Fix an issue where the random number generator's random event injector
[dragonfly.git] / contrib / hostapd-0.5.8 / hostapd.conf
blob986ca26c059758d805d71f2632dd04cd36dca064
1 ##### hostapd configuration file ##############################################
2 # Empty lines and lines starting with # are ignored
4 # AP netdevice name (without 'ap' postfix, i.e., wlan0 uses wlan0ap for
5 # management frames); ath0 for madwifi
6 interface=wlan0
8 # In case of madwifi driver, an additional configuration parameter, bridge,
9 # must be used to notify hostapd if the interface is included in a bridge. This
10 # parameter is not used with Host AP driver.
11 #bridge=br0
13 # Driver interface type (hostap/wired/madwifi/prism54; default: hostap)
14 # driver=hostap
16 # hostapd event logger configuration
18 # Two output method: syslog and stdout (only usable if not forking to
19 # background).
21 # Module bitfield (ORed bitfield of modules that will be logged; -1 = all
22 # modules):
23 # bit 0 (1) = IEEE 802.11
24 # bit 1 (2) = IEEE 802.1X
25 # bit 2 (4) = RADIUS
26 # bit 3 (8) = WPA
27 # bit 4 (16) = driver interface
28 # bit 5 (32) = IAPP
29 # bit 6 (64) = MLME
31 # Levels (minimum value for logged events):
32 #  0 = verbose debugging
33 #  1 = debugging
34 #  2 = informational messages
35 #  3 = notification
36 #  4 = warning
38 logger_syslog=-1
39 logger_syslog_level=2
40 logger_stdout=-1
41 logger_stdout_level=2
43 # Debugging: 0 = no, 1 = minimal, 2 = verbose, 3 = msg dumps, 4 = excessive
44 debug=0
46 # Dump file for state information (on SIGUSR1)
47 dump_file=/tmp/hostapd.dump
49 # Interface for separate control program. If this is specified, hostapd
50 # will create this directory and a UNIX domain socket for listening to requests
51 # from external programs (CLI/GUI, etc.) for status information and
52 # configuration. The socket file will be named based on the interface name, so
53 # multiple hostapd processes/interfaces can be run at the same time if more
54 # than one interface is used.
55 # /var/run/hostapd is the recommended directory for sockets and by default,
56 # hostapd_cli will use it when trying to connect with hostapd.
57 ctrl_interface=/var/run/hostapd
59 # Access control for the control interface can be configured by setting the
60 # directory to allow only members of a group to use sockets. This way, it is
61 # possible to run hostapd as root (since it needs to change network
62 # configuration and open raw sockets) and still allow GUI/CLI components to be
63 # run as non-root users. However, since the control interface can be used to
64 # change the network configuration, this access needs to be protected in many
65 # cases. By default, hostapd is configured to use gid 0 (root). If you
66 # want to allow non-root users to use the contron interface, add a new group
67 # and change this value to match with that group. Add users that should have
68 # control interface access to this group.
70 # This variable can be a group name or gid.
71 #ctrl_interface_group=wheel
72 ctrl_interface_group=0
75 ##### IEEE 802.11 related configuration #######################################
77 # SSID to be used in IEEE 802.11 management frames
78 ssid=test
80 # Country code (ISO/IEC 3166-1).  Used to set regulatory domain.
81 # Modify as needed to indicate country in which device is operating.
82 # This can limit available channels and transmit power.
83 # (default: US)
84 #country_code=US
86 # Enable IEEE 802.11d. This advertises the country_code and the set of allowed
87 # channels and transmit power levels based on the regulatory limits. The
88 # country_code setting must be configured with the correct country for
89 # IEEE 802.11d functions.
90 # (default: 0 = disabled)
91 #ieee80211d=1
93 # Enable IEEE 802.11h. This enables the TPC and DFS services when operating
94 # in a regulatory domain which requires them.  Once enabled it will be 
95 # operational only when working in hw_mode a and in countries where it is
96 # required. The end user should not be allowed to disable this.
97 # The country_code setting must be configured with the correct country for
98 # IEEE 802.11h to function. 
