл, указанный в параметре file
file

путь к лог-файлу, по умолчанию ${logdir}/radius.log
значение по умолчанию параметра logdir = /var/log/eltex-radius
таким образом, лог файл расположен по адресу /var/log/eltex-radius/radius.log

syslog_facility
facility, категория лога при логировании через syslog
authлогировать запросы авторизации, значения yes либо no

Ротация логов

Для ротации логов при помощи logrotate нужно создать файл конфигурации, пример приведен ниже:

/var/log/eltex-radius/radius.log {
        daily
        rotate 31
        create 640 eltxrad eltxrad
        compress
        delaycompress
        notifempty
        missingok
        postrotate
                invoke-rc.d eltex-radius reload >/dev/null 2>&1 || true
        endscript
}

В данному случае,

  • daily - выполнять ротацию ежедневно
  • rotate 31 - сохранять файлы за последний 31 день
  • create 640 eltxrad eltxrad - создавать новый файл с правами доступа 640, установить владельцем пользователя eltxrad, группу владельца eltxrad, под этой учетной записью работает сервер
  • postrotate - reload сервера, чтобы начать запись в созданный файл