usr.sbin/wpa/hostapd/hostapd.conf.5

   1 .\" Copyright (c) 2005 Sam Leffler <sam@errno.com>
   2 .\" Copyright (c) 2006 Rui Paulo
   3 .\" All rights reserved.
   4 .\"
   5 .\" Redistribution and use in source and binary forms, with or without
   6 .\" modification, are permitted provided that the following conditions
   7 .\" are met:
   8 .\" 1. Redistributions of source code must retain the above copyright
   9 .\"    notice, this list of conditions and the following disclaimer.
  10 .\" 2. Redistributions in binary form must reproduce the above copyright
  11 .\"    notice, this list of conditions and the following disclaimer in the
  12 .\"    documentation and/or other materials provided with the distribution.
  13 .\"
  14 .\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS ``AS IS'' AND
  15 .\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  16 .\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  17 .\" ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
  18 .\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  19 .\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  20 .\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  21 .\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  22 .\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  23 .\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  24 .\" SUCH DAMAGE.
  25 .\"
  26 .\" $FreeBSD$
  27 .\"
  28 .Dd September 2, 2006
  29 .Dt HOSTAPD.CONF 5
  30 .Os
  31 .Sh NAME
  32 .Nm hostapd.conf
  33 .Nd configuration file for
  34 .Xr hostapd 8
  35 utility
  36 .Sh DESCRIPTION
  37 The
  38 .Xr hostapd 8
  39 utility
  40 is an authenticator for IEEE 802.11 networks.
  41 It provides full support for WPA/IEEE 802.11i and
  42 can also act as an IEEE 802.1X Authenticator with a suitable
  43 backend Authentication Server (typically
  44 .Tn FreeRADIUS ) .
  45 .Pp
  46 The configuration file consists of global parameters and domain
  47 specific configuration:
  48 .Bl -bullet -offset indent -compact
  49 .It
  50 IEEE 802.1X-2004
  51 .\" XXX not yet
  52 .\" .It
  53 .\" Integrated EAP server
  54 .\" .It
  55 .\" IEEE 802.11f - Inter-Access Point Protocol (IAPP)
  56 .It
  57 RADIUS client
  58 .It
  59 RADIUS authentication server
  60 .It
  61 WPA/IEEE 802.11i
  62 .El
  63 .Sh GLOBAL PARAMETERS
  64 The following parameters are recognized:
  65 .Bl -tag -width indent
  66 .It Va interface
  67 Interface name.
  68 Should be set in
  69 .Dq hostap
  70 mode.
  71 Make certain that there are no spaces after the interface name, or hostapd will
  72 complain that the interface does not exist.
  73 .It Va debug
  74 Debugging mode: 0 = no, 1 = minimal, 2 = verbose, 3 = msg dumps, 4 =
  75 excessive.
  76 .It Va dump_file
  77 Dump file for state information (on
  78 .Dv SIGUSR1 ) .
  79 .It Va ctrl_interface
  80 The pathname of the directory in which
  81 .Xr hostapd 8
  82 creates
  83 .Ux
  84 domain socket files for communication
  85 with frontend programs such as
  86 .Xr hostapd_cli 8 .
  87 .It Va ctrl_interface_group
  88 A group name or group ID to use in setting protection on the
  89 control interface file.
  90 This can be set to allow non-root users to access the
  91 control interface files.
  92 If no group is specified, the group ID of the control interface
  93 is not modified and will, typically, be the
  94 group ID of the directory in which the socket is created.
  95 .El
  96 .Sh IEEE 802.1X-2004 PARAMETERS
  97 The following parameters are recognized:
  98 .Bl -tag -width indent
  99 .It Va ieee8021x
 100 Require IEEE 802.1X authorization.
 101 .It Va eap_message
 102 Optional displayable message sent with EAP Request-Identity.
 103 .It Va wep_key_len_broadcast
 104 Key lengths for broadcast keys.
 105 .It Va wep_key_len_unicast
 106 Key lengths for unicast keys.
 107 .It Va wep_rekey_period
 108 Rekeying period in seconds.
 109 .It Va eapol_key_index_workaround
 110 EAPOL-Key index workaround (set bit7) for WinXP Supplicant.
 111 .It Va eap_reauth_period
 112 EAP reauthentication period in seconds.
 113 To disable reauthentication,
 114 use
 115 .Dq 0 .