99 # When IEEE 802.11h is operational, the channel_policy and configured channel 
100 # settings will be ignored but will behave as though the channel_policy is
101 # set to "3" (automatic channel selection). When IEEE 802.11h is enabled but
102 # not operational (for example, if the radio mode is changed from "a" to "b")
103 # the channel_policy and channel settings take effect again. 
104 # (default: 1 = enabled)
105 #ieee80211h=1
107 # Operation mode (a = IEEE 802.11a, b = IEEE 802.11b, g = IEEE 802.11g,
108 # Default: IEEE 802.11b
109 hw_mode=a
111 # Channel number (IEEE 802.11)
112 # (default: 0, i.e., not set, used with channel_policy=2)
113 channel=60
115 # Beacon interval in kus (1.024 ms) (default: 100; range 15..65535)
116 beacon_int=100
118 # DTIM (delivery trafic information message) period (range 1..255):
119 # number of beacons between DTIMs (1 = every beacon includes DTIM element)
120 # (default: 2)
121 dtim_period=2
123 # Maximum number of stations allowed in station table. New stations will be
124 # rejected after the station table is full. IEEE 802.11 has a limit of 2007
125 # different association IDs, so this number should not be larger than that.
126 # (default: 2007)
127 max_num_sta=255
129 # RTS/CTS threshold; 2347 = disabled (default); range 0..2347
130 # If this field is not included in hostapd.conf, hostapd will not control
131 # RTS threshold and 'iwconfig wlan# rts <val>' can be used to set it.
132 rts_threshold=2347
134 # Fragmentation threshold; 2346 = disabled (default); range 256..2346
135 # If this field is not included in hostapd.conf, hostapd will not control
136 # fragmentation threshold and 'iwconfig wlan# frag <val>' can be used to set
137 # it.
138 fragm_threshold=2346
140 # Rate configuration
141 # Default is to enable all rates supported by the hardware. This configuration
142 # item allows this list be filtered so that only the listed rates will be left
143 # in the list. If the list is empty, all rates are used. This list can have
144 # entries that are not in the list of rates the hardware supports (such entries
145 # are ignored). The entries in this list are in 100 kbps, i.e., 11 Mbps = 110.
146 # If this item is present, at least one rate have to be matching with the rates
147 # hardware supports.
148 # default: use the most common supported rate setting for the selected
149 # hw_mode (i.e., this line can be removed from configuration file in most
150 # cases)
151 #supported_rates=10 20 55 110 60 90 120 180 240 360 480 540
153 # Basic rate set configuration
154 # List of rates (in 100 kbps) that are included in the basic rate set.
155 # If this item is not included, usually reasonable default set is used.
156 #basic_rates=10 20
157 #basic_rates=10 20 55 110
158 #basic_rates=60 120 240
160 # Station MAC address -based authentication
161 # Please note that this kind of access control requires a driver that uses
162 # hostapd to take care of management frame processing and as such, this can be
163 # used with driver=hostap or driver=devicescape, but not with driver=madwifi.
164 # 0 = accept unless in deny list
165 # 1 = deny unless in accept list
166 # 2 = use external RADIUS server (accept/deny lists are searched first)
167 macaddr_acl=0
169 # Accept/deny lists are read from separate files (containing list of
170 # MAC addresses, one per line). Use absolute path name to make sure that the
171 # files can be read on SIGHUP configuration reloads.
172 #accept_mac_file=/etc/hostapd.accept
173 #deny_mac_file=/etc/hostapd.deny
175 # IEEE 802.11 specifies two authentication algorithms. hostapd can be
176 # configured to allow both of these or only one. Open system authentication
177 # should be used with IEEE 802.1X.
178 # Bit fields of allowed authentication algorithms:
179 # bit 0 = Open System Authentication
180 # bit 1 = Shared Key Authentication (requires WEP)
181 auth_algs=3
183 # Send empty SSID in beacons and ignore probe request frames that do not
184 # specify full SSID, i.e., require stations to know SSID.
