Freeradius2 POP3 over SSL 認證

2014.06.13 更新 ：如何自行選用pop3 serve；參考來源都失效了，但我目前懶得再找XD 
2016.06.15 更新參考來源位置。

Freeradius2已經附Perl模組，要做各種認證法都很容易了，比起網路上一堆用exec的範例感覺安全多了，不過卻很少人提到這新功能，就由我來介紹一下吧～
以FreeBSD 8.1環境示範，注意是裝net/freeradius2，net/freeradius還是1.x版
lang/perl5.12 make時可啟用threads。
參考來源：

• 官方 Wiki: Rlm_perl
• https://web.archive.org/web/20090227044016/http://lists.cistron.nl/pipermail/freeradius-devel/2002-August/003220.html

前提：假設使用者帳號是user@mail.XX.edu.tw，而pop3主機剛好也是mail.XX.edu.tw。

/usr/local/etc/raddb/proxy.conf
最後面增加
 

realm mail.XX.edu.tw {

       authhost        = LOCAL

       accthost        = LOCAL

}

接著使用Perl作POP3 over SSL認證：

先安裝
mail/p5-Mail-POP3Client 
security/p5-IO-Socket-SSL

# cp -p /usr/local/etc/raddb/example.pl /usr/local/etc/raddb/pop3s.pl

修改/usr/local/etc/raddb/pop3s.pl
開頭增加

use Mail::POP3Client;

use IO::Socket::SSL;

....

修改認證函式

...

sub authenticate {

       # For debugging purposes only

#       &log_request_attributes;

       my $pop = new Mail::POP3Client( USER => $RAD_REQUEST{'Stripped-User-Name'},

               PASSWORD => $RAD_REQUEST{'User-Password'},

               HOST    => $RAD_REQUEST{'Realm'},
              #如果pop3 server 和Realm不一樣，HOST看你想要寫死或判斷哪個realm用哪台...

               USESSL => 1,

               );

       if ($pop->Login()) {

               $RAD_REPLY{'要回應的訊息'} = "1";

               return RLM_MODULE_OK;

       }

       else {

               return RLM_MODULE_REJECT;

       }
       $pop->Close();

}

# cp -p /usr/local/etc/raddb/module/perl /usr/local/etc/raddb/module/pop3perl
(新檔名可隨便取，反正在radius.conf中是讀整個module資料夾

將pop3.perl中修改
 

perl pop3 {
...
module = ${confdir}/pop3s.pl

再到
/usr/local/etc/raddb/sites-avaliable/default及
/usr/local/etc/raddb/sites-avaliable/inner-tunnel分別加入幾行

...

authorize {
    ...
    files
    +pop3
}

...

authenticate {
       +Auth-Type POP3s {
               +pop3
       +}
    ...
}

注意這裡pop3是對應module中首行perl "pop3"這module名。


/usr/local/etc/raddb/users
在最後加入 

DEFAULT Auth-Type = POP3s, Realm != DEFAULT