第一篇:freeradius部署总结
Freeradius + mysql + 华为AP无线认证 freeradius安装与测试
1.1 安装freereradius 与 mysql。
环境:centos 6.6 软件版本freeradius-server-2.2.9。#mkdir /usr/local/radius //创建一个安装包目录。#mv freeradius-server-2.2.9.tar.gz
/usr/local/radius //将安装包移动至此目录下。
#cd /usr/local/radius //进入该目录
#tar –zxvf freeradius-server-2.2.9.tar.gz //解压文件到当前目录
#cd freeradius-server-2.2.9 //进入该文件夹
安装之前,先将需要的库环境安装,因为系统安装的版本不一致,可能没有安装相应的库。
#yum install –y gcc vim //编译工具和编辑工具 #yum install –y openssl.devel //安装OpenSSL库 #./configure //安装检查 #make//编译
#make install //安装 1.2 测试redius服务是否安装成功。
相关配置文件路径为: /usr/local/etc/raddb/。#vim /usr/local/etc/raddb/users 去掉以下内容前面的#注释:
steve Cleartext-Password := “testing” 这样就有了测试账号steve和密码:testing。或者自行新建一行记录。1.3 对radius服务进行启动测试。
#radiusd –X,在debug 模式下运行,可以看到报错和认证信息。如果程序正常运行,最后三行如下
Listening on authentication *:1812
Listening on accounting *:1813
Ready to process requests.1.4 进行简单的连接测试
# radtest steve testing localhost 1812 testing123 出现Access-Accept字样说明成功。
这里的testing123是在/etc/raddb/clients.conf中定义的localhost的密码。测试完成后将steve用户再恢复原样,即加上#注释。
测试成功后把/usr/local/etc/raddb/users改回去。2 Mysql运行测试及与redius的连接设置
2.1 Mysql服务启动
#yum install –y mysql-server //安装mysql # /etc/init.d/mysqld start,进行mysql服务启动,出现 mysqld:
[ OK ] 表示启动成功。
2.2 Radius与mysql数据库的连接结合。2.2.1 Freeradius mysql模块配置
1.#vim /usr/local/etc/raddb/radius.conf,去掉“ &INCLUDE sql.conf” 行前面的#注释,也可以在相应的地方加上&INCLUDE sql.conf来启用mysql模块支持。2.修改/usr/local/etc/raddb/sql.conf文件 Sql{ Server = “localhost”
Login = “root”
Password= “root用户密码”
Radius_db=”radius”
3.修改/etc/raddb/clients.conf文件支持所有NAS Nastype = other 2.2.2 创建radius数据库及表
#mysqladmin –uroot –pPASSWOED create radius;//使用root权限创建一个名为radius的数据库。PASSWOED 表示root用户的密码。
2.2.3 将两者进行结合关联
1.将freeradius的库表导入mysql的radius数据库中:
#mysql –uroot –pPASSWOED radius < /usr/local/etc/raddb/sql/mysql/schema.sql #mysql –uroot –pPASSWOED radius
# mysql-u root-p #mysql> GRANT SELECT ON radius.* TO 'radius'@'localhost' IDENTIFIED BY 'radpass';# mysql> GRANT ALL on radius.radcheck TO 'radius'@'localhost';#mysql> GRANT ALL on radius.radgroupcheck TO 'radius'@'localhost';#mysql> GRANT ALL on radius.radusergroup TO 'radius'@'localhost';3.在数据库中加入测试组
#mysql –uroot –p密码 radius #mysql> insert into radgroupreply(groupname,attribute,op,value)values('user','Auth-Type',':=','Local');#mysql> insert into radgroupreply(groupname,attribute,op,value)values('user','Service-Type','=','Framed-User');#mysql>INSERT INTO radgroupreply(groupname,attribute,op,VALUE)VALUES('user','Framed-Protocol',':=','PPP');
#mysql> insert into radgroupreply(groupname,attribute,op,value)values('user','Framed-IP-Address','=','255.255.255.255');mysql> insert into radgroupreply(groupname,attribute,op,value)values('user','Framed-IP-Netmask’,’:=’,’255.255.255.0);
#mysql>INSERT INTO radgroupreply(groupname,attribute,op,VALUE)VALUES('user','Framed-Compression',':=','Van-Jacobson-TCP-IP');#mysql>INSERT INTO radgroupreply(groupname,attribute,op,VALUE)VALUES('user','Framed-MTU',':=','1500');
4.打开从数据库查询nas支持
默认从 “/usr/local/etc/raddb/clients.conf” 文件读取,开启后可从数据库nas表读取: sed-i 's/#readclients/readclients/g' /usr/local/etc/raddb/sql.conf 5.修改文件配置
#vim /usr/local/etc/raddb/sites-enabled/default authorize{}模块: 注释掉files(159行),去掉sql前的#号(166行)accounting{}模块: 注释掉radutmp(385行),注释掉去掉sql前面的#号(395行)。session{}模块: 注释掉radutmp(439行),去掉sql前面的#号(443行)。post-auth{}模块: 去掉sql前的#号(464行),去掉sql前的#号(552行)。#/usr/local/etc/raddb/sites-enabled/inner-tunnel authorize {}模块: 注释掉files(124行),去掉sql前的#号(131行)。
session {}模块: 注释掉radutmp(251行),去掉sql前面的#号(255行)。post-auth {}模块: 去掉sql前的#号(277行),去掉sql前的#号(301行)。#vim /usr/local/etc/raddb/clients.conf 在client localhost{ }后面加上: Client 客户端地址段/掩码{ Secret = testing123 #一般默认都是这个,如果要修改必须与客户端的共享秘钥保持一致。
Shortname = AP #可以随便写,暂时没有发现用处。
Nastype = other #使用的NAS 是其他类型。require_message_authenticator = no #消息取消,减少认证错误。可以不加 } 6.在数据库radius添加新用户 #mysql –uroot –ppasswd #mysql> use radius;# 添加用户demo,密码demo,注意是在radchec表
INSERT INTO radcheck(username,attribute,op,VALUE)VALUES('demo','Cleartext-Password',':=','demo');# 将用户demo加入VIP1用户组
INSERT INTO radusergroup(username,groupname)VALUES('demo',user’);
#对用户的使用时长进行设置 INSERT INTO radcheck(username,attribute,op,VALUE)VALUES('demo','Expiration’,':=','11 Mar 2017');#对用户的使用时间段进行设置
