home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / etc / hostapd / hostapd.conf < prev    next >
Text File  |  2006-05-15  |  15KB  |  366 lines
  1. ##### hostapd configuration file ##############################################
  2. # Empty lines and lines starting with # are ignored
  3.  
  4. # AP netdevice name (without 'ap' postfix, i.e., wlan0 uses wlan0ap for
  5. # management frames); ath0 for madwifi
  6. interface=wlan0
  7.  
  8. # In case of madwifi driver, an additional configuration parameter, bridge,
  9. # must be used to notify hostapd if the interface is included in a bridge. This
  10. # parameter is not used with Host AP driver.
  11. #bridge=br0
  12.  
  13. # Driver interface type (hostap/wired/madwifi/prism54; default: hostap)
  14. # driver=hostap
  15.  
  16. # hostapd event logger configuration
  17. #
  18. # Two output method: syslog and stdout (only usable if not forking to
  19. # background).
  20. #
  21. # Module bitfield (ORed bitfield of modules that will be logged; -1 = all
  22. # modules):
  23. # bit 0 (1) = IEEE 802.11
  24. # bit 1 (2) = IEEE 802.1X
  25. # bit 2 (4) = RADIUS
  26. # bit 3 (8) = WPA
  27. # bit 4 (16) = driver interface
  28. # bit 5 (32) = IAPP
  29. #
  30. # Levels (minimum value for logged events):
  31. #  0 = verbose debugging
  32. #  1 = debugging
  33. #  2 = informational messages
  34. #  3 = notification
  35. #  4 = warning
  36. #
  37. logger_syslog=-1
  38. logger_syslog_level=2
  39. logger_stdout=-1
  40. logger_stdout_level=2
  41.  
  42. # Debugging: 0 = no, 1 = minimal, 2 = verbose, 3 = msg dumps, 4 = excessive
  43. debug=0
  44.  
  45. # Dump file for state information (on SIGUSR1)
  46. dump_file=/tmp/hostapd.dump
  47.  
  48. # Interface for separate control program. If this is specified, hostapd
  49. # will create this directory and a UNIX domain socket for listening to requests
  50. # from external programs (CLI/GUI, etc.) for status information and
  51. # configuration. The socket file will be named based on the interface name, so
  52. # multiple hostapd processes/interfaces can be run at the same time if more
  53. # than one interface is used.
  54. # /var/run/hostapd is the recommended directory for sockets and by default,
  55. # hostapd_cli will use it when trying to connect with hostapd.
  56. ctrl_interface=/var/run/hostapd
  57.  
  58. # Access control for the control interface can be configured by setting the
  59. # directory to allow only members of a group to use sockets. This way, it is
  60. # possible to run hostapd as root (since it needs to change network
  61. # configuration and open raw sockets) and still allow GUI/CLI components to be
  62. # run as non-root users. However, since the control interface can be used to
  63. # change the network configuration, this access needs to be protected in many
  64. # cases. By default, hostapd is configured to use gid 0 (root). If you
  65. # want to allow non-root users to use the contron interface, add a new group
  66. # and change this value to match with that group. Add users that should have
  67. # control interface access to this group.
  68. #
  69. # This variable can be a group name or gid.
  70. #ctrl_interface_group=wheel
  71. ctrl_interface_group=0
  72.  
  73.  
  74. ##### IEEE 802.11 related configuration #######################################
  75.  
  76. # SSID to be used in IEEE 802.11 management frames
  77. ssid=test
  78.  
  79. # Station MAC address -based authentication
  80. # 0 = accept unless in deny list
  81. # 1 = deny unless in accept list
  82. # 2 = use external RADIUS server (accept/deny lists are searched first)
  83. macaddr_acl=0
  84.  
  85. # Accept/deny lists are read from separate files (containing list of
  86. # MAC addresses, one per line). Use absolute path name to make sure that the
  87. # files can be read on SIGHUP configuration reloads.
  88. #accept_mac_file=/etc/hostapd/hostapd.accept
  89. #deny_mac_file=/etc/hostapd/hostapd.deny
  90.  
  91. # IEEE 802.11 specifies two authentication algorithms. hostapd can be
  92. # configured to allow both of these or only one. Open system authentication
  93. # should be used with IEEE 802.1X.
  94. # Bit fields of allowed authentication algorithms:
  95. # bit 0 = Open System Authentication
  96. # bit 1 = Shared Key Authentication (requires WEP)
  97. auth_algs=3
  98.  
  99. # Associate as a station to another AP while still acting as an AP on the same
  100. # channel.