185 # default: disabled (0)
186 # 1 = send empty (length=0) SSID in beacon and ignore probe request for
187 #     broadcast SSID
188 # 2 = clear SSID (ASCII 0), but keep the original length (this may be required
189 #     with some clients that do not support empty SSID) and ignore probe
190 #     requests for broadcast SSID
191 ignore_broadcast_ssid=0
193 # TX queue parameters (EDCF / bursting)
194 # default for all these fields: not set, use hardware defaults
195 # tx_queue_<queue name>_<param>
196 # queues: data0, data1, data2, data3, after_beacon, beacon
197 #               (data0 is the highest priority queue)
198 # parameters:
199 #   aifs: AIFS (default 2)
200 #   cwmin: cwMin (1, 3, 7, 15, 31, 63, 127, 255, 511, 1023)
201 #   cwmax: cwMax (1, 3, 7, 15, 31, 63, 127, 255, 511, 1023); cwMax >= cwMin
202 #   burst: maximum length (in milliseconds with precision of up to 0.1 ms) for
203 #          bursting
205 # Default WMM parameters (IEEE 802.11 draft; 11-03-0504-03-000e):
206 # These parameters are used by the access point when transmitting frames
207 # to the clients.
209 # Low priority / AC_BK = background
210 #tx_queue_data3_aifs=7
211 #tx_queue_data3_cwmin=15
212 #tx_queue_data3_cwmax=1023
213 #tx_queue_data3_burst=0
214 # Note: for IEEE 802.11b mode: cWmin=31 cWmax=1023 burst=0
216 # Normal priority / AC_BE = best effort
217 #tx_queue_data2_aifs=3
218 #tx_queue_data2_cwmin=15
219 #tx_queue_data2_cwmax=63
220 #tx_queue_data2_burst=0
221 # Note: for IEEE 802.11b mode: cWmin=31 cWmax=127 burst=0
223 # High priority / AC_VI = video
224 #tx_queue_data1_aifs=1
225 #tx_queue_data1_cwmin=7
226 #tx_queue_data1_cwmax=15
227 #tx_queue_data1_burst=3.0
228 # Note: for IEEE 802.11b mode: cWmin=15 cWmax=31 burst=6.0
230 # Highest priority / AC_VO = voice
231 #tx_queue_data0_aifs=1
232 #tx_queue_data0_cwmin=3
233 #tx_queue_data0_cwmax=7
234 #tx_queue_data0_burst=1.5
235 # Note: for IEEE 802.11b mode: cWmin=7 cWmax=15 burst=3.3
237 # Special queues; normally not user configurable
239 #tx_queue_after_beacon_aifs=2
240 #tx_queue_after_beacon_cwmin=15
241 #tx_queue_after_beacon_cwmax=1023
242 #tx_queue_after_beacon_burst=0
244 #tx_queue_beacon_aifs=2
245 #tx_queue_beacon_cwmin=3
246 #tx_queue_beacon_cwmax=7
247 #tx_queue_beacon_burst=1.5
249 # 802.1D Tag to AC mappings
250 # WMM specifies following mapping of data frames to different ACs. This mapping
251 # can be configured using Linux QoS/tc and sch_pktpri.o module.
252 # 802.1D Tag    802.1D Designation      Access Category WMM Designation
253 # 1             BK                      AC_BK           Background
254 # 2             -                       AC_BK           Background
255 # 0             BE                      AC_BE           Best Effort
256 # 3             EE                      AC_VI           Video
257 # 4             CL                      AC_VI           Video
258 # 5             VI                      AC_VI           Video
259 # 6             VO                      AC_VO           Voice
260 # 7             NC                      AC_VO           Voice
261 # Data frames with no priority information: AC_BE
262 # Management frames: AC_VO
263 # PS-Poll frames: AC_BE
265 # Default WMM parameters (IEEE 802.11 draft; 11-03-0504-03-000e):
266 # for 802.11a or 802.11g networks
267 # These parameters are sent to WMM clients when they associate.
268 # The parameters will be used by WMM clients for frames transmitted to the
269 # access point.