INSERT INTO radcheck(username,attribute,op,VALUE)VALUES('demo','Login-Time’,':=','A10600-1230');以上设置表示demo这个账号只能在2017年3月11日前每天的上午6点至中午12点30分的时间段内使用 2.2.4 启动测试 #radiusd & #radtest demo demo localhost 1812 testing123 //若反馈的信息为: access-accept,恭喜你成功了 2.3 使用NAS模拟器测试radius 2.3.1 下载测试工具RADIUStest
//若反馈的信息为: access-accept,恭喜你成功了。2.3.2 华为AP配置
这里使用web界面进行配置 1.开启802.1x认证
2.AAA配置
3.Radius服务器模板
4.认证服务器模板
5.认证方案
6.域管理
7.服务集安全模板
8.服务集BSS接口设置
有关radius认证的设置基本完成,其余皆为普通AP上网设置。
2.3.3 数据库管理软件及账号创建 Mysql> use radius;Mysql>create ‘password’;授权
Mysql> grant all on radius.* to ‘username’@’%’;账号创建与授权完成。
2.3.4 常见的错误
1.rlm_eap: SSL error error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt rlm_eap_tls: Error reading private key file /usr/local/etc/raddb/certs/server.pem rlm_eap: Failed to initialize type tls /usr/local/etc/raddb/eap.conf[17]: Instantiation failed for module “eap” /usr/local/etc/raddb/sites-enabled/default[310]: Failed to load module “eap”./usr/local/etc/raddb/sites-enabled/default[252]: Errors parsing authenticate section.Answer:eap.conf中private_key_password的值与ca.cnf中[req]input password,output password属性值不一致。user ‘username’@’%” IDENTIFIED BY
2.如果接收到类似于这样的信息:
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=222, length=38。
可以到usr/local/var/log去查看freeradius的日志。在安装过程我就接收到这样的信息,百思不得其解,以为是安装出了问题,后来是查看日志,发现如下信息: 141 WARNING: Found User-Password == “...”.142 WARNING: Are you sure you don't mean Cleartext-Password?
WARNING: See “man rlm_pap” for more information.144 rlm_sql: Failed to create the pair: Invalid octet string “Yes,Good!” for attribute name “Repley-Message”
rlm_sql(sql): Error getting data from database
[sql] SQL query error;rejecting user
rlm_sql(sql): Released sql socket id: 1
从而发现我在表radrepley中的数据记录内容是错误的,删除这条记录后,问题得到解决
3、如果出现
“rlm_sql(sql): Could not link driver rlm_sql_mysql: rlm_sql_mysql.so: cannot open shared object file: No such file or directory”找不到驱动包的错误,就要
a:先安装mysql-devel
b:然后进入到freeradius的安装文件目录下的src/modules/rlm_sql/drivers/rlm_sql_mysql? 运行命令:
#./configure--with-mysql-dir=/usr/share/mysql/--with-mysql-lib-dir=/usr/lib/mysql/
# make # make intall
这时候会把rlm_sql_mysql的驱动安装到/usr/local/lib目录下,但是必须把这些驱动copy到/usr/lib目录下才能正常运行: #cp-a /usr/local/lib/rlm_sql_mysql* /usr/lib
还有可能出现关于eap的错误,说什么server.pem证书读取失败,实际上server.pem证书根本没有.进到/usr/local/etc/raddb/certs/目录下.运行里面的bootstrap文件
#./bootstrap 会自动创建证书.实在不明白,里面还有个README文件可做参考.
第二篇:freeradius 配置信息详解
Radiusd.conf文件是freeradius的核心配置文件,其中设置了 服务器的基本信息,配置文件与日志文件的环境变量,并详细配置freeradius模块所使用的信息,与认证和计费所使用模块的配置.配置的变量定义的形式为${foo},他们就在这个文件上,并且不随请求到请求而改变.变量的格式参照 variables.txt.1.1 环境变量
此处定义其他配置文件以及目录的位置,也就是环境变量
prefix = /usr/local
exec_prefix = ${prefix}
sysconfdir = ${prefix}/etc
localstatedir = ${prefix}/var
sbindir = ${exec_prefix}/sbin
logdir = ${localstatedir}/log/radius
raddbdir = ${sysconfdir}/raddb
radacctdir = ${logdir}/radacct
配置文件和日志文件的位置
confdir = ${raddbdir}
run_dir = ${localstatedir}/run/radiusd
日志文件的信息,添加到如下配置文件的底部
log_file = ${logdir}/radius.log
1.2 全局配置
模块的位置由 libdir来配置。
如果不能工作,那么你可以从新配置,从新Build源码,并且使用 共享库。
pidfile: Where to place the PID of the RADIUS server.pidfile = ${run_dir}/radiusd.pid
user/group
如果有评论,服务器会运行 用户/组 启动它.修改用户/组,必须具有root权限启动服务器
这里的含义是指定启动radius服务可以限定操作系统上的用户和组,但是不建议启动它.#user = nobody
#group = nobody
最长请求时间(秒),这样的问题经常需要存在在应用SQL数据库时候,建议设置为5秒到120秒之间.max_request_time = 30
当请求超过最长请求时间的时候,可以设置服务器删除请求.当你的服务在threaded(线程下)运行,或者 线程池(thread pool)模式,建议这里设置为no.但用threaded 服务设置为yes时,有可能使服务器崩溃.delete_blocked_requests = no
在 reply 发送给NAS后的等待清空时间.建议 2秒 到 10秒
cleanup_delay = 5
服务器的请求最大数,建议值 256 到无穷
max_requests = 1024
让服务器监听某个IP,并且从次IP发送 相应 信息.主要是为了 服务器同时具有多服务器时候使用.bind_address = *
可以指定raidus的使用端口号,使用0表示使用默认的radius端口,在配置文件 /etc/services配置.port = 0
如果需要服务器同时监听其他的IP,可以用listen 块.下面是例子
#listen {
# IP address on which to listen.# Allowed values are:
# dotted quad(1.2.3.4)
# hostname(radius.example.com)
# wildcard(*)
# ipaddr = *
# Port on which to listen.# Allowed values are: # integer port number(1812)
# 0 means “use /etc/services for the proper port” # port = 0
# Type of packets to listen for.# Allowed values are:
# auth listen for authentication packets
# acct listen for accounting packets #
# type = auth #}
hostname_lookups大概是表示为NAS查找它的域名信息?可以通过域名配置NAS?
