====== radius ======
ossのradiusにfreeradiusがある
===== freeradius =====
=== 参考 ===
freeradius configration  https://wiki.freeradius.org/config/Configuration-files

FreeRADIUSを使ったRADIUSサーバの構築手順　https://kfep.jp/radius-news-2016-03-30-3066

FreeRADIUS で RADIUS Proxy を設定するには http://sig9.hatenablog.com/entry/2015/03/07/121720

高機能認証サーバー (FreeRADIUS)　https://www.nttpc.co.jp/technology/free_radius.html

docker freeRADIUS  https://hub.docker.com/u/freeradius

===== dockerで環境構築 =====
freeradiusを[[docker]]で構築することで、ハードウェア依存をなくし複数構築可能
  ## docker pull freeradius/freeradius-server
  sudo docker run --name my-radius -d freeradius/freeradius-server  

== dockerコマンド ==
カレントディレクトリのDockefileからイメージ作成
  sudo docker build -t <タグ名>
イメージをコンテナで実行
  #foreground
  sudo docker run --name <コンテナ名> <タグ名>
  #background(daemon)
  sudo docker run -d --name <コンテナ名> <タグ名>
コンテナ一覧
  sudo docker ps -a
コンテナ停止
  sudo docker stop <コンテナ名>
コンテナ削除
  sudo docker rm <コンテナ名>
  

===== 設定ファイル =====
Radius Proxy
  /etc/freeradius/clients.conf
  /etc/freeradius/proxy.conf

Radius Server
  /etc/freeradius/clients.conf
  /etc/freeradius/radiusd.conf
  /etc/freeradius/users
===== proxy =====
clients.conf
  client 192.168.0.0/24 {
       secret          = PROXY    #クライアント暗号キー
       shortname       = MY-NETWORK
  }

proxy.confに以下を追加
  realm DEFAULT {
    type = radius
    authhost = xxx.xxx.xxx.xxx:1812
    accthost = xxx.xxx.xxx.xxx:1813
    secret = SECRET           #サーバ暗号キー
    nostrip
  }

  * DEFAULTrealm は『他条件に一致しない場合は、DEFAULT として設定したサーバへ Proxy 要求を転送する』という意味合いを持つ
  * 認証（Authentication）要求を受信した場合、xxx.xxx.xxx.xxxサーバの UDP/1812 へ転送する
  * アカウンティング（Accounting）要求を受信した場合、xxx.xxx.xxx.xxxサーバの UDP/1813 へ転送する
  * Radius Proxy 〜 サーバ間のキーフレーズは「SECRET」
  * nostrip が指定されている場合、Radius サーバへ転送する再、ユーザ名から realm を取り除かない
===== server =====
clients.conf
  client xxx.xxx.xxx.xxx {
       secret          = SECRET          #サーバ暗号キー
       shortname       = MY-NETWORK
  }
====== トラブルシュート ======
===== proxyサーバでエラーとなる =====
proxy設定してデバッグ動作（freeradius -f -X）させると以下のように表示された。
  (Rejected: Realm does not have at least one dot separator):[aaaaa@bbbbb]
参考　http://freeradius.1045715.n5.nabble.com/Rejected-Realm-does-not-have-at-least-one-dot-separator-td5733856.html

意図せぬユーザの文字列確認が行われている。
defaultの動作でユーザ認証が有効になっているので停止するため、以下のように対処を行った。
  #default設定ファイルの、filter_usernameをコメントとする
  sed -i s/filter_username/#filter_username/ /etc/freeradius/sites-enabled/default

===== cisco wap150 and windows7 で再接続ができない =====
cisco wap150にてradiusを利用するようにしているが、
windows7で再起動など再接続する際にradiusサーバまでとどいていない、
wap150で弾いている模様。
  * ブロードキャストキー更新間隔：300 -> 60
  * セッションキー更新間隔：標準の0のまま
と変更した接続出来るようになった。