On Wed, Jun 13, 2012 at 3:50 PM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com" target="_blank">aland@deployingradius.com</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">august huber wrote:<br>
> I have to disagree here, it is useful for the client to understand that<br>
> their transaction failed due to an expired cert versus a revoked cert<br>
> versus having sent a cert that does not verify up to a known CA chain<br>
> (as some platforms are especially bad at self selecting credentials when<br>
> more than one is present)<br>
<br>
</div>  I'm not sure those errors are sent anywhere.  Most clients would never<br>
show them to the user.<br></blockquote><div>Alternate idea, perhaps passing this data back in an EAP-Notify before EAP-Failure would be the proper integration point?<br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div class="im"><br>
> For a complete list of alerts that are supported see RFC2246 Section 7.2<br>
> OpenSSL is already populating this for us during the verify, FreeRadius<br>
> is explicitly removing it from the response.<br>
<br>
</div>  Yes.  As I said, that's largely intentional.<br>
<div class="im"><br>
> This will not cause the connections to remain open, but instead will<br>
> send an Alert with the cause during the shutdown.<br>
<br>
</div>  It won't keep them open *forever*.  It will keep them open past the<br>
point where the user has been rejected.<br>
<br>
  It might work, I don't know.  But the last I recalled was that<br>
SSL_quiet_shutdown was needed.<br>
<br>
  See the git logs for details.  It's in there somewhere.<br>
<div class="HOEnZb"><div class="h5"><br>
  Alan DeKok.<br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/devel.html" target="_blank">http://www.freeradius.org/list/devel.html</a><br>
</div></div></blockquote></div><br>