271 # note - txop_limit is in units of 32microseconds
272 # note - acm is admission control mandatory flag. 0 = admission control not
273 # required, 1 = mandatory
274 # note - here cwMin and cmMax are in exponent form. the actual cw value used
275 # will be (2^n)-1 where n is the value given here
277 wme_enabled=1
279 # Low priority / AC_BK = background
280 wme_ac_bk_cwmin=4
281 wme_ac_bk_cwmax=10
282 wme_ac_bk_aifs=7
283 wme_ac_bk_txop_limit=0
284 wme_ac_bk_acm=0
285 # Note: for IEEE 802.11b mode: cWmin=5 cWmax=10
287 # Normal priority / AC_BE = best effort
288 wme_ac_be_aifs=3
289 wme_ac_be_cwmin=4
290 wme_ac_be_cwmax=10
291 wme_ac_be_txop_limit=0
292 wme_ac_be_acm=0
293 # Note: for IEEE 802.11b mode: cWmin=5 cWmax=7
295 # High priority / AC_VI = video
296 wme_ac_vi_aifs=2
297 wme_ac_vi_cwmin=3
298 wme_ac_vi_cwmax=4
299 wme_ac_vi_txop_limit=94
300 wme_ac_vi_acm=0
301 # Note: for IEEE 802.11b mode: cWmin=4 cWmax=5 txop_limit=188
303 # Highest priority / AC_VO = voice
304 wme_ac_vo_aifs=2
305 wme_ac_vo_cwmin=2
306 wme_ac_vo_cwmax=3
307 wme_ac_vo_txop_limit=47
308 wme_ac_vo_acm=0
309 # Note: for IEEE 802.11b mode: cWmin=3 cWmax=4 burst=102
311 # Associate as a station to another AP while still acting as an AP on the same
312 # channel.
313 #assoc_ap_addr=00:12:34:56:78:9a
315 # Static WEP key configuration
317 # The key number to use when transmitting.
318 # It must be between 0 and 3, and the corresponding key must be set.
319 # default: not set
320 #wep_default_key=0
321 # The WEP keys to use.
322 # A key may be a quoted string or unquoted hexadecimal digits.
323 # The key length should be 5, 13, or 16 characters, or 10, 26, or 32
324 # digits, depending on whether 40-bit (64-bit), 104-bit (128-bit), or
325 # 128-bit (152-bit) WEP is used.
326 # Only the default key must be supplied; the others are optional.
327 # default: not set
328 #wep_key0=123456789a
329 #wep_key1="vwxyz"
330 #wep_key2=0102030405060708090a0b0c0d
331 #wep_key3=".2.4.6.8.0.23"
333 # Station inactivity limit
335 # If a station does not send anything in ap_max_inactivity seconds, an
336 # empty data frame is sent to it in order to verify whether it is
337 # still in range. If this frame is not ACKed, the station will be
338 # disassociated and then deauthenticated. This feature is used to
339 # clear station table of old entries when the STAs move out of the
340 # range.
342 # The station can associate again with the AP if it is still in range;
343 # this inactivity poll is just used as a nicer way of verifying
344 # inactivity; i.e., client will not report broken connection because
345 # disassociation frame is not sent immediately without first polling
346 # the STA with a data frame.
347 # default: 300 (i.e., 5 minutes)
348 #ap_max_inactivity=300
350 # Enable/disable internal bridge for packets between associated stations.
352 # When IEEE 802.11 is used in managed mode, packets are usually send through
353 # the AP even if they are from a wireless station to another wireless station.
354 # This functionality requires that the AP has a bridge functionality that sends
355 # frames back to the same interface if their destination is another associated
356 # station. In addition, broadcast/multicast frames from wireless stations will
357 # be sent both to the host system net stack (e.g., to eventually wired network)
358 # and back to the wireless interface.
360 # The internal bridge is implemented within the wireless kernel module and it
361 # bypasses kernel filtering (netfilter/iptables/ebtables). If direct
362 # communication between the stations needs to be prevented, the internal
363 # bridge can be disabled by setting bridge_packets=0.
365 # Note: If this variable is not included in hostapd.conf, hostapd does not
366 # change the configuration and iwpriv can be used to set the value with
367 # 'iwpriv wlan# param 10 0' command. If the variable is in hostapd.conf,
368 # hostapd will override possible iwpriv configuration whenever configuration
369 # file is reloaded.
