FreeRadiusで2つのAuth-Type PAPとEAPを使用する

Question

私はMySQLを使ってデータを保存するfreeradiusサーバを持っています。次

は、一つはPAPを使用し、User-Password属性にパスワードを送信し、我々は無料の半径を持つ2つの異なる認証タイプを使用する2つの異なるクライアントを持っている私のデータベース

radcheck table 
+-----+----------+--------------------+----+--------------+ 
| id | username | attribute   | op | value  | 
+-----+----------+--------------------+----+--------------+ 
| 474 | varun | Cleartext-Password | := | sunshine3003 | 
+-----+----------+--------------------+----+--------------+ 


radreply table 
+----+----------+--------------+----+-------+ 
| id | username | attribute | op | value | 
+----+----------+--------------+----+-------+ 
| 1 | varun | Fall-Through | = | Yes | 
+----+----------+--------------+----+-------+ 


radgroupcheck table 
+----+-----------+-----------+----+-------+ 
| id | groupname | attribute | op | value | 
+----+-----------+-----------+----+-------+ 
| 1 | group1 | Auth-Type | := | PAP | 
| 2 | eapgroup | Auth-Type | := | EAP | 
+----+-----------+-----------+----+-------+ 


radusergroup table 
+----------+-----------+----------+ 
| username | groupname | priority | 
+----------+-----------+----------+ 
| varun | eapgroup |  1 | 
| varun | group1 |  2 | 
+----------+-----------+----------+ 

です。私が欲しいもの

し、別のクライアントユーザEAPとEAP-Messageでパスワードを送信してMessage-Authenticator

はUser-Password属性は、それがEAPEAPAuth-Typeとして及び場合を使用する必要があります提示し、Message-Authenticatorされていない場合にPAPが認証に失敗した場合や、されていますradius属性に存在しない場合、アクセス拒否または認証失敗メッセージで応答する必要があります。

すべてのヘルプは手動control:Auth-Typeを設定しないでください

Answer 1

を理解されるであろう。この属性は、authorizeセクションのモジュールが残りのサーバーと通信できるようにするためのもので、authenticateセクションで実行する必要がある認証の種類です。

属性に基づいてAuth-Typeを設定するには、pap、eapなどのモジュールをauthorizeセクションで順番に指定する必要があります。必要な属性がリクエストに含まれているかどうかを確認し、正しいAuth-Type値。

特定のユーザを特定のタイプの認証に制限するポリシーを作成する場合は、返信リスト（radgroupreplyテーブル）にAuth-Typeを設定し、authorizeセクションの最後にAuth-Typeが設定されていることを確認します。

authorize { 
    eap 
    pap 
    sql 

    if (control:Auth-Type != reply:Auth-Type) { 
     reject 
    } 
}