begriffs open source - ai-pg/blob - full-docs/txt/auth-radius.txt

   1
   2 20.11. RADIUS Authentication #
   3
   4    This authentication method operates similarly to password except that
   5    it uses RADIUS as the password verification method. RADIUS is used only
   6    to validate the user name/password pairs. Therefore the user must
   7    already exist in the database before RADIUS can be used for
   8    authentication.
   9
  10    When using RADIUS authentication, an Access Request message will be
  11    sent to the configured RADIUS server. This request will be of type
  12    Authenticate Only, and include parameters for user name, password
  13    (encrypted) and NAS Identifier. The request will be encrypted using a
  14    secret shared with the server. The RADIUS server will respond to this
  15    request with either Access Accept or Access Reject. There is no support
  16    for RADIUS accounting.
  17
  18    Multiple RADIUS servers can be specified, in which case they will be
  19    tried sequentially. If a negative response is received from a server,
  20    the authentication will fail. If no response is received, the next
  21    server in the list will be tried. To specify multiple servers, separate
  22    the server names with commas and surround the list with double quotes.
  23    If multiple servers are specified, the other RADIUS options can also be
  24    given as comma-separated lists, to provide individual values for each
  25    server. They can also be specified as a single value, in which case
  26    that value will apply to all servers.
  27
  28    The following configuration options are supported for RADIUS:
  29
  30    radiusservers
  31           The DNS names or IP addresses of the RADIUS servers to connect
  32           to. This parameter is required.
  33
  34    radiussecrets
  35           The shared secrets used when talking securely to the RADIUS
  36           servers. This must have exactly the same value on the PostgreSQL
  37           and RADIUS servers. It is recommended that this be a string of
  38           at least 16 characters. This parameter is required.
  39
  40 Note
  41
  42           The encryption vector used will only be cryptographically strong
  43           if PostgreSQL is built with support for OpenSSL. In other cases,
  44           the transmission to the RADIUS server should only be considered
  45           obfuscated, not secured, and external security measures should
  46           be applied if necessary.
  47
  48    radiusports
  49           The port numbers to connect to on the RADIUS servers. If no port
  50           is specified, the default RADIUS port (1812) will be used.
  51
  52    radiusidentifiers
  53           The strings to be used as NAS Identifier in the RADIUS requests.
  54           This parameter can be used, for example, to identify which
  55           database cluster the user is attempting to connect to, which can
  56           be useful for policy matching on the RADIUS server. If no
  57           identifier is specified, the default postgresql will be used.
  58
  59    If it is necessary to have a comma or whitespace in a RADIUS parameter
  60    value, that can be done by putting double quotes around the value, but
  61    it is tedious because two layers of double-quoting are now required. An
  62    example of putting whitespace into RADIUS secret strings is:
  63 host ... radius radiusservers="server1,server2" radiussecrets="""secret one"",""
  64 secret two"""