371 # default: do not control from hostapd (80211.o defaults to 1=enabled)
372 #bridge_packets=1
375 ##### IEEE 802.1X-2004 related configuration ##################################
377 # Require IEEE 802.1X authorization
378 #ieee8021x=1
380 # IEEE 802.1X/EAPOL version
381 # hostapd is implemented based on IEEE Std 802.1X-2004 which defines EAPOL
382 # version 2. However, there are many client implementations that do not handle
383 # the new version number correctly (they seem to drop the frames completely).
384 # In order to make hostapd interoperate with these clients, the version number
385 # can be set to the older version (1) with this configuration value.
386 #eapol_version=2
388 # Optional displayable message sent with EAP Request-Identity. The first \0
389 # in this string will be converted to ASCII-0 (nul). This can be used to
390 # separate network info (comma separated list of attribute=value pairs); see,
391 # e.g., draft-adrangi-eap-network-discovery-07.txt.
392 #eap_message=hello
393 #eap_message=hello\0networkid=netw,nasid=foo,portid=0,NAIRealms=example.com
395 # WEP rekeying (disabled if key lengths are not set or are set to 0)
396 # Key lengths for default/broadcast and individual/unicast keys:
397 # 5 = 40-bit WEP (also known as 64-bit WEP with 40 secret bits)
398 # 13 = 104-bit WEP (also known as 128-bit WEP with 104 secret bits)
399 #wep_key_len_broadcast=5
400 #wep_key_len_unicast=5
401 # Rekeying period in seconds. 0 = do not rekey (i.e., set keys only once)
402 #wep_rekey_period=300
404 # EAPOL-Key index workaround (set bit7) for WinXP Supplicant (needed only if
405 # only broadcast keys are used)
406 eapol_key_index_workaround=0
408 # EAP reauthentication period in seconds (default: 3600 seconds; 0 = disable
409 # reauthentication).
410 #eap_reauth_period=3600
412 # Use PAE group address (01:80:c2:00:00:03) instead of individual target
413 # address when sending EAPOL frames with driver=wired. This is the most common
414 # mechanism used in wired authentication, but it also requires that the port
415 # is only used by one station.
416 #use_pae_group_addr=1
418 ##### Integrated EAP server ###################################################
420 # Optionally, hostapd can be configured to use an integrated EAP server
421 # to process EAP authentication locally without need for an external RADIUS
422 # server. This functionality can be used both as a local authentication server
423 # for IEEE 802.1X/EAPOL and as a RADIUS server for other devices.
425 # Use integrated EAP server instead of external RADIUS authentication
426 # server. This is also needed if hostapd is configured to act as a RADIUS
427 # authentication server.
428 eap_server=0
430 # Path for EAP server user database
431 #eap_user_file=/etc/hostapd.eap_user
433 # CA certificate (PEM or DER file) for EAP-TLS/PEAP/TTLS
434 #ca_cert=/etc/hostapd.ca.pem
436 # Server certificate (PEM or DER file) for EAP-TLS/PEAP/TTLS
437 #server_cert=/etc/hostapd.server.pem
439 # Private key matching with the server certificate for EAP-TLS/PEAP/TTLS
440 # This may point to the same file as server_cert if both certificate and key
441 # are included in a single file. PKCS#12 (PFX) file (.p12/.pfx) can also be
442 # used by commenting out server_cert and specifying the PFX file as the
443 # private_key.
444 #private_key=/etc/hostapd.server.prv
446 # Passphrase for private key
447 #private_key_passwd=secret passphrase
449 # Enable CRL verification.
450 # Note: hostapd does not yet support CRL downloading based on CDP. Thus, a
451 # valid CRL signed by the CA is required to be included in the ca_cert file.
452 # This can be done by using PEM format for CA certificate and CRL and
453 # concatenating these into one file. Whenever CRL changes, hostapd needs to be
454 # restarted to take the new CRL into use.
