b. Những thuộc tính RADIUS
4.5. Những file được tạo ra hoặc được sử dụng
Thư mục
/usr/share/doc/chillispot-1.1.0/ Thư mục tài liệu người dùng, ví dụ tập lệnh và tệp cấu hình.
/usr/sbin/chilli Có thể thi hành ChilliSpot /etc/chilli.conf Tệp cấu hình ChilliSpot
/etc/rc.d/init.d/chilli Hệ thống ChilliSpot khởi tạo tập lệnh. /var/www/cgi-
bin/hotspotlogin.cgi
Tập lệnh Perl cgi thực hiện phương pháp truy nhập phổ thông
Trang sách hướng dẫn
chilli (8) Sách hướng dẫn ChilliSpot.
4.6. Tùy chọn
4.6.1. Tóm tắt
chilli --help
chilli --version
chilli
[ --fg ] [ --debug ] [ --conf file ] [ --pidfile file ] [ --statedir file ] [ --net net ] [ - -dynip net ] [ --statip net ] [ --dns1 host ] [ --dns2 host ] [ --domain domain ] [ --ipup
script ] [ --ipdown script ] [ --conup script ] [ --condown script ] [ --radiuslisten host
] [ --radiusserver1 host ] [ --radiusserver2 host ] [ --radiusauthport port ] [ -- radiusacctport port ] [ --radiussecret secret ] [ --radiusnasid id ] [ --radiusnasip
host ] [ --radiuscalled name ] [ --radiuslocationid id ] [ --radiuslocationname name
] [ --radiusnasporttype type ] [ --coaport port ] [ --coanoipcheck ] [ --proxylisten
host ] [ --proxyport port ] [ --proxyclient host ] [ --proxysecret secret ] [ -- confusername username ] [ --confpassword password ] [ --dhcpif dev ] [ --dhcpmac
address ] [ --lease seconds ] [ --eapolenable ] [ --uamserver url ] [ --uamhomepage
url ] [ --uamsecret secret ] [ --uamlisten host ] [ --uamport port ] [ --uamallowed
domain ] [ --uamanydns ] [ --macauth ] [ --macallowed ] [ --macsuffix suffix ] [ -- macpasswd password ]
4.6.2. Tùy chọn
--help
--version
Phiên bản in và thóat.
--fg
Chạy trong mặt trước (mặc định = off)
--debug
Chạy trong chếđộ debug (mặc định = off)
--conf file
Đọc file cấu hình (mặc định = /etc/chilli.conf) nơi mỗi hàng tương ứng tới một dòng lệnh tùy chọn, nhưng khoảng cách giữa những dòng chữ in '--' loại bỏ. Tùy chọn dòng lệnh ghi đè tùy chọn cho trong file cấu hình.
--interval seconds
Đọc lại file cấu hình và làm DNS tra cứu mỗi interval seconds. Cái này có cùng hiệu ứng như việc gửi tín hiệu HUP. Nếu interval là 0 (zero) tính năng này được vô hiệu hóa.
file (mặc định = /etc/chilli.conf) nơi mỗi hàng tương ứng tới một lệnh tùy chọn, nhưng với khoảng cách giữa những dòng in '--' loại bỏ. Tùy chọn hàng lệnh ghi đè những tùy chọn cho trong file cấu hình.
--pidfile file
Tên file của file id xử lý (mặc định = /var/run/chilli.pid)
--statedir path
Đường dẫn tới thư mục của dữ liệu không thay đổi (mặc định = /var/lib/chilli/)
--net net
Địa chỉ mạng của giao diện liên kết lên trên (mặc định = 192.168.182.0/24). Địa chỉ mạng là quá trình thiết đặt initialisation khi chilli thiết lập một thiết bị TUN cho giao diện liên kết lên trên. Địa chỉ mạng được chỉ rõ như <address>/<netmask> (192.168.182.0/255.255.255.0) hoặc <address>/<prefix> (192.168.182.0/24).
--dynip net
Vùng địa chỉ IP động. Chỉ rõ một vùng của địa chỉ IP động. Nếu tùy chọn này bị bỏ qua địa chỉ mạng chỉ rõ bởi tùy chọn net được sử dụng cho sựđịnh vịđịa chỉ IP
động. Xem xét tùy chọn net cho phần miêu tả của định dạng địa chỉ mạng.