hostname_lookups = no
是否允许 core dumps.allow_core_dumps = no
expressions支持,规则和扩展.regular_expressions = yes
extended_expressions = yes
记录User-Name属性的全称.log_stripped_names = no
是否记录认证请求信息到日志文件
log_auth = no
当请求被拒绝时记录密码,当请求正确时记录密码
log_auth_badpass = no
log_auth_goodpass = no
是否允许用户名冲突,即重复同用户同时登陆.强烈不建议启用重复用户.usercollide = no
将用户名 小写化,将密码小写化.lower_user = no
lower_pass = no
是否去除用户名和密码中的空格
nospace_user = no
nospace_pass = no 程序执行并发检查(不理解含义)
checkrad = ${sbindir}/checkrad
安全 配置 域
security {
指在Radius包中的最大属性数目.设置为0表示无穷大.max_attributes = 200
发送 Access-Reject 包时候,可以设置一定的延迟,以缓慢DOS攻击,也可以缓慢穷举破解用户名和密码的攻击
reject_delay = 1
服务器是否对状态服务器的请求信息进行相应.status_server = no }
PROXY CONFIGURATION 代理域.是否开启代理服务,具体配置参照 ${confdir}/proxy.conf
proxy_requests = yes
$INCLUDE ${confdir}/proxy.conf
Clients配置
$INCLUDE ${confdir}/clients.conf
是否启用snmp配置,具体配置文件在snmp.conf
snmp = no
$INCLUDE ${confdir}/snmp.conf
线程池 配置 域
thread pool {
启动时服务的个数.(在启动Mysql模块后可以明显看到.)当同时进行的请求数超过5个时,会增加线程服务.start_servers = 5
最大的服务数
max_servers = 32
当少于最少空闲服务时,它会建立服务,大于最大空闲服务时会停止多余的服务.最少空闲服务,与最大空闲服务.min_spare_servers = 3
max_spare_servers = 10
每个server最大的请求数.当有内存漏洞时,可能需要配置.max_requests_per_server = 0 }
1.3 模块配置 1.3.1 PAP 模块
# Supports multiple encryption schemes 支持多种加密方式
# clear: Clear text 明文
# crypt: Unix crypt Unix 加密
# md5: MD5 ecnryption MD5加密
# sha1: SHA1 encryption.SHA1加密
# DEFAULT: crypt 默认是Unix加密
pap {
encryption_scheme = crypt }
1.3.2 CHAP模块 chap {
authtype = CHAP }
1.3.3 PAM模块
PAM模块(PAM)是行业标准验证框架,鉴于很多系统的PAM库都有内存漏洞,所以不建议使用。
pam {
pam_auth = radiusd }
1.3.4 UNIX 系统用户的 认证模块 unix {
cache = no
cache_reload = 600
# passwd = /etc/passwd
# shadow = /etc/shadow
# group = /etc/group
radwtmp = ${logdir}/radwtmp }
1.3.5 EAP模块
详细见${confdir}/eap.conf
$INCLUDE ${confdir}/eap.conf
1.3.6 MSCHAP 模块 mschap {
#use_mppe = no
#require_encryption = yes
#require_strong = yes
# 为了纠正window发送chap时有时包括域,有时又不包括域的信息.#with_ntdomain_hack –request-nt-key –username=%{Stripped-User-Name:-%{User-Name:-None}} –challenge=%{mschap:Challenge:-00} –nt-response=%{mschap:NT-Response:-00}“ }
1.3.7 LDAP 配置 模块
LDAP模块只能在Access-Request packet 中包含明文密码属性才可以被使用。LDAP认证不能在其他任何认证方法中使用。
=
no#ntlm_auth
=
”/path/to/ntlm_auth
具体配置详见下属章节。(参看doc/rlm_ldap)。
1.3.8 passwd 模块
Passwd模块允许通过任何passwd样式的文件进行授权,并可以从这些模块中提取属性信息。
smbpasswd例子
#passwd etc_smbpasswd {
# filename = /etc/smbpasswd #
format
= “*User-Name::LM-Password:NT-Password:SMB-Account-CTRL-TEXT::”
# authtype = MS-CHAP
# hashsize = 100
# ignorenislike = no # allowmultiplekeys = no #}
#passwd etc_group {
# filename = /etc/group
# format = “=Group-Name:::*,User-Name”
# hashsize = 50
# ignorenislike = yes
# allowmultiplekeys = yes
# delimiter = “:” #}
1.3.9 Realm 模块
应用在代理上.You can have multiple instances of the realm module to support multiple realm syntaxs at the same time.The search order is defined by the order in the authorize and preacct sections.realm IPASS {
format = prefix
delimiter = “/”
ignore_default = no
ignore_null = no }
# ‘username@realm’
#
realm suffix {
format = suffix
delimiter = “@”