455 # 0 = do not verify CRLs (default)
456 # 1 = check the CRL of the user certificate
457 # 2 = check all CRLs in the certificate path
458 #check_crl=1
460 # Configuration data for EAP-SIM database/authentication gateway interface.
461 # This is a text string in implementation specific format. The example
462 # implementation in eap_sim_db.c uses this as the UNIX domain socket name for
463 # the HLR/AuC gateway (e.g., hlr_auc_gw). In this case, the path uses "unix:"
464 # prefix.
465 #eap_sim_db=unix:/tmp/hlr_auc_gw.sock
468 ##### IEEE 802.11f - Inter-Access Point Protocol (IAPP) #######################
470 # Interface to be used for IAPP broadcast packets
471 #iapp_interface=eth0
474 ##### RADIUS client configuration #############################################
475 # for IEEE 802.1X with external Authentication Server, IEEE 802.11
476 # authentication with external ACL for MAC addresses, and accounting
478 # The own IP address of the access point (used as NAS-IP-Address)
479 own_ip_addr=127.0.0.1
481 # Optional NAS-Identifier string for RADIUS messages. When used, this should be
482 # a unique to the NAS within the scope of the RADIUS server. For example, a
483 # fully qualified domain name can be used here.
484 #nas_identifier=ap.example.com
486 # RADIUS authentication server
487 #auth_server_addr=127.0.0.1
488 #auth_server_port=1812
489 #auth_server_shared_secret=secret
491 # RADIUS accounting server
492 #acct_server_addr=127.0.0.1
493 #acct_server_port=1813
494 #acct_server_shared_secret=secret
496 # Secondary RADIUS servers; to be used if primary one does not reply to
497 # RADIUS packets. These are optional and there can be more than one secondary
498 # server listed.
499 #auth_server_addr=127.0.0.2
500 #auth_server_port=1812
501 #auth_server_shared_secret=secret2
503 #acct_server_addr=127.0.0.2
504 #acct_server_port=1813
505 #acct_server_shared_secret=secret2
507 # Retry interval for trying to return to the primary RADIUS server (in
508 # seconds). RADIUS client code will automatically try to use the next server
509 # when the current server is not replying to requests. If this interval is set,
510 # primary server will be retried after configured amount of time even if the
511 # currently used secondary server is still working.
512 #radius_retry_primary_interval=600
515 # Interim accounting update interval
516 # If this is set (larger than 0) and acct_server is configured, hostapd will
517 # send interim accounting updates every N seconds. Note: if set, this overrides
518 # possible Acct-Interim-Interval attribute in Access-Accept message. Thus, this
519 # value should not be configured in hostapd.conf, if RADIUS server is used to
520 # control the interim interval.
521 # This value should not be less 600 (10 minutes) and must not be less than
522 # 60 (1 minute).
523 #radius_acct_interim_interval=600
525 # Dynamic VLAN mode; allow RADIUS authentication server to decide which VLAN
526 # is used for the stations. This information is parsed from following RADIUS
527 # attributes based on RFC 3580 and RFC 2868: Tunnel-Type (value 13 = VLAN),
528 # Tunnel-Medium-Type (value 6 = IEEE 802), Tunnel-Private-Group-ID (value
529 # VLANID as a string). vlan_file option below must be configured if dynamic
530 # VLANs are used.
531 # 0 = disabled (default)
532 # 1 = option; use default interface if RADIUS server does not include VLAN ID
533 # 2 = required; reject authentication if RADIUS server does not include VLAN ID
534 #dynamic_vlan=0
536 # VLAN interface list for dynamic VLAN mode is read from a separate text file.
537 # This list is used to map VLAN ID from the RADIUS server to a network
538 # interface. Each station is bound to one interface in the same way as with
539 # multiple BSSIDs or SSIDs. Each line in this text file is defining a new
540 # interface and the line must include VLAN ID and interface name separated by
541 # white space (space or tab).
542 #vlan_file=/etc/hostapd.vlan
544 # Interface where 802.1q tagged packets should appear when a RADIUS server is
545 # used to determine which VLAN a station is on.  hostapd creates a bridge for
546 # each VLAN.  Then hostapd adds a VLAN interface (associated with the interface
547 # indicated by 'vlan_tagged_interface') and the appropriate wireless interface
548 # to the bridge.
