
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">

<HTML>

<HEAD>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">

<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7226.0">

<TITLE>Re: EAP problem</TITLE>

</HEAD>

<BODY>

<!-- Converted from text/rtf format -->


<P><FONT SIZE=2 FACE="Arial">I am still having an issue autheniticating a user with EAP.  I think Alan, has pointed out the issue in his previous reply, about LDAP not retrieving the User-Password from Active Directory.  My understanding (as little as it may be) of the ldap section of the radiusd.conf file is the password_attribute is responsible for retrieving the password.  Below is the ldap config section of radiusd.conf.</FONT></P>


<P><FONT SIZE=2 FACE="Arial">ldap {</FONT>


<BR>                <FONT SIZE=2 FACE="Arial">server = "mem-dc.mem-ins.com"</FONT>


<BR>                <FONT SIZE=2 FACE="Arial">basedn = "ou=mem users,dc=mem-ins,dc=com"</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">            filter = "(sAMAccountName=%{Stripped-User-Name:-%{User-Name}})"</FONT>


<BR><FONT SIZE=2 FACE="Arial">                identity = "cn=administrator,ou=admin,ou=mem users,dc=mem-ins,dc=com"</FONT>


<BR>                <FONT SIZE=2 FACE="Arial">password = {Secret}</FONT>


<BR>                <FONT SIZE=2 FACE="Arial">start_tls = no</FONT>


<BR>                <FONT SIZE=2 FACE="Arial">dictionary_mapping = ${raddbdir}/ldap.attrmap</FONT>


<BR>                <FONT SIZE=2 FACE="Arial">ldap_connections_number = 5</FONT>


<BR>                <FONT SIZE=2 FACE="Arial">password_attribute = userPassword</FONT>


<BR>                <FONT SIZE=2 FACE="Arial">groupname_attribute = cn</FONT>


<BR>                <FONT SIZE=2 FACE="Arial">groupmembership_filter = "(|(&(objectClass=GroupOfNames)(memberof=%{Ldap-UserDn}))(&(objectClass=Group)(member=%{Ldap-UserDn})))"</FONT></P>


<P>                <FONT SIZE=2 FACE="Arial">groupmembership_attribute = radiusGroupName</FONT>


<BR>                <FONT SIZE=2 FACE="Arial">timeout = 4</FONT>


<BR>                <FONT SIZE=2 FACE="Arial">timelimit = 3</FONT>


<BR>                <FONT SIZE=2 FACE="Arial">net_timeout = 1</FONT>


<BR>                <FONT SIZE=2 FACE="Arial">access_attr_used_for_allow = yes</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">}</FONT>

</P>


<P><FONT SIZE=2 FACE="Arial">but the output shows:</FONT>

</P>

<BR>


<P><FONT SIZE=2 FACE="Arial">rad_recv: Access-Request packet from host 172.16.5.71:1645, id=144, length=85</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">User-Name = "rgraham"</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">Service-Type = Framed-User</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">Framed-MTU = 1500</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">NAS-IP-Address = 172.16.5.71</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">NAS-Port = 24</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">EAP-Message = 0x0200000c017267726168616d</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">Message-Authenticator = 0xc96d75a58b5af7b632fc0f3cc91876c8</FONT>


<BR><FONT SIZE=2 FACE="Arial">rad_lowerpair:  User-Name now 'rgraham'</FONT>


<BR><FONT SIZE=2 FACE="Arial">  Processing the authorize section of radiusd.conf</FONT>


<BR><FONT SIZE=2 FACE="Arial">modcall: entering group authorize for request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "preprocess" returns ok for request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">radius_xlat:  '/var/log/radius/radacct/172.16.5.71/auth-detail-20050630'</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_detail: /var/log/radius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /var/log/radius/radacct/172.16.5.71/auth-detail-20050630</FONT></P>


<P><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "auth_log" returns ok for request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "attr_filter" returns noop for request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: - authorize</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: performing user authorization for rgraham</FONT>