ignore_default = no
ignore_null = no }
# ‘username%realm’
#
realm realmpercent {
format = suffix
delimiter = “%”
ignore_default = no
ignore_null = no }
# ‘domainuser’
#
realm ntdomain {
format = prefix
delimiter = “"
ignore_default = no
ignore_null = no }
1.3.10 简单值检查模块(checkval)It can be used to check if an attribute value in the request matches a(possibly multi valued)attribute in the check items This can be used for example for caller-id authentication.For the module to run,both the request attribute and the check items attribute must exist.checkval {
# The attribute to look for in the request
# Request包中查找的属性名称
item-name = Calling-Station-Id
# The attribute to look for in check items.Can be multi valued
# Check 表中查找的属性名称
check-name = Calling-Station-Id
# The data type.Can be
# 数据类型的种类
# string,integer,ipaddr,date,abinary,octets
data-type = string
# If set to yes and we dont find the item-name attribute in the
# request then we send back a reject
# 如果设置为yes,我们不在request包中查找属性名称直接发送reject.# DEFAULT is no
#notfound-reject = no }
1.3.11 从写属性模块(attr_rewrite)从写任何包,在认证和计费时都很有用.在拿到包后,可以从写包里属性的内容.#attr_rewrite sanecallerid { # attribute = Called-Station-Id
# may be ”packet“,”reply“,”proxy“,”proxy_reply“ or ”config“
# searchin = packet
# searchfor = ”[+ ]“
# replacewith = ”“
# ignore_case = no
# new_attribute = no
# max_matches = 10
# ## If set to yes then the replace string will be appended to the original string
# append = no #}
1.3.12 预处理radius请求模块(preprocess)预处理Radius请求,在交付其他模块处理前.包含这两个配置文件.可以从写那些由一些NAS添加的很奇怪的属性.然后把这些属性转换到一个形态。参见第二章。
配置实例:
preprocess {
huntgroups = ${confdir}/huntgroups
hints = ${confdir}/hints
with_ascend_hack = no
ascend_channels_per_line = 23
with_ntdomain_hack = no
with_specialix_jetstream_hack = no with_cisco_vsa_hack = no }
1.3.13 用户文件模块(files)files {
usersfile = ${confdir}/users
acctusersfile = ${confdir}/acct_users
preproxy_usersfile = ${confdir}/preproxy_users
compat = no }
1.3.14 日志信息记录模块(detail)将计费信息详细记录到文件上,按照设定时间,每隔一个时段生成一个新文件记录.detail {
detailfile = ${radacctdir}/%{Client-IP-Address}/detail-%Y%m%d
detailperm = 0600
#suppress {
# User-Password #} }
将认证信息详细记录到文件上,按照设定时间,每隔一个时段生成一个新文件记录.detail auth_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/auth-detail-%Y%m%d
This MUST be 0600,otherwise anyone can read the users passwords!
detailperm = 0600 }
将相应(Reply)信息详细记录到文件上,按照设定时间,每隔一个时段生成一个新文件记录
detail reply_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/reply-detail-%Y%m%d
This MUST be 0600,otherwise anyone can read
the users passwords!
detailperm = 0600 }
This module logs packets proxied to a home server.detail pre_proxy_log {
detailfile = ${radacctdir}/%{Client-IP-Address}/pre-proxy-detail-%Y%m%d
This MUST be 0600,otherwise anyone can read
the users passwords!
detailperm = 0600 }
This module logs response packets from a home server.detail post_proxy_log { detailfile ${radacctdir}/%{Client-IP-Address}/post-proxy-detail-%Y%m%d
This MUST be 0600,otherwise anyone can read
= the users passwords!
