Конфигурация
Конфигурация находится в /etc/eltex-radius. Из всех файлов рекомендуется редактировать только следующие:
local.conf - все основные параметры, которые может понадобиться редактироватьcerts/server.crt - сертификат сервера, используемый в EAP-TLScerts/server.key - приватный ключ сервера, используемый в EAP-TLScerts/ca/*.pem - сертификаты корневых CA (при настройке EAP-TLS сертификат CA рекомендуется назвать local.pem и прописать в local.conf)
Запуск в отладочном режиме: eltex-radius -X
/etc/eltex-radius/local.conf
Основной конфигурационный файл. Содержит следующие параметры:
- Настройка прослушиваемых портов:
auth_port=1812
acct_port=1813
inner_tunnel_port=18121 |
- Настройка подключения к базе данных radius:
# MySQL database
db_host="localhost"
db_port=3306
db_login="radius"
db_password="radpass"
db_name="radius" |
- Опция, включающая/отключающая проверку блокировки SSID. Если установлена 1, то на заблокированном через EMS SSID пользователи не смогут пройти авторизацию.
- Настройка подключения к базе данных wireless:
# MySQL 'wireless' database
wireless_db_host="localhost"
wireless_db_port=3306
wireless_db_login="javauser"
wireless_db_password="javapassword"
wireless_db_name="wireless" |
- Подключение к сервису PCRF:
# PCRF
pcrf_host="localhost"
pcrf_port=7080
pcrf_authorize=1
pcrf_accounting=1 |
- Название CA сертификата, используемого для авторизации по TLS и ключ для серверного сертификата. Эти параметры будут изменены автоматически при выполнении скрипта установки сертификата, который находится в пакете eltex-radius-nbi.
# EAP
ca_cert_name="default.pem"
tls_key_password="eltex" |
- Настройка проксирования запросов на сторонний RADIUS сервер:
proxy_auth=0
proxy_domain_regex="^(.+\.)?enterprise\.root$"
proxy_host="127.0.0.1"
proxy_port=18121
proxy_secret="testing123" |
- Активация специальных алгоритмов обработки запросов на авторизацию для устройств некоторых производителей.
ubi_vendor_regex="Apple|Ubiquiti" |
- Настройка динамических клиентов для авторизации:
# Settings of runtime NAS discovery
dynamic_clients=false
dynamic_client_subnet=192.168.0.0/16
dynamic_client_lifetime=3600
dynamic_client_rate_limit=false |
Таблица NAS
Данная таблица находится в БД radius и содержит адреса клиентов (точек доступа), имеющих право отправлять запросы на проведение авторизации пользователей. Если клиент не включен в эту таблицу, то запросы авторизации будут игнорироваться. После обновления состава этой таблице необходим перезапуск eltex-radius. При изменении состава дерева объектов в EMS (добавлении/удалении точек доступа) происходит автоматическое обновление таблицы и перезапуск eltex-radius.
Резервирование серверов RADIUS
Данный тип резервирования отличается от всех предыдущих типов за счет того, что резервирование происходит не в ядре SoftWLC, а на уровне точек доступа. С учетом того, что базы данных в SoftWLC вынесены на отдельные серверы, серверы RADIUS являются только носителями процессов RADIUS, динамических обработчиков информации. Таким образом, появляется возможность использования RADIUS-серверов отдельно и независимо друг от друга. При конфигурировании точки доступа существует возможность указать основной RADIUS-сервер и до трех альтернативных. В случае если основной сервер не отвечает, точка начинает процесс AAA с альтернативным сервером. Таким образом, для резервирования RADIUS требуется указать адреса обоих RADIUS-серверов.