<BR><FONT SIZE=2 FACE="Arial">radius_xlat:  '(sAMAccountName=rgraham)'</FONT>


<BR><FONT SIZE=2 FACE="Arial">radius_xlat:  'ou=mem users,dc=mem-ins,dc=com'</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: ldap_get_conn: Checking Id: 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: ldap_get_conn: Got Id: 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: attempting LDAP reconnection</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: (re)connect to mem-dc.mem-ins.com:389, authentication 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: bind as cn=administrator,ou=admin,ou=mem users,dc=mem-ins,dc=com/{secret} to mem-dc.mem-ins.com:389</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: waiting for bind result ...</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: Bind was successful</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: performing search in ou=mem users,dc=mem-ins,dc=com, with filter (sAMAccountName=rgraham)</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: looking for check items in directory...</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: looking for reply items in directory...</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: user rgraham authorized to use remote access</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: ldap_release_conn: Release Id: 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "ldap" returns ok for request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "chap" returns noop for request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "mschap" returns noop for request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">    rlm_realm: No '@' in User-Name = "rgraham", looking up realm NULL</FONT>


<BR><FONT SIZE=2 FACE="Arial">    rlm_realm: No such realm "NULL"</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "suffix" returns noop for request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">  rlm_eap: EAP packet type response id 0 length 12</FONT>


<BR><FONT SIZE=2 FACE="Arial">  rlm_eap: No EAP Start, assuming it's an on-going EAP conversation</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "eap" returns updated for request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: Entering ldap_groupcmp()</FONT>


<BR><FONT SIZE=2 FACE="Arial">radius_xlat:  'ou=mem users,dc=mem-ins,dc=com'</FONT>


<BR><FONT SIZE=2 FACE="Arial">radius_xlat:  '(|(&(objectClass=GroupOfNames)(memberof=CN=Rgraham,OU=Columbia,OU=MEM Users,DC=mem-ins,DC=com))(&(objectClass=Group)(member=CN=Rgraham,OU=Columbia,OU=MEM Users,DC=mem-ins,DC=com)))'</FONT></P>


<P><FONT SIZE=2 FACE="Arial">rlm_ldap: ldap_get_conn: Checking Id: 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: ldap_get_conn: Got Id: 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: performing search in cn=domain users,ou=groups,ou=mem users,dc=mem-ins,dc=com, with filter (|(&(objectClass=GroupOfNames)(memberof=CN=Rgraham,OU=Columbia,OU=MEM Users,DC=mem-ins,DC=com))(&(objectClass=Group)(member=CN=Rgraham,OU=Columbia,OU=MEM Users,DC=mem-ins,DC=com)))</FONT></P>


<P><FONT SIZE=2 FACE="Arial">rlm_ldap::ldap_groupcmp: User found in group cn=domain users,ou=groups,ou=mem users,dc=mem-ins,dc=com</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: ldap_release_conn: Release Id: 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">    users: Matched DEFAULT at 189</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "files" returns ok for request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">modcall: group authorize returns updated for request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">  rad_check_password:  Found Auth-Type EAP</FONT>


<BR><FONT SIZE=2 FACE="Arial">auth: type "EAP"</FONT>


<BR><FONT SIZE=2 FACE="Arial">  Processing the authenticate section of radiusd.conf</FONT>


<BR><FONT SIZE=2 FACE="Arial">modcall: entering group authenticate for request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">  rlm_eap: EAP Identity</FONT>


<BR><FONT SIZE=2 FACE="Arial">  rlm_eap: processing type md5</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_eap_md5: Issuing Challenge</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authenticate]: module "eap" returns handled for request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">modcall: group authenticate returns handled for request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">Sending Access-Challenge of id 144 to 172.16.5.71:1645</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">Service-Type = Framed-User</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">Framed-Protocol = PPP</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">EAP-Message = 0x0101001604102a7c39455a6ffe060c3a06f4b9677974</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">Message-Authenticator = 0x00000000000000000000000000000000</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">State = 0xcb7b91555ab2be2ca5f6ebc82b06f0ec</FONT>


<BR><FONT SIZE=2 FACE="Arial">Finished request 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">Going to the next request</FONT>


<BR><FONT SIZE=2 FACE="Arial">--- Walking the entire request list ---</FONT>


<BR><FONT SIZE=2 FACE="Arial">Waking up in 6 seconds...</FONT>


<BR><FONT SIZE=2 FACE="Arial">rad_recv: Access-Request packet from host 172.16.5.71:1645, id=145, length=120</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">User-Name = "rgraham"</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">Service-Type = Framed-User</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">Framed-MTU = 1500</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">NAS-IP-Address = 172.16.5.71</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">NAS-Port = 24</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">State = 0xcb7b91555ab2be2ca5f6ebc82b06f0ec</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">EAP-Message = 0x0201001d0410db525b9aa0119fbbda00f3b61861beaf7267726168616d</FONT>