 116 .\" XXX not yet
 117 .\" .It Va use_pae_group_addr
 118 .El
 119 .\" XXX not yet
 120 .\" .Sh IEEE 802.11f - IAPP PARAMETERS
 121 .\" The following parameters are recognized:
 122 .\" .Bl -tag -width indent
 123 .\" .It Va iapp_interface
 124 .\" Interface to be used for IAPP broadcast packets
 125 .\" .El
 126 .Sh RADIUS CLIENT PARAMETERS
 127 The following parameters are recognized:
 128 .Bl -tag -width indent
 129 .It Va own_ip_addr
 130 The own IP address of the access point (used as NAS-IP-Address).
 131 .It Va nas_identifier
 132 Optional NAS-Identifier string for RADIUS messages.
 133 .It Va auth_server_addr , auth_server_port , auth_server_shared_secret
 134 RADIUS authentication server parameters.
 135 Can be defined twice for secondary servers to be used if primary one
 136 does not reply to RADIUS packets.
 137 .It Va acct_server_addr , acct_server_port , acct_server_shared_secret
 138 RADIUS accounting server parameters.
 139 Can be defined twice for secondary servers to be used if primary one
 140 does not reply to RADIUS packets.
 141 .It Va radius_retry_primary_interval
 142 Retry interval for trying to return to the primary RADIUS server (in
 143 seconds).
 144 .It Va radius_acct_interim_interval
 145 Interim accounting update interval.
 146 If this is set (larger than 0) and acct_server is configured,
 147 .Xr hostapd 8
 148 will send interim accounting updates every N seconds.
 149 .El
 150 .Sh RADIUS AUTHENTICATION SERVER PARAMETERS
 151 The following parameters are recognized:
 152 .Bl -tag -width indent
 153 .It Va radius_server_clients
 154 File name of the RADIUS clients configuration for the RADIUS server.
 155 If this is commented out, RADIUS server is disabled.
 156 .It Va radius_server_auth_port
 157 The UDP port number for the RADIUS authentication server.
 158 .It Va radius_server_ipv6
 159 Use IPv6 with RADIUS server.
 160 .El
 161 .Sh WPA/IEEE 802.11i PARAMETERS
 162 The following parameters are recognized:
 163 .Bl -tag -width indent
 164 .It Va wpa
 165 Enable WPA.
 166 Setting this variable configures the AP to require WPA (either
 167 WPA-PSK or WPA-RADIUS/EAP based on other configuration).
 168 .It Va wpa_psk , wpa_passphrase
 169 WPA pre-shared keys for WPA-PSK.
 170 This can be either entered as a 256-bit secret in hex format (64 hex
 171 digits), wpa_psk, or as an ASCII passphrase (8..63 characters) that
 172 will be converted to PSK.
 173 This conversion uses SSID so the PSK changes when ASCII passphrase is
 174 used and the SSID is changed.
 175 .It Va wpa_psk_file
 176 Optionally, WPA PSKs can be read from a separate text file containing a
 177 list of PSK and MAC address pairs.
 178 .It Va wpa_key_mgmt
 179 Set of accepted key management algorithms (WPA-PSK, WPA-EAP, or both).
 180 .It Va wpa_pairwise
 181 Set of accepted cipher suites (encryption algorithms) for pairwise keys
 182 (unicast packets).
 183 See the example file for more information.
 184 .It Va wpa_group_rekey
 185 Time interval for rekeying GTK (broadcast/multicast encryption keys) in
 186 seconds.
 187 .It Va wpa_strict_rekey
 188 Rekey GTK when any STA that possesses the current GTK is leaving the
 189 BSS.
 190 .It Va wpa_gmk_rekey
 191 Time interval for rekeying GMK (master key used internally to generate GTKs),
 192 in seconds.
 193 .El
 194 .Sh SEE ALSO
 195 .Xr hostapd 8 ,
 196 .Xr hostapd_cli 8
 197 .Sh HISTORY
 198 The
 199 .Nm
 200 manual page and
 201 .Xr hostapd 8
 202 functionality first appeared in
 203 .Fx 6.0 .
 204 .Sh AUTHORS
 205 This manual page is derived from the
 206 .Pa README
 207 and
 208 .Pa hostapd.conf
 209 files in the
 210 .Nm hostapd
 211 distribution provided by
 212 .An Jouni Malinen Aq Mt j@w1.fi .