detailperm = 0600 }
1.3.15 SQL日志记录模块(sql_log)The rlm_sql_log module appends the SQL queries in a log file which is read later by the radsqlrelay program.它只是将sql语句写到文件里,而后由radsqlrelay程序读取.参看
1.3.16 计费唯一sessionid模块
针对NAS不停重复Acct-Session-Id values造成混淆的问题,建立唯一的计费sessionid
acct_unique {
key = ”User-Name,Acct-Session-Id,NAS-IP-Address,Client-IP-Address,NAS-Port“ }
1.3.17 SQL模块
通过$INCLUDE来把数据库的模块的配置文件链接进来.# The following configuration file is for use with MySQL.#
# For Postgresql,use: ${confdir}/postgresql.conf
# For MS-SQL,use: ${confdir}/mssql.conf
# For Oracle,use: ${confdir}/oraclesql.conf
$INCLUDE ${confdir}/sql.conf
1.3.18 Radutmp模块
记录了那些在线用户的用户名,以及他们从哪里登陆的信息.实例1 radutmp
radutmp {
filename = ${logdir}/radutmp
username = %{User-Name}
case_sensitive = yes
check_with_nas = yes
perm = 0600
callerid = ”yes“ }
实例2 ”Safe“ radutmp
radutmp sradutmp {
filename = ${logdir}/sradutmp
perm = 0644
callerid = ”no“ }
1.3.19 属性过滤模块
属性过滤模块,过滤从代理raidus服务器那里收到响应信息里的属性,来确保我们可以发送回给我们的Radius客户端,详细见attrs配置文件.attr_filter {
attrsfile = ${confdir}/attrs }
1.3.20 计数模块
从计费包信息中拿去一个属性及它的值,统计这个属性不同值的总数.counter daily {
filename = ${raddbdir}/db.daily
key = User-Name
count-attribute = Acct-Session-Time
reset = daily
counter-name = Daily-Session-Time
check-name = Max-Daily-Session
allowed-servicetype = Framed-User
cache-size = 5000 }
1.3.21 SQL计数模块
该模块所需要的信息都储存raddacct表中。它并不进行在数据库中插入数据项和更新数据项,它完全依赖SQL模块来处理计费信息包。(具体请参照SQL模块配置分析第七章)
例1
sqlcounter dailycounter {
counter-name = Daily-Session-Time
check-name = Max-Daily-Session
sqlmod-inst = sql
key = User-Name
reset = daily
query = ”SELECT SUM(AcctSessionTimeUNIX_TIMESTAMP(AcctStartTime)),FROM radacct WHERE UserName=’%{%k}’ AND
0))
UNIX_TIMESTAMP(AcctStartTime)+ AcctSessionTime > ‘%b’“
} 例2
sqlcounter monthlycounter {
counter-name = Monthly-Session-Time
check-name = Max-Monthly-Session
sqlmod-inst = sql
key = User-Name
reset = monthly
query = ”SELECT SUM(AcctSessionTimeUNIX_TIMESTAMP(AcctStartTime)),0))
FROM radacct WHERE UserName=’%{%k}’ AND
UNIX_TIMESTAMP(AcctStartTime)+ AcctSessionTime > ‘%b’“
}
1.3.22 Always模块
为了测试用的Always模块,不做任何事情
always fail {
rcode = fail }
always reject {
rcode = reject }
.always ok {
rcode = ok
simulcount = 0 mpp = no }
1.3.23 Expression模块(expr)This module is useful only for ‘xlat’.expr { }
1.3.24 Digest模块 目前没有配置
”Digest“ authentication against a Cisco SIP server.1.3.25 外部程序执行模块(exec)This module is useful only for ‘xlat’
可以将外界程序运行的结果赋予给属性值.如:Attribute-Name = `%{exec:/path/to/program args}` exec { wait = yes
input_pairs = request }
例This is a more general example of the execute module.exec echo { wait = yes
program = ”/bin/echo %{User-Name}“
input_pairs = request
output_pairs = reply }
IP地址池模块
服务器端IP地址池管理,应该在post-auth和accounting域应该被添加.例:
ippool main_pool {
range-start = 192.168.1.1
range-stop = 192.168.3.254
netmask = 255.255.255.0 cache-size = 800
session-db = ${raddbdir}/db.ippool
ip-index = ${raddbdir}/db.ipindex
override = no
maximum-timeout = 0 }
1.4 关键域
1.4.1 实例化域(Instantiation)这部分的目的是装载模块,那些被列在该域的模块讲在authorize,authenticate,等域之前装载.本部分并不是必须步骤.instantiate { exec expr }
1.4.2 authorize域
The preprocess module takes care of sanitizing some bizarre attributes in the request,and turning them into attributes which are more standard.It takes care of processing the ‘raddb/hints’ and the ‘raddb/huntgroups’ files.It also adds the %{Client-IP-Address} attribute to the request.这个预处理模块解决对request包中的那些奇怪的属性的处理,并把这些奇怪的属性放到标准的属性中.它同样处理 hints 与 huntgroups文件.并在request包中添加%{Client-IP-Address} 属性.authorize {
preprocess
# auth_log
# attr_filter Chap Mschap # digest # IPASS suffix
# ntdomain Eap Files Sql
# etc_smbpasswd # ldap # daily
# checkval }
1.4.3 Authentication域
这部分列出验证所需要的模块..但各个模块并不是按照顺序进行尝试的.它的含义是在authorize域添加一份配置属性’Auth-Type := FOO’.这个验证类型用来拿去域模块列表中合适的模块.一般来说,不应该设置Auth-Type 属性.Radius服务器会自己来判断,然后做正确的事.Auth-Type 一般来说,不正确设置的最普通效果就是只有一种认证方法运行,其他的全部失败.手动设置Auth-Type attribute的原因一般为要强制拒绝用户,或者强制通过认证用户..authenticate {