Vùng địa chỉ IP tĩnh. Chỉ rõ một vùng của địa chỉ IP tĩnh. Với định phần một
địa chỉ tĩnh, địa chỉ IP của máy khách có thể được chỉ rõ bởi máy chủ radius. Định phần địa chỉ tĩnh có thể sử dụng cho cả xác thực MAC và WPA..
--dns1 host
Máy chủ DNS 1. Nó sử dụng để thông tin cho máy khách khoảng địa chỉ DNS
để sử dụng cho quyết định hostname. Nếu tùy chọn này không được định sẵn hệ thống DNS sơ cấp được sử dụng.
--dns2 host
Máy chủ DNS 2. Nó sử dụng để thông tin cho máy khách khoảng địa chỉ DNS
để sử dụng cho quyết định hostname. Nếu tùy chọn này không được định sẵn hệ
thống DNS thứ cấp được sử dụng.
--domain domain
Tên miền. Nó sử dụng để thông tin máy khách về tên miền để sử dụng cho việc tra cứu DNS.
--ipup script
Thực hiện tập lệnh sau khi giao diện mạng TUN được đưa lên. Thực hiện với các tham số sau: <devicename> <ip address> <mask>
--ipdown script
Thực hiện tập lệnh sau khi giao diện mạng TUN đưa xuống. Thực hiện với các tham số sau: <devicename> <ip address> <mask>
--conup script
Thực hiện tập lệnh sau khi xác thực. Thực hiện với các tham số sau: <devicename> <ip address> <mask> <user ip address> <user mac address> <filter ID>
--condown script
Thực hiện tập lệnh sau khi người dùng tắt. Thực hiện với các tham số sau: <devicename> <ip address> <mask> <user ip address> <user mac address> <filter ID>
--radiuslisten host
Giao diện địa phương địa chỉ IP sử dụng cho giao diện radius. Địa chỉ này cũng xác định giá trị cho thuộc tính NAS-IP-Address radius. Nếu radiuslisten bị bỏ qua thì
thuộc tính NAS-IP-Address sẽ được đặt "0.0.0.0" và điạ chỉ IP nguồn của yêu cầu radius sẽđược xác định bởi bảng lộ trình hệđiều hành.
--radiusserver1 host
Địa chỉ IP của máy chủ radius 1 (mặc định=rad01.hotradius.com).
--radiusserver2 host
Địa chỉ IP của máy chủ radius 2 (mặc định =rad02.hotradius.com).
--radiusauthport port
Số cổng UDP sử dụng cho radius yêu cầu xác thực (mặc định=1812).
--radiusacctport port
Số cổng UDP sử dụng cho radius yêu cầu tính toán (mặc định=1813).
--radiussecret secret
Radius chia sẻ bí mật cho cả các máy chủ (mặc định=testing123). Bí mật này nên thay đổi để không làm bí mật bị lộ.
--radiusnasid id
Định danh máy chủ truy nhập mạng (mặc định=nas01).
--radiusnasip host
Địa chỉ IP tới báo cáo trong thuộc tính NAS-IP-Addres. Mặc định địa chỉ IP chỉ
rõ bởi tùy chọn radiuslisten.
--radiuscalled name
Đặt tên tới báo cáo trong thuộc tính Called-Station-ID. Mặc định cho địa chỉ
MAC của giao diện không dây mà có thể chỉ rõ bởi tùy chọn dhcpmac.
--radiuslocationid id
ID định vị WISPr. Cần định dang: isocc=<ISO_Country_Code>, cc=<E.164_Country_Code>,ac=<E.164_Area_Code>,network=<ssid/ZONE>. Tham số này miêu tả rõ hơn trong tài liệu: Wi-Fi Alliance - Wireless ISP Roaming - Best Current Practices v1, tháng 2- 2003.
--radiuslocationname name
Tên định vị WISPr. Cần định dạng: <HOTSPOT_OPERATOR_NAME>, <LOCATION Tham số này miêu tả rõ hơn trong tài liệu: Wi-Fi Alliance - Wireless ISP Roaming - Best Current Practices v1, tháng 2- 2003.