  101. #assoc_ap_addr=00:12:34:56:78:9a
  102.  
  103. # Station inactivity limit
  104. #
  105. # If a station does not send anything in ap_max_inactivity seconds, an
  106. # empty data frame is sent to it in order to verify whether it is
  107. # still in range. If this frame is not ACKed, the station will be
  108. # disassociated and then deauthenticated. This feature is used to
  109. # clear station table of old entries when the STAs move out of the
  110. # range.
  111. #
  112. # The station can associate again with the AP if it is still in range;
  113. # this inactivity poll is just used as a nicer way of verifying
  114. # inactivity; i.e., client will not report broken connection because
  115. # disassociation frame is not sent immediately without first polling
  116. # the STA with a data frame.
  117. # default: 300 (i.e., 5 minutes)
  118. #ap_max_inactivity=300
  119.  
  120.  
  121. ##### IEEE 802.1X-2004 related configuration ##################################
  122.  
  123. # Require IEEE 802.1X authorization
  124. #ieee8021x=1
  125.  
  126. # IEEE 802.1X/EAPOL version
  127. # hostapd is implemented based on IEEE Std 802.1X-2004 which defines EAPOL
  128. # version 2. However, there are many client implementations that do not handle
  129. # the new version number correctly (they seem to drop the frames completely).
  130. # In order to make hostapd interoperate with these clients, the version number
  131. # can be set to the older version (1) with this configuration value.
  132. #eapol_version=2
  133.  
  134. # Optional displayable message sent with EAP Request-Identity. The first \0
  135. # in this string will be converted to ASCII-0 (nul). This can be used to
  136. # separate network info (comma separated list of attribute=value pairs); see,
  137. # e.g., draft-adrangi-eap-network-discovery-07.txt.
  138. #eap_message=hello
  139. #eap_message=hello\0networkid=netw,nasid=foo,portid=0,NAIRealms=example.com
  140.  
  141. # WEP rekeying (disabled if key lengths are not set or are set to 0)
  142. # Key lengths for default/broadcast and individual/unicast keys:
  143. # 5 = 40-bit WEP (also known as 64-bit WEP with 40 secret bits)
  144. # 13 = 104-bit WEP (also known as 128-bit WEP with 104 secret bits)
  145. #wep_key_len_broadcast=5
  146. #wep_key_len_unicast=5
  147. # Rekeying period in seconds. 0 = do not rekey (i.e., set keys only once)
  148. #wep_rekey_period=300
  149.  
  150. # EAPOL-Key index workaround (set bit7) for WinXP Supplicant (needed only if
  151. # only broadcast keys are used)
  152. eapol_key_index_workaround=0
  153.  
  154. # EAP reauthentication period in seconds (default: 3600 seconds; 0 = disable
  155. # reauthentication).
  156. #eap_reauth_period=3600
  157.  
  158. # Use PAE group address (01:80:c2:00:00:03) instead of individual target
  159. # address when sending EAPOL frames with driver=wired. This is the most common
  160. # mechanism used in wired authentication, but it also requires that the port
  161. # is only used by one station.
  162. #use_pae_group_addr=1
  163.  
  164. ##### Integrated EAP server ###################################################
  165.  
  166. # Optionally, hostapd can be configured to use an integrated EAP server
  167. # to process EAP authentication locally without need for an external RADIUS
  168. # server. This functionality can be used both as a local authentication server
  169. # for IEEE 802.1X/EAPOL and as a RADIUS server for other devices.
  170.  
  171. # Use integrated EAP server instead of external RADIUS authentication
  172. # server. This is also needed if hostapd is configured to act as a RADIUS
  173. # authentication server.
  174. eap_server=0
  175.  
  176. # Path for EAP server user database
  177. #eap_user_file=/etc/hostapd/hostapd.eap_user
  178.  
  179. # CA certificate (PEM or DER file) for EAP-TLS/PEAP/TTLS
  180. #ca_cert=/etc/hostapd/hostapd.ca.pem
  181.  
  182. # Server certificate (PEM or DER file) for EAP-TLS/PEAP/TTLS
  183. #server_cert=/etc/hostapd/hostapd.server.pem
  184.  
  185. # Private key matching with the server certificate for EAP-TLS/PEAP/TTLS
  186. # This may point to the same file as server_cert if both certificate and key
  187. # are included in a single file. PKCS#12 (PFX) file (.p12/.pfx) can also be
  188. # used by commenting out server_cert and specifying the PFX file as the
  189. # private_key.
  190. #private_key=/etc/hostapd/hostapd.server.prv
  191.  