Auth-Type PAP { pap }
Auth-Type CHAP { chap }
Auth-Type MS-CHAP { mschap } # digest # pam Unix
# Auth-Type LDAP { # ldap # } eap }
1.4.4 Pre-accounting域 决定用何种计费方式
preacct {
preprocess
acct_unique # IPASS suffix
# ntdomain files }
1.4.5 Accounting域 accounting {
建立packets的详细日志
记录那些代理的计费requests,并在 detail # daily
# Update the wtmp file #
detail文件中记录
如果你不使用radlast,你就不能删掉下面这行
unix #
# For Simultaneous-Use tracking.#
# Due to packet losses in the network,the data here
# may be incorrect.There is little we can do about it.# 由于网络上数据包的丢失,这里的数据有可能会不正确,对此我们无能为力
radutmp
# sradutmp # Return an address to the IP Pool when we see a stop record.# 当我们看到停止记录时向IP Pool中返回地址信息
# main_pool #
# Log traffic to an SQL database.# 向SQL数据库中记录日志
#
# See ”Accounting queries“ in sql.conf
# 在 sql.conf中查看”计费 queries”
sql # # Instead of sending the query to the SQL server,# write it into a log file.# 除了向SQL数据库中写入query信息,还可以将信息写入log file来代替.# sql_log
# Cisco VoIP specific bulk accounting
# pgsql-voip }
1.4.6 Session域
# Session database,used for checking Simultaneous-Use.Either the radutmp
# or rlm_sql module can handle this.# The rlm_sql module is *much* faster
Session 数据库用来检查用户的并发使用.不论是Radutmp还是rlm_sql模块都在这里被处理,rlm_sql模块相比来说速度更快.session { radutmp #
# See ”Simultaneous Use Checking Querie" in sql.conf # sql }
1.4.7 post-auth域 # Post-Authentication
# Once we KNOW that the user has been authenticated,# additional steps we can take.there are
第三篇:人力资源部总结部署
2013人力资源部工作计划
人力资源部刘世杰
各位领导、各位同事:
你们好!新年伊始,集团公司于1月18日胜利召开了2013工作会议。会上,董事长就过去的一年工作会议及本工作安排部署做了重要讲话,刘董事长的讲话高屋建瓴、统领全局,以通俗易懂、深刻精辟的语言阐述了天禧集团的发展战略及指导思想,对各级干部员工,尤其是中层的管理水平、综合素质提出了明确要求。
通过深入学习董事长年终总结大会讲话精神,结合集团目前人力资源工作实际情况,现将人力资源部2013工作计划汇报如下:
一、在人力资源规划方面:
为加强对集团人力资源的统筹管理,根据集团及所属各公司目前人力资源管理工作现状,通过深入调研,并与集团各部门、各公司协调配合,全面谋划和制定《山西天禧集团2013人力资源发展规划》实施方案。
该方案计划于2013年3月底之前制定并下发。该文件应对集团各部门、各公司组织架构设置原则、各岗位人员配备要求、人员调动、招聘、培训与解聘流程及员工档案管理等工作均作明确规定和具体要求,以此作为集团人力资源管理工作第一份系统性方案,为今后抓好人力资源管理基础性工作奠定基础。
二、在岗位人员配置方面:
通过对集团各部门、各公司组织架构现状和人员状况的深入了解,同时根据行业特点和实际需要,并经与各部门、各公司主要负责人沟通,对集团和各公司部门组织架构设置和各岗位人员编制数进行审定,分别发文给集团各部门、各公司予以确定。全面系统地对集团所属各公司、部门开展组织架构设置和人员定编、定岗工作,从而基本完成集团及所属各公司的组织架构设置完善及人员的合理配备工
作,初步实现集团人力资源管理工作的规范法和标准化。
该项工作于2013年2至3月份具体实施,3月底之前完成。
3、在人才招聘方面:
根据集团大力实施人才强企战略的指导方针,一方面要继续加强高级管理人才、高级技术人才、高级营销人才的引进力度,另一方面要明确集团人员需求申批和招聘流程,通过各种渠道,积极组织急需岗位的员工招聘和录用工作,以缓解集团各部门、各公司对人才的迫切需求。人力资源部应于2013年1月15日之前完成对集团各部门、各公司的人员需求统计工作,根据统计情况制定实施相应的人员招聘计划,并于2013年3月份之前开始通过招聘网站等平面媒体、参加人才招聘会、公开推选等方式,全方位、不间断、多层次地进行各种人员的招聘活动,选聘集团急需的各类人才,同时初步建立人才储备库,不断积累、优化配置人力资源。
同时,在中级管理层中要继续推行任职竞聘活动,力争实现“能者上、平者让、庸者下”的竞争激励机制。
4、在员工培训与开发方面:
要制定《山西天禧集团2013员工培训实施方案》,严格按照该方案开展培训工作。将提升中层管理人员管理的管理水平作为培训重点,培养中层领导干部对所管辖人员的选、育、用、留、激的管理能力。将单一的视频电教培训模式改变为内外讲师授课、案例讨论分析等多种培训形式相结合的方式进行,提升员工培训兴趣。注重理论与实践相结合的培训内容,制定有针对性的培训课题进行讨论、学习;加强内部讲师的培养,在2013年至少引进或培养1名高级企业管理课程培训讲师;加强新聘员工入职培训及岗前培训,完善新聘员工入职培训方法、内容,使新聘员工尽快融入公司文化及管理氛围中。
5、在绩效考核和薪酬福利方面:
本着“对内体现公平性,对外具有竞争力”的原则,重新制定绩效考核标准,完善各公司绩效考核方案,采取不同职务、不同考核内
容及不同人员参与考核的方式对员工进行考核,按德、能、勤、绩四个方面每月进行打分评价。通过考核,建立切实有效的绩效激励机制,为集团员工岗位调整、薪酬调整等人事变动提供重要的依据。
绩效考核方案要在2013年2月底之前提出草案,3月份讨论通过并实施。
6、在劳动关系管理和维护方面:
应继续建立和完善人力资源管理档案;同时,为合理用工,切实保障企业和员工利益,规避用工风险,2013年将根据岗位技能和服务年限,全面规范劳动合同管理工作,要逐步建立集团的劳动合同管理模式,实现对人力资源的合同化管理,同时,在劳动安全、劳动纪律等方面,人力资源部要做好检查督导工作。
7、在企业文化建设方面:
要继续弘扬“精实”精神,大力推进企业文化的宣贯工作,积极组织企业文化主题活动,通过“形象、理念、行为”三大系统的识别,促进企业文化落地生根,使天禧精神、天禧理念、天禧的价值观在全体员工中内化于心、外化于行,成为日常工作中的行为规范和自觉行动。2013年,原则上计划每季度开展企业文化主题活动一次。具体安排根据集团领导指示,另行通知。
三、认清不足,找准工作提升点
1、认清自己在工作经验和个人能力方面的不足,不断学习,提高自我。一方面要努力学习人力资源管理的理论知识,用专业的理论武装自己,在工作实践中学以致用;另一方面要虚心求教,多请教,多讨论,多向领导汇报,及时发现并解决自己工作中存在的问题。
2、要转变过去的工作方式,采取走出去的办法,直接、经常与员工沟通,深入了解员工工作内容、程序、方式、方法以及工作中出现的问题,找出制约、影响集团发展的重要、突出问题,制定合理、有效的解决方案,切实帮助集团及员工解决工作中存在的问题。
3、保持公正、公平、严谨的工作作风,处理问题对事不对人,在人事管理工作中努力做到零失误,上对集团负责,下对全体员工负责,使人事管理工作真正起到服务全体员工的作用。
回顾过去,总结经验,改正不足;展望未来,任重道远,不辱使命。2013年,人力资源部将在集团公司的正确领导下,在集团各部门、各公司的支持配合下,围绕集团的发展战略和部门工作职责,尽心尽力、开展工作,为完成集团的总体目标努力奋斗!