549 #vlan_tagged_interface=eth0
552 ##### RADIUS authentication server configuration ##############################
554 # hostapd can be used as a RADIUS authentication server for other hosts. This
555 # requires that the integrated EAP authenticator is also enabled and both
556 # authentication services are sharing the same configuration.
558 # File name of the RADIUS clients configuration for the RADIUS server. If this
559 # commented out, RADIUS server is disabled.
560 #radius_server_clients=/etc/hostapd.radius_clients
562 # The UDP port number for the RADIUS authentication server
563 #radius_server_auth_port=1812
565 # Use IPv6 with RADIUS server (IPv4 will also be supported using IPv6 API)
566 #radius_server_ipv6=1
569 ##### WPA/IEEE 802.11i configuration ##########################################
571 # Enable WPA. Setting this variable configures the AP to require WPA (either
572 # WPA-PSK or WPA-RADIUS/EAP based on other configuration). For WPA-PSK, either
573 # wpa_psk or wpa_passphrase must be set and wpa_key_mgmt must include WPA-PSK.
574 # For WPA-RADIUS/EAP, ieee8021x must be set (but without dynamic WEP keys),
575 # RADIUS authentication server must be configured, and WPA-EAP must be included
576 # in wpa_key_mgmt.
577 # This field is a bit field that can be used to enable WPA (IEEE 802.11i/D3.0)
578 # and/or WPA2 (full IEEE 802.11i/RSN):
579 # bit0 = WPA
580 # bit1 = IEEE 802.11i/RSN (WPA2) (dot11RSNAEnabled)
581 #wpa=1
583 # WPA pre-shared keys for WPA-PSK. This can be either entered as a 256-bit
584 # secret in hex format (64 hex digits), wpa_psk, or as an ASCII passphrase
585 # (8..63 characters) that will be converted to PSK. This conversion uses SSID
586 # so the PSK changes when ASCII passphrase is used and the SSID is changed.
587 # wpa_psk (dot11RSNAConfigPSKValue)
588 # wpa_passphrase (dot11RSNAConfigPSKPassPhrase)
589 #wpa_psk=0123456789abcdef0123456789abcdef0123456789abcdef0123456789abcdef
590 #wpa_passphrase=secret passphrase
592 # Optionally, WPA PSKs can be read from a separate text file (containing list
593 # of (PSK,MAC address) pairs. This allows more than one PSK to be configured.
594 # Use absolute path name to make sure that the files can be read on SIGHUP
595 # configuration reloads.
596 #wpa_psk_file=/etc/hostapd.wpa_psk
598 # Set of accepted key management algorithms (WPA-PSK, WPA-EAP, or both). The
599 # entries are separated with a space.
600 # (dot11RSNAConfigAuthenticationSuitesTable)
601 #wpa_key_mgmt=WPA-PSK WPA-EAP
603 # Set of accepted cipher suites (encryption algorithms) for pairwise keys
604 # (unicast packets). This is a space separated list of algorithms:
605 # CCMP = AES in Counter mode with CBC-MAC [RFC 3610, IEEE 802.11i/D7.0]
606 # TKIP = Temporal Key Integrity Protocol [IEEE 802.11i/D7.0]
607 # Group cipher suite (encryption algorithm for broadcast and multicast frames)
608 # is automatically selected based on this configuration. If only CCMP is
609 # allowed as the pairwise cipher, group cipher will also be CCMP. Otherwise,
610 # TKIP will be used as the group cipher.
611 # (dot11RSNAConfigPairwiseCiphersTable)
612 #wpa_pairwise=TKIP CCMP
614 # Time interval for rekeying GTK (broadcast/multicast encryption keys) in
615 # seconds. (dot11RSNAConfigGroupRekeyTime)
616 #wpa_group_rekey=600
618 # Rekey GTK when any STA that possesses the current GTK is leaving the BSS.
619 # (dot11RSNAConfigGroupRekeyStrict)
620 #wpa_strict_rekey=1
622 # Time interval for rekeying GMK (master key used internally to generate GTKs
623 # (in seconds).
