<div class="gmail_quote">On Sat, Dec 8, 2012 at 9:39 AM, Olivier Beytrison <span dir="ltr"><<a href="mailto:olivier@heliosnet.org" target="_blank">olivier@heliosnet.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
> And here, since you've already checked your chap password against the<br><div class="im">
> eDir password by sucking it cleartext over ssl out via Universal<br>
> Password you don't need to double check it :)<br>
<br>
</div>The goal here is not to check if the password is valid. With universal<br>
password, wi know it is valid. We check here if the user is allowed to<br>
log in. If his account is locked, the bind fail. If the password is<br>
expired, it will consume the loginGrace, until it reaches 0, and the<br>
bind will also fail. So it's really about checking the account policy of<br>
eDirectory<br>
<br>
Though the comments in debug could be more specific I admit.<br></blockquote><div><br>Ahh fair enough, we map the loginDisabled and expirationDate to dummy VSAs and check it in FreeRadius rather than passing that back as part of a bind to LDAP.  Helps save ~30ms from the Auth time, and with ~1mil subs in the LDAP database, that's time worth saving.<br>
<br>Thanks for doing the work to add eDir support back in again.  It "was" going to be one of our major stumbling blocks in moving to FR3.<br><br>I'll work over this downtime coming up to christmas to write a script to enable others to perform functional tests against eDir, since all you really need is to download the software, and load up one LDIF with some test users & a universal password policy to test the functionality.<br>
<br> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<span class="HOEnZb"><font color="#888888"><br>
Olivier<br>
</font></span><div class="HOEnZb"><div class="h5">--<br>
<br>
 Olivier Beytrison<br>
 Network & Security Engineer, HES-SO Fribourg<br>
 Mobile: <a href="tel:%2B41%20%280%2978%20619%2073%2053" value="+41786197353">+41 (0)78 619 73 53</a><br>
 Mail: <a href="mailto:olivier@heliosnet.org">olivier@heliosnet.org</a><br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/devel.html" target="_blank">http://www.freeradius.org/list/devel.html</a><br>
</div></div></blockquote></div><br>