最后,愿我们的天禧集团在新的一年里广纳英才,愿天禧集团的事业更上一个新台阶!
我的汇报完毕,谢谢大家!
第四篇:安监局总结及部署
通山县2011年安全生产工作总结
及2012年工作计划
一、全县安全生产工作总结
2011年以来,我局在县委、县政府的正确领导下,在省市有关部门的大力支持下,坚持“安全第一,预防为主,综合治理”的方针,全面开展各项职能工作,保持了全县安全生产形势整体平稳。我们的具体做法是:
1、安委会领导工作进一步加强。2011年是换届之年,根据人事的变动,及时调整加强县安委会领导成员,安委会主任由县长担任,县政府所有分管领导严格履行“一岗双责”,在全县范围内形成了横到边、纵到底、责任全覆盖的安全生产责任网络体系。年初召开的安全生产工作会议上,县长与12个乡镇、九宫山风景区、开发区签订安全生产责任状,分管副县长与35个县直部门签订安全生产责任状,安监局与全县高危企业签订了责任状,做到了责任“三落实”。
2、深入开展各种专项治理行动。一年来,我们抓住“安全生产年”这条主线,深入开展各种专项治理行动。从5月上旬至7月上旬,全县集中开展“打非治违”专项行动,共组织督查组61个,出动执法人员176余人次,检查企业390余家,排查隐患470个,己整改到位420个,责令停产整顿企业13家,关闭非法生产企业2家,实施经济处罚30余万元。从8 1
月下旬至9月底,在全县范围内集中开展了一次安全生产事故隐患排查治理专项行动,排查出各类安全生产隐患406项,整改376项。其中:煤矿、非煤矿山等工矿企业安全生产隐患214项,整改205项;交通运输等重点行业(领域)企业单位安全生产隐患192项,整改171项。
3、不断加强安监执法力度。二月份,我们结合本地实际和行业特点,分别编制了《煤矿、非煤矿山、危险化学品、烟花爆竹等安全监管执法工作计划》,以科学规划严查各类事故隐患。一旦事故发生,我们都组织专班,第一时间赶赴现场调查取证,按照“四不放过”原则和“三铁”要求严肃查处,给受害人最大程度的安抚,并及时将情况上报省市相关部门。
4、加大安全教育培训力度。认真组织第十个“安全生产月”集中宣传活动,提升全民安全法制意识。在全县矿山、危化品等高危行业实行全员培训考核、挂牌上岗制度。在日常监管中,对证查人、对人查证,确保高危行业从业人员持证上岗率达100%。今年累计培训考核4批次700余人。
5、开展矿山示范矿井建设。先后3次组织煤矿企业主要负责人、生产矿长、技术矿长和安全矿长200余人次到湖南、荆门和宜昌等地学习煤矿示范矿井建设。通过对比、学习,我县煤矿企业在办矿理念、安全文化、安全投入、现场管理等方面均有大幅度的提高,得到了湖北煤监局长严寅初的表扬。在非煤矿山开展以20方针为基础的标准化工作,即台阶式开采、中深孔爆破、机械化铲装、规范化管理。
6、水上交通安全。完成了省安委会挂牌督办的重大隐患的整改任务,全面实施库区151艘客渡船中的98艘更新;在航道上设置75个航标;在库区乡镇实行五定一限工作。
二、2012年工作部署
2011年我们做了些实事,取得了些成绩,2012年我们会继续努力,紧紧围绕县委、县政府的中心工作,为打造“六型”通山,尤其是“平安通山”做出应有的贡献。明年,我们会重点开展以下工作:
1、全面开展企业安全质量标准化建设工作。实践表明,要消除企业生产经营中事故隐患,有效控制安全风险,达到本质安全水平,就必须全面开展安全生产质量标准化建设。2012年我们会认真结合本地实际,围绕安全生产规章制度、设备设施本质安全、从业人员安全培训教育、现场安全管理等环节,学习借鉴其他地区推行安全生产规范化管理工作的做法,精心策划,明确制订本辖区《安全质量标准化活动工作目标》,细化实施方案,有计划、有步骤、有目标地开展此项活动,确保企业安全生产基础工作得到全面加强,安全生产面貌从根本上得到改善。
2、加快煤矿资源整合技改。煤矿企业在我县经济中占有很重要的地位,根据国务院以及省、市政府文件精神,全县9家煤矿均需技改扩能,否则,达不到国家要求就会被无条件关闭,这项工作任务很重。我们将按“2345”计划落实,即3年内再关闭2家,2012年底3家矿达到示范矿井要求,2013底再有4家矿达到示范矿井要求,2014年底最后5家矿达到示范矿井要求。
3、继续加大安全生产培训力度。要想搞好企业安全生产工作,培训是基础。培训是解决人的安全意识、安全技能和管理水平的有效方法。2012年,我们将组织全县所有企业的主要负责人、经理进行一次安全生产培训,树立企业主要负责人安全生产意识。另外,针对乡镇换届安监站人员变动的情况,组织对乡镇分管副乡镇长和安监站工作人员进行安全生产培训。
4、继续深化重点行业和领域的安全专项整治。特别是消防、道路交通、煤矿、非煤矿山、危险化学品、烟花爆竹、建筑施工等行业。将执法工作重点落实到不同季节、不同时段、不同行业、具体地方、具体企业、具体内容,加大执法监察频率、形成联合执法机制。严查各类事故隐患,严厉打击重点领域非法违法行为。