<BR>        <FONT SIZE=2 FACE="Arial">Message-Authenticator = 0x0751751a6adfd81ae56487289f42da9e</FONT>


<BR><FONT SIZE=2 FACE="Arial">rad_lowerpair:  User-Name now 'rgraham'</FONT>


<BR><FONT SIZE=2 FACE="Arial">  Processing the authorize section of radiusd.conf</FONT>


<BR><FONT SIZE=2 FACE="Arial">modcall: entering group authorize for request 1</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "preprocess" returns ok for request 1</FONT>


<BR><FONT SIZE=2 FACE="Arial">radius_xlat:  '/var/log/radius/radacct/172.16.5.71/auth-detail-20050630'</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_detail: /var/log/radius/radacct/%{Client-IP-Address}/auth-detail-%Y%m%d expands to /var/log/radius/radacct/172.16.5.71/auth-detail-20050630</FONT></P>


<P><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "auth_log" returns ok for request 1</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "attr_filter" returns noop for request 1</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: - authorize</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: performing user authorization for rgraham</FONT>


<BR><FONT SIZE=2 FACE="Arial">radius_xlat:  '(sAMAccountName=rgraham)'</FONT>


<BR><FONT SIZE=2 FACE="Arial">radius_xlat:  'ou=mem users,dc=mem-ins,dc=com'</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: ldap_get_conn: Checking Id: 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: ldap_get_conn: Got Id: 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: performing search in ou=mem users,dc=mem-ins,dc=com, with filter (sAMAccountName=rgraham)</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: looking for check items in directory...</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: looking for reply items in directory...</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: user rgraham authorized to use remote access</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: ldap_release_conn: Release Id: 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "ldap" returns ok for request 1</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "chap" returns noop for request 1</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "mschap" returns noop for request 1</FONT>


<BR><FONT SIZE=2 FACE="Arial">    rlm_realm: No '@' in User-Name = "rgraham", looking up realm NULL</FONT>


<BR><FONT SIZE=2 FACE="Arial">    rlm_realm: No such realm "NULL"</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "suffix" returns noop for request 1</FONT>


<BR><FONT SIZE=2 FACE="Arial">  rlm_eap: EAP packet type response id 1 length 29</FONT>


<BR><FONT SIZE=2 FACE="Arial">  rlm_eap: No EAP Start, assuming it's an on-going EAP conversation</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "eap" returns updated for request 1</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: Entering ldap_groupcmp()</FONT>


<BR><FONT SIZE=2 FACE="Arial">radius_xlat:  'ou=mem users,dc=mem-ins,dc=com'</FONT>


<BR><FONT SIZE=2 FACE="Arial">radius_xlat:  '(|(&(objectClass=GroupOfNames)(memberof=CN=Rgraham,OU=Columbia,OU=MEM Users,DC=mem-ins,DC=com))(&(objectClass=Group)(member=CN=Rgraham,OU=Columbia,OU=MEM Users,DC=mem-ins,DC=com)))'</FONT></P>


<P><FONT SIZE=2 FACE="Arial">rlm_ldap: ldap_get_conn: Checking Id: 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: ldap_get_conn: Got Id: 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: performing search in cn=domain users,ou=groups,ou=mem users,dc=mem-ins,dc=com, with filter (|(&(objectClass=GroupOfNames)(memberof=CN=Rgraham,OU=Columbia,OU=MEM Users,DC=mem-ins,DC=com))(&(objectClass=Group)(member=CN=Rgraham,OU=Columbia,OU=MEM Users,DC=mem-ins,DC=com)))</FONT></P>


<P><FONT SIZE=2 FACE="Arial">rlm_ldap::ldap_groupcmp: User found in group cn=domain users,ou=groups,ou=mem users,dc=mem-ins,dc=com</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: ldap_release_conn: Release Id: 0</FONT>


<BR><FONT SIZE=2 FACE="Arial">    users: Matched DEFAULT at 189</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authorize]: module "files" returns ok for request 1</FONT>


<BR><FONT SIZE=2 FACE="Arial">modcall: group authorize returns updated for request 1</FONT>


<BR><FONT SIZE=2 FACE="Arial">  rad_check_password:  Found Auth-Type EAP</FONT>


<BR><FONT SIZE=2 FACE="Arial">auth: type "EAP"</FONT>


<BR><FONT SIZE=2 FACE="Arial">  Processing the authenticate section of radiusd.conf</FONT>