RADIUS.CONF(5) | FreeBSD File Formats Manual | RADIUS.CONF(5) |
名称
radius.conf — RADIUS クライアントの設定ファイル書式
/etc/radius.conf解説
radius.conf は、RADIUS クライアントライブラリの設定に必要な情報を含みます。本ファイルは、 rad_config(3) が解釈します。本ファイルは、1 行以上のテキスト行を含み、各行は、ライブラリが使用する単一の RADIUS サーバについて記述します。先行する空白は、空行および、コメントのみの行と同様、無視されます。1 つの RADIUS サーバは、3 から 7 フィールドからなる 1 行により記述されます:
- サーバタイプ
- サーバホスト
- 共有鍵
- タイムアウト
- リトライ数
- デッド時間 (dead time)
- バインドアドレス (bind address)
フィールドは空白で区切ります。フィールドの先頭にある‘ #
’文字はコメントを開始し、行末まで続きます。フィールドはダブルクォートで括ることができ、この場合空白を含んだり、‘ #
’文字で開始することができます。クォートされた文字列中では、ダブルクォート文字は、‘ \"
’で表現可能であり、バックスラッシュは、‘ \\
’で表現可能です。他のエスケープシーケンスはサポートされていません。
最初のフィールドは、サーバタイプを指定します。‘ auth
’で RADIUS 認証を指定するか、‘ acct
’で RADIUS アカウンティングを指定します。単一サーバで両方のサービスを提供する場合、ファイル中に 2 行必要です。以前のバージョンのファイルではサービスタイプを含みませんでした。後方互換のため、最初のフィールドが‘ auth
’か‘ acct
’のいずれでもない場合、ライブラリは、‘ auth
’が指定されたものとして振舞い、その行をフィールド 2 から 5 が指定されたものとして解釈します。
2 番目のフィールドは、完全な形でのドメイン名でもかまいませんし、ドット付き 4 つ組の IP アドレスでもかまいません。ホストの後には、‘ :
’と数値によるポート番号を続けることができます。この時、間に空白を入れてはいけません。ポートを指定しない場合、サービスタイプ‘ auth
’と‘ acct
’のそれぞれに対して /etc/services ファイルの‘ radius
’または‘ radacct
’のサービスになります。 /etc/services ファイルにこのようなエントリが無い場合、標準の RADIUS ポート 1812 および 1813 になります。
3 番目のフィールドには共有鍵が置かれ、クライアントとサーバホスト以外には知られてはなりません。共有鍵は任意の文字列ですが、空白を含む場合はダブルクォートで括る必要があります。共有鍵の長さに制限はありませんが、 RADIUS プロトコルでは先頭 128 文字しか使用されません。注意: 有名な RADIUS サーバには、 16 文字より長い共有鍵では正しく動作しないというバグを持ったものがあります。
4 番目のフィールドは、サーバから正当なリプライを受け取るまでに待つ秒数であり、 10 進数で指定します。このフィールドを省略すると、デフォルトの 3 秒になります。
5 番目のフィールドは、諦めるまでに最大何回サーバに認証を試みるかを示す値を 10 進数で指定します。省略すると、デフォルトの 3 回になります。これは試行回数の合計であり、リトライ回数ではないことに注意してください。
6 番目のフィールドは、サーバが要求されないとき、最後の試みでアクセス不可能だったなら、秒単位で時間間隔を指定する 10 進数の整数を含んでいます。 0 は、常に問い合わせることを意味します。
7 番目のフィールドは、マルチホームのホストで IP アドレスを含んでいます。すべての要求は、この IP にバインドされます。
RADIUS サーバは、各サービスに対して最大 10 個まで指定できます。サーバはラウンドロビン方式で試され、有効な返答が返されるか、全サーバに対して、最大試行回数に達するまで続けます。
このファイルのための標準的な場所は、 /etc/radius.conf です。しかし、代替のパス名が、 rad_config(3) への呼び出しで指定されます。ファイルは、共有秘密鍵の形式で慎重を期する情報を含んでいるので、 root を除いて、読み込み可能とするべきではありません。
関連ファイル
- /etc/radius.conf
使用例
# すべてのデフォルトを使用する単純なエントリ: acct radius1.domain.com OurLittleSecret # サーバは, タイムアウトと最大試行回数を増加して, # まだ時代遅れの RADIUS ポート使用しています: auth auth.domain.com:1645 "I can't see you" 5 4 # 上記のようですが、デッド時間とバインドアドレスを設定しています: auth auth.domain.com:1645 "I can't see you" 5 4 60 192.168.1.8 # その IP アドレスによって指定されたサーバ: auth 192.168.27.81 $X*#..38947ax-+=
関連項目
libradius(3) C. Rigney, et al, Remote Authentication Dial In User Service (RADIUS), RFC 2138. C. Rigney, RADIUS Accounting, RFC 2139.作者
この文書は、 によって書かれ、Juniper Networks, Inc. によって FreeBSD プロジェクトに寄贈されました。October 30, 1999 | FreeBSD |