  192. # Passphrase for private key
  193. #private_key_passwd=secret passphrase
  194.  
  195. # Enable CRL verification.
  196. # Note: hostapd does not yet support CRL downloading based on CDP. Thus, a
  197. # valid CRL signed by the CA is required to be included in the ca_cert file.
  198. # This can be done by using PEM format for CA certificate and CRL and
  199. # concatenating these into one file. Whenever CRL changes, hostapd needs to be
  200. # restarted to take the new CRL into use.
  201. # 0 = do not verify CRLs (default)
  202. # 1 = check the CRL of the user certificate
  203. # 2 = check all CRLs in the certificate path
  204. #check_crl=1
  205.  
  206. # Configuration data for EAP-SIM database/authentication gateway interface.
  207. # This is a text string in implementation specific format. The example
  208. # implementation in eap_sim_db.c uses this as the UNIX domain socket name for
  209. # the HLR/AuC gateway (e.g., hlr_auc_gw). In this case, the path uses "unix:"
  210. # prefix.
  211. #eap_sim_db=unix:/tmp/hlr_auc_gw.sock
  212.  
  213.  
  214. ##### IEEE 802.11f - Inter-Access Point Protocol (IAPP) #######################
  215.  
  216. # Interface to be used for IAPP broadcast packets
  217. #iapp_interface=eth0
  218.  
  219.  
  220. ##### RADIUS client configuration #############################################
  221. # for IEEE 802.1X with external Authentication Server, IEEE 802.11
  222. # authentication with external ACL for MAC addresses, and accounting
  223.  
  224. # The own IP address of the access point (used as NAS-IP-Address)
  225. own_ip_addr=127.0.0.1
  226.  
  227. # Optional NAS-Identifier string for RADIUS messages. When used, this should be
  228. # a unique to the NAS within the scope of the RADIUS server. For example, a
  229. # fully qualified domain name can be used here.
  230. #nas_identifier=ap.example.com
  231.  
  232. # RADIUS authentication server
  233. #auth_server_addr=127.0.0.1
  234. #auth_server_port=1812
  235. #auth_server_shared_secret=secret
  236.  
  237. # RADIUS accounting server
  238. #acct_server_addr=127.0.0.1
  239. #acct_server_port=1813
  240. #acct_server_shared_secret=secret
  241.  
  242. # Secondary RADIUS servers; to be used if primary one does not reply to
  243. # RADIUS packets. These are optional and there can be more than one secondary
  244. # server listed.
  245. #auth_server_addr=127.0.0.2
  246. #auth_server_port=1812
  247. #auth_server_shared_secret=secret2
  248. #
  249. #acct_server_addr=127.0.0.2
  250. #acct_server_port=1813
  251. #acct_server_shared_secret=secret2
  252.  
  253. # Retry interval for trying to return to the primary RADIUS server (in
  254. # seconds). RADIUS client code will automatically try to use the next server
  255. # when the current server is not replying to requests. If this interval is set,
  256. # primary server will be retried after configured amount of time even if the
  257. # currently used secondary server is still working.
  258. #radius_retry_primary_interval=600
  259.  
  260.  
  261. # Interim accounting update interval
  262. # If this is set (larger than 0) and acct_server is configured, hostapd will
  263. # send interim accounting updates every N seconds. Note: if set, this overrides
  264. # possible Acct-Interim-Interval attribute in Access-Accept message. Thus, this
  265. # value should not be configured in hostapd.conf, if RADIUS server is used to
  266. # control the interim interval.
  267. # This value should not be less 600 (10 minutes) and must not be less than
  268. # 60 (1 minute).
  269. #radius_acct_interim_interval=600
  270.  
  271.  
  272. ##### RADIUS authentication server configuration ##############################
  273.  
  274. # hostapd can be used as a RADIUS authentication server for other hosts. This
  275. # requires that the integrated EAP authenticator is also enabled and both
  276. # authentication services are sharing the same configuration.
  277.  
  278. # File name of the RADIUS clients configuration for the RADIUS server. If this
  279. # commented out, RADIUS server is disabled.
  280. #radius_server_clients=/etc/hostapd/hostapd.radius_clients
  281.  
  282. # The UDP port number for the RADIUS authentication server
  283. #radius_server_auth_port=1812
  284.  
  285. # Use IPv6 with RADIUS server (IPv4 will also be supported using IPv6 API)
  286. #radius_server_ipv6=1
  287.  
  288.  
  289. ##### WPA/IEEE 802.11i configuration ##########################################
  290.  