624 #wpa_gmk_rekey=86400
626 # Enable IEEE 802.11i/RSN/WPA2 pre-authentication. This is used to speed up
627 # roaming be pre-authenticating IEEE 802.1X/EAP part of the full RSN
628 # authentication and key handshake before actually associating with a new AP.
629 # (dot11RSNAPreauthenticationEnabled)
630 #rsn_preauth=1
632 # Space separated list of interfaces from which pre-authentication frames are
633 # accepted (e.g., 'eth0' or 'eth0 wlan0wds0'. This list should include all
634 # interface that are used for connections to other APs. This could include
635 # wired interfaces and WDS links. The normal wireless data interface towards
636 # associated stations (e.g., wlan0) should not be added, since
637 # pre-authentication is only used with APs other than the currently associated
638 # one.
639 #rsn_preauth_interfaces=eth0
641 # peerkey: Whether PeerKey negotiation for direct links (IEEE 802.11e) is
642 # allowed. This is only used with RSN/WPA2.
643 # 0 = disabled (default)
644 # 1 = enabled
645 #peerkey=1
647 # ieee80211w: Whether management frame protection is enabled
648 # 0 = disabled (default)
649 # 1 = optional
650 # 2 = required
651 #ieee80211w=0
653 ##### Passive scanning ########################################################
654 # Scan different channels every N seconds. 0 = disable passive scanning.
655 #passive_scan_interval=60
657 # Listen N usecs on each channel when doing passive scanning.
658 # This value plus the time needed for changing channels should be less than
659 # 32 milliseconds (i.e. 32000 usec) to avoid interruptions to normal
660 # operations. Time needed for channel changing varies based on the used wlan
661 # hardware.
662 # default: disabled (0)
663 #passive_scan_listen=10000
665 # Passive scanning mode:
666 # 0 = scan all supported modes (802.11a/b/g/Turbo) (default)
667 # 1 = scan only the mode that is currently used for normal operations
668 #passive_scan_mode=1
670 # Maximum number of entries kept in AP table (either for passive scanning or
671 # for detecting Overlapping Legacy BSS Condition). The oldest entry will be
672 # removed when adding a new entry that would make the list grow over this
673 # limit. Note! Wi-Fi certification for IEEE 802.11g requires that OLBC is
674 # enabled, so this field should not be set to 0 when using IEEE 802.11g.
675 # default: 255
676 #ap_table_max_size=255
678 # Number of seconds of no frames received after which entries may be deleted
679 # from the AP table. Since passive scanning is not usually performed frequently
680 # this should not be set to very small value. In addition, there is no
681 # guarantee that every scan cycle will receive beacon frames from the
682 # neighboring APs.
683 # default: 60
684 #ap_table_expiration_time=3600
686 # Multiple BSSID support
688 # Above configuration is using the default interface (wlan#, or multi-SSID VLAN
689 # interfaces). Other BSSIDs can be added by using separator 'bss' with
690 # default interface name to be allocated for the data packets of the new BSS.
692 # hostapd will generate BSSID mask based on the BSSIDs that are
693 # configured. hostapd will verify that dev_addr & MASK == dev_addr. If this is
694 # not the case, the MAC address of the radio must be changed before starting
695 # hostapd (ifconfig wlan0 hw ether <MAC addr>).
697 # BSSIDs are assigned in order to each BSS, unless an explicit BSSID is
698 # specified using the 'bssid' parameter.
699 # If an explicit BSSID is specified, it must be chosen such that it:
700 # - results in a valid MASK that covers it and the dev_addr
701 # - is not the same as the MAC address of the radio
702 # - is not the same as any other explicitly specified BSSID
704 # Please note that hostapd uses some of the values configured for the first BSS
705 # as the defaults for the following BSSes. However, it is recommended that all
706 # BSSes include explicit configuration of all relevant configuration items.
708 #bss=wlan0_0
709 #ssid=test2
710 # most of the above items can be used here (apart from radio interface specific
711 # items, like channel)
713 #bss=wlan0_1
714 #bssid=00:13:10:95:fe:0b
715 # ...