--radiusnasporttype type
Giá trị của thuộc tính NAS-Port-Type. Mặc định 19 (Wireless-IEEE-802.11).
--coaport port
Cổng UDP nghe cho radius chấp nhận yêu cầu ngừng kết nối.
--coanoipcheck
Nếu tùy chọn đã cho không có sự kiểm tra nào được thực hiện trên địa chỉ IP nguồn của radius yêu cầu ngừng kết nối. Mặt khác, nó kiểm tra là radius yêu cầu ngừng kết nối bắt nguồn từ máy chủ radius1 hoặc máy chủ radius2.
--proxylisten host
Giao diện IP địa phương gửi tới sử dụng để chấp nhận radius yêu cầu.
--proxyport port
Cổng UDP nghe để cho chấp nhận radius yêu cầu.
--proxyclient host
Từđịa chỉ IP mà radius yêu cầu được chấp nhận. Nếu bỏ qua máy chủ sẽ không chấp nhận radius yêu cầu.
--proxysecret secret
Radius chia sẻ bí mật cho máy khách. Nếu không chỉ rõ nó mặc định radiussecret.
--confusername username
Nếu confusername được chỉ rõ cùng với confpassword, ChilliSpot sẽ chỉ rõ khoảng cách bởi tùy chọn interval truy vấn máy chủ radius cho thông tin cấu hình. Trả
lời từ máy chủ radius phải có thuộc tính Service-Type đặt tới ChilliSpot cho phép duy nhất để có bất kỳ hiệu ứng nào. Hiện nay, hỗ trợ ChilliSpot-UAM-Allowed, ChilliSpot-MAC-Allowed và ChilliSpot-Interval. Những thuộc tính này ghi đè các tùy chọn theo thứ tự uamallowed , macallowed và interval.
--confpassword password
Xem ở dưới tùy chọn confusername.
--dhcpif dev
Giao diện Ethernet nghe để cho giao diện liên kết xuống. Tùy chọn này cần chỉ
--dhcpmac address
Địa chỉ MAC lắng nghe. Nếu không chỉ rõ địa chỉ MAC của giao diện sẽđựợc sử dụng. Địa chỉ MAC cần phải chọn để nó không xung đột với địa chỉ khác trong LAN. Địa chỉ trong miền 00:00:5E:00:02:00 - 00:00:5E:FF:FF:FF nằm trong miền IANA của địa chỉ và không được cấp phát cho những mục đích khác.
Tùy chọn --dhcpmac có thể được sử dụng trong sự liên kết với bộ lọc truy nhập, hoặc với những điểm truy nhập mà hỗ trợ gói tin chuyển tiếp tới địa chỉ MAC. Như vậy nó có thể ở mức MAC để phân ra lưu lượng quản lý điểm truy nhập từ lưu lượng người dùng cho hệ thống an toàn hoàn thiện.
Tùy chọn --dhcpmac sẽđặt giao diện trong chếđộ promisc.
--lease seconds
Sử dụng một DHCP lease thứ hai (mặc định = 600).
--eapolenable
Nếu tùy chọn này dựa vào IEEE 802.1x xác thực được cho phép. ChilliSpot sẽ
lắng nghe cho xác thực EAP yêu cầu trên giao diện chỉ rõ bởi --dhcpif. Những thông báo EAP nhận được trên giao diện này được chuyển tiếp tới máy chủ radius.
--uamserver url
URL của web server sử dụng để xác thực máy khách.
--uamhomepage url
URL của trang chủ gửi một lần nữa những người dùng không được xác nhận. Nếu không chỉ rõ cái này xác lập mặc định tới uamserver.
--uamsecret secret
Chia sẻ bí mật giữa uamserver và chilli. Bí mật này cần phải thiết lập trong thứ
tựđể không làm lộ bí mật.
--uamlisten host
Địa chỉ IP lắng nghe sự xác thực từ máy khách. Nếu một máy khách chưa xác thực cố gắng truy nhập Internet thì sẽđược gửi một lần nữa tới địa chỉ này.
--uamport port
Cổng TCP nối kết để cho máy khách xác thực (mặc định = 3990). Nếu một máy khách chưa được xác thực cố gắng truy nhập Internet thì sẽ được gửi một lần nữa tới cổng này trên --uamlistenđịa chỉ IP.