  291. # Enable WPA. Setting this variable configures the AP to require WPA (either
  292. # WPA-PSK or WPA-RADIUS/EAP based on other configuration). For WPA-PSK, either
  293. # wpa_psk or wpa_passphrase must be set and wpa_key_mgmt must include WPA-PSK.
  294. # For WPA-RADIUS/EAP, ieee8021x must be set (but without dynamic WEP keys),
  295. # RADIUS authentication server must be configured, and WPA-EAP must be included
  296. # in wpa_key_mgmt.
  297. # This field is a bit field that can be used to enable WPA (IEEE 802.11i/D3.0)
  298. # and/or WPA2 (full IEEE 802.11i/RSN):
  299. # bit0 = WPA
  300. # bit1 = IEEE 802.11i/RSN (WPA2) (dot11RSNAEnabled)
  301. #wpa=1
  302.  
  303. # WPA pre-shared keys for WPA-PSK. This can be either entered as a 256-bit
  304. # secret in hex format (64 hex digits), wpa_psk, or as an ASCII passphrase
  305. # (8..63 characters) that will be converted to PSK. This conversion uses SSID
  306. # so the PSK changes when ASCII passphrase is used and the SSID is changed.
  307. # wpa_psk (dot11RSNAConfigPSKValue)
  308. # wpa_passphrase (dot11RSNAConfigPSKPassPhrase)
  309. #wpa_psk=0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef
  310. #wpa_passphrase=secret passphrase
  311.  
  312. # Optionally, WPA PSKs can be read from a separate text file (containing list
  313. # of (PSK,MAC address) pairs. This allows more than one PSK to be configured.
  314. # Use absolute path name to make sure that the files can be read on SIGHUP
  315. # configuration reloads.
  316. #wpa_psk_file=/etc/hostapd/hostapd.wpa_psk
  317.  
  318. # Set of accepted key management algorithms (WPA-PSK, WPA-EAP, or both). The
  319. # entries are separated with a space.
  320. # (dot11RSNAConfigAuthenticationSuitesTable)
  321. #wpa_key_mgmt=WPA-PSK WPA-EAP
  322.  
  323. # Set of accepted cipher suites (encryption algorithms) for pairwise keys
  324. # (unicast packets). This is a space separated list of algorithms:
  325. # CCMP = AES in Counter mode with CBC-MAC [RFC 3610, IEEE 802.11i/D7.0]
  326. # TKIP = Temporal Key Integrity Protocol [IEEE 802.11i/D7.0]
  327. # Group cipher suite (encryption algorithm for broadcast and multicast frames)
  328. # is automatically selected based on this configuration. If only CCMP is
  329. # allowed as the pairwise cipher, group cipher will also be CCMP. Otherwise,
  330. # TKIP will be used as the group cipher.
  331. # (dot11RSNAConfigPairwiseCiphersTable)
  332. #wpa_pairwise=TKIP CCMP
  333.  
  334. # Time interval for rekeying GTK (broadcast/multicast encryption keys) in
  335. # seconds. (dot11RSNAConfigGroupRekeyTime)
  336. #wpa_group_rekey=600
  337.  
  338. # Rekey GTK when any STA that possesses the current GTK is leaving the BSS.
  339. # (dot11RSNAConfigGroupRekeyStrict)
  340. #wpa_strict_rekey=1
  341.  
  342. # Time interval for rekeying GMK (master key used internally to generate GTKs
  343. # (in seconds).
  344. #wpa_gmk_rekey=86400
  345.  
  346. # Enable IEEE 802.11i/RSN/WPA2 pre-authentication. This is used to speed up
  347. # roaming be pre-authenticating IEEE 802.1X/EAP part of the full RSN
  348. # authentication and key handshake before actually associating with a new AP.
  349. # (dot11RSNAPreauthenticationEnabled)
  350. #rsn_preauth=1
  351. #
  352. # Space separated list of interfaces from which pre-authentication frames are
  353. # accepted (e.g., 'eth0' or 'eth0 wlan0wds0'. This list should include all
  354. # interface that are used for connections to other APs. This could include
  355. # wired interfaces and WDS links. The normal wireless data interface towards
  356. # associated stations (e.g., wlan0) should not be added, since
  357. # pre-authentication is only used with APs other than the currently associated
  358. # one.
  359. #rsn_preauth_interfaces=eth0
  360. #
  361. # stakey: Whether STAKey negotiation for direct links (IEEE 802.11e) is
  362. # allowed. This is only used with RSN/WPA2.
  363. # 0 = disabled (default)
  364. # 1 = enabled
  365. #stakey=1
  366.