Die mitgelieferte Freeradius-Konfiguration liefert zahlreiche Beispielnutzereinträge mit, die allerdings mit Kommentarzeichen deaktiviert sind. Zuständig ist für die Benutzerkonfiguration die Datei
»users
«
. Im einfachsten Fall trägt man dort direkt einzelne Benutzer ein:
ADMIN Cleartext-Password := "magazin"
Dieser Eintrag weist dem Benutzer
»ADMIN
«
das Attribut
»Cleartext-Password
«
mit dem Wert
»magazin
«
zu. Freeradius liest diese Einträge beim Start. Erfragt nun ein WLAN-Endanwender beim Hotspot um Nutzungserlaubnis, gleicht der Radius-Server das vom Client gesendete Passwort mit diesem Wert ab und schickt die entsprechende Antwort. Änderungen in der Benutzerdatenbank erfordern einen Neustart des Freeradius-Servers.
Das gesamte Freeradius-Konfigurationsverzeichnis sollte nur für den dezidierten Freeradius-Account lesbar sein, auch um die Benutzerpasswörter nicht offenzulegen. Wer sie trotzdem nicht im Klartext in der
»users
«
-Datei speichern möchte, dem bietet das
»rlm_pap
«
-Modul verschiedene Algorithmen an, die einen verschlüsselten Hash des Passworts verwenden, darunter MD5 und SHA-1. Man gibt den verwendeten Algorithmus als Option an und erzeugt den Hash beispielsweise mit
»sha1sum
«
für SHA-1:
echo -n "magazin" | sha1sum
Der folgende Eintrag in der
»users
«
-Datei ersetzt den obigen:
ADMIN SHA-Password := "e3d5a52968cef277f476a78124d8e05f1d558953"
Freeradius arbeitet die Einträge in der
»users
«
-Datei von oben nach unten ab. Bei einem Treffer stoppt es die Verarbeitung, außer der Parameter
»Fall-Through = Yes
«
ist gesetzt. Dieser steht wie andere zusätzliche Optionen in der Zeile unter der Benutzerdeklaration, eingerückt mit einem Tabulator.
Die
»users
«
-Datei kennt zahlreiche weitere Benutzeroptionen, beispielsweise die Uhrzeit, zu der sich ein User authentifizieren kann (
»Login-Time
«
). Der Eintrag
»Reply-Message
«
definiert eine benutzerspezifische Antwortmeldung, die beispielsweise eine Ablehnung begründet. Insgesamt stehen mehrere Hundert Optionen zur Verfügung, die einem Hotspot unter anderem benutzerspezifische Netzwerkkonfigurationen vorschlagen; ob er diese umsetzt, kümmert den Radius-Server jedoch nicht, das ist Aufgabe des Netzwerkzugangsknotens. Unter
[3]
steht die vollständige Liste der von Freeradius unterstützten Attribute bereit.
Der Eintrag
»DEFAULT
«
steht für alle Benutzernamen und dient dazu, allgemeine Einstellungen vorzugeben. Das bedeutet auch, dass Freeradius die Verarbeitung der
»users
«
-Datei abbricht, wenn es auf einen
»DEFAULT
«
-Eintrag stößt, wenn dieser nicht mit
»Fall-Through = Yes
«
ausgestattet ist.