--uamallowed domain
Dấu phẩy tách danh sách tên miền, địa chỉ IP hoặc mạng phân đoạn máy khách có thể truy nhập không dùng xác thực đầu tiên. Ví dụ:
--uamallowed http://www.chillispot.org,10.11.12.0/24
Tùy chọn này được dùng cho truy nhập tới một cổng thanh toán thẻ, cho truy nhập tới cộng đồng và thông tin miễn phí khác cũng như truy nhập tới VPN mà máy chủ lần đầu tiên không đăng nhập tới HotSpot.
ChilliSpot giải quyết tên miền để thiết lập địa chỉ IP trong quá trình khởi động. Một số vị trí lớn thay đổi địa chỉ IP quay lại để tra cứu. Hoạt động này không tương thích với tùy chọn này. Điều này có thể chỉ rõ tùy chọn uamallowed nhiều hơn. Nó có ích nếu nhiều tên miiền được chỉ rõ.
--uamanydns
Cho phép bất kỳ máy chủ DNS nào. Bình thường máy khách chưa xác thực chỉ
cho phép giao tiếp với máy chủ DNS chỉ rõ bởi tùy chọn dns1 và dns2. Nếu tùy chọn uamanydns được định sẵn ChilliSpot sẽ cho phép máy khách sử dụng tất cả các máy chủ DNS. Điều này thuận lợi cho máy khách đã định cấu hình sử dụng một thiết lập cố định của máy chủ DNS. Cho những lý do an toàn tùy chọn này cần phải được kết hợp với một quy tắc NAT firewall đích mà chuyển tiếp tất cả các yêu cầu DNS cho máy chủ DNS đã cho.
--macauth
Nếu tùy chọn này đã cho ChilliSpot sẽ cố gắng xác thực tất cả người dùng dựa vào địa chỉ MAC. Tên người dùng gửi tới máy chủ radius sẽ gồm có địa chỉ MAC và một hậu tốđể tùy chọn mà được chỉ rõ bởi tùy chọn macsuffix. Nếu tùy chọn macauth
được chỉ rõ thì tùy chọn macallowed được bỏ qua.
--macallowed mac
Danh sách địa chỉ MAC mà xác thực MAC sẽ thực hiện. Ví dụ:
--macallowed00-0A-5E-AC-BE-51,00-30-1B-3C-32-E9
Tên người dùng gửi tới máy chủ radius sẽ bao gồm địa chỉ MAC và một hậu tố suffix mà được chỉ rõ bởi tùy chọn macsuffix. Nếu tùy chọn macauth được chỉ rõ thì tùy chọn macallowed được bỏ qua.
Nó có thể chỉ rõ tùy chọn macallowed nhiều hơn. Điều này có ích nếu nhiều địa chỉ MAC được chỉ rõ.
--macsuffix suffix
Hậu tố thêm vào địa chỉ MAC để hình thành tên người dùng, mà được gửi cho máy chủ radius.
--macpasswd password
Mật khẩu được sử dụng khi xác thực MAC được thực hiện (mặc định = password)
4.6.3. Tệp tin
/etc/chilli.conf File cấu hình cho Chilli. /var/run/chilli.pid Xử lý file ID.
4.6.4. Tín hiệu
Phát tín hiệu HUP tới Chilli sẽ tạo ra file cấu hình để đọc ra và thực hiện tra cứu DNS. Những tùy chọn cấu hình không ảnh hưởng bởi sự phát tín hiệu HUP: [ --fg ] [ --conf file ] [ --pidfile file ] [ --statedir file ] [ --net net ] [ --dynip net ] [ -- statip net ] [ --uamlisten host ] [ --uamport port ] [ --radiuslisten host ] [ --coaport
port ] [ --coanoipcheck ] [ --proxylisten host ] [ --proxyport port ] [ --proxyclient
host ] [ --proxysecret secret ] [ --dhcpif dev ] [ --dhcpmac address ] [ --lease seconds
] [ --eapolenable ]
Những tùy chọn cấu hình ở trên có thể chỉ thay đổi bởi việc khởi động lại daemon.