5、加强综合监管能力。加强与安委会成员单位的交流与沟通,在特殊节假日及特别时期牵头相关部门开展联合大检查以及联合执法行动,充分发挥安全生产综合监管作用。
二0一二年一月五日
第五篇:IPTV部署总结
IPTV数据部署工作总结
一、接入网现状
目前,西宁接入设备类型共15种,设备数量1200多套,AG设备组网通过OLT汇聚,然后语音和数据业务分离,语音业务上联TG设备,最后到软交换,数据业务上连数据汇聚交换机,最后到IP城域网设备;除以上组网方式外,部分AG设备直接上联到TG设备,再通过TG设备语音和数据业务分离,分离上联软交换和IP城域网,还有小部分AG设备通过A类ONU(F400,F401)设备串联组网,这种组网方式不能满足IPTV业务部署,需要后期进行改造。
二、IPTV数据部署情况
1、中兴AG设备:
中兴AG设备共1014套,完成960套,完成率95%,以下为符合条件已经部署IPTV数据的设备,中兴9806H设备798套,OUT40E 133套,中兴MSAG5200设备19套,中兴F820设备6套,中兴OUT50F设备4套;不符合条件部署IPTV数据设备,OUT40E设备25套(上联F401),OUT30 设备1套,OUT50D设备3套,OUT50F设备4套,OUN100 设备74套,具体完成情况见附件1-2。
2、华为AG设备
华为在用AG设备共111套,满足条件且完成IPTV数据制作的共72套设备,完成率65%;37套设备需整改(两套设备同时存在单、双层VLAN情况),4套设备为纯窄带,暂时未做IPTV业务数据,具体完成情况见附件1-2。
3、贝尔7302设备
满足条件部署IPTV业务数据设备100套,其中7302FD 30台,7302XD 70台;不满足IPTV业务部署设备60套,主要为版本和数据问题,具体见附件1-2。
三、存在的问题
1、已部署设备存在问题(1)影响用户宽带业务:
早期贝尔、中兴MODEM用户PVC只有1个通道口,IPTV的PVC值为8:43,与宽带PVC值0:35相冲突,导致用户宽带业务同步678,删除IPTV的PVC通道值或更换MODEM后正常。
申告用户36户,涉及AG节点有:水务燃气住宅AG,水利水电勘察设计院住宅AG,纺织品新楼AG,枫林绿洲AG, 力盟大厦AG等。(2)9806H设备主控板版本过低:
以下设备主控板版本为V2.0.0P4T8,过低,导致IPTV数据无法完全正确配置,需升级至V1.0.0T3。
14台,包括:核工业园AG1,明仁苑2期AG4-5,62201部队AG1,香格里拉1-8号楼AG1,青海旺和酒店管理有限公司AG,世通名城AG1,师大研究生公寓AG1,远翔第二停车场AG,中石油AG,朝阳地矿小区AG3-4,晋家湾AG1-2。(3)7302设备版本协议问题:
7300为早期型号,当是设计没有规划IGMP组播数据及协议,无法实现IPTV组播功能;7302XD的几个版本如 L6GPAA24.218
L6GPAA34.412 L6GPAA33.521 无法实现组播功能。(4)数据问题
贝尔7302设备有53套设备为单层VLAN,不满足IPTV业务部署,需要改造升级为双层VLAN。华为AG有36套设备为单层VLAN设备,需要进行改造为双层VLAN。
2、未部署设备存在问题
(1)中兴OUT40E:14台, 中兴OUT50D:3台, 中兴ONU100:36台。
上述设备为:无上联板(EPNI),组网方式:OLT—ONU(F400/401)—OUT40E/OUT50D/ONU100;与已部署设备相比,IPTV数据部署后,组播、单播流无法通过,节目无法正常播出。需要增加设备上联板(EPNI),组网方式改为OLT—OUT40E。(2)未部署设备的改造问题:
①中兴OUT40E:15台,其中建北巷 AG1、嘉荣华AG1、宏达花苑AG,新宁花园AG1已满配(满配为34块),增加上联板(EPNI),需撤1块业务板,其余设备可直接增加上联板(EPNI)。
②中兴OUT50D:2台,包括:油泵油嘴厂AG、建兰小区AG,槽位均已满配(满配为6块),增加上联板(EPNI),需撤1块业务板。
③中兴ONU100:36台,其中湖滨小区AG1-6,香格里拉AG2、AG4,青医花园AG3,花好月圆AG3,金盘小区AG1-6,瑞安小区小区AG1,青藏铁路配件厂AG,城南电线电缆厂AG有空槽位,可直接增加上联板(EPNI),其余设备已满配(满配为4块),增加上联板(EPNI),需撤1块业务板。
四、下一步整改思路
1、通过F401(F400)组网方式的AG设备,需要通过改造组网方式,实现EPIN板上行,直接上联到TG设备的AG需要割接到OLT。
2、单层VLAN的AG设备和DSLAM设备,需要改造为双层VLAN。
3、版本不支持AG和DSLAM设备,需要升级版本到可实现IPTV组播功能的版本。
西宁电信网络操作维护中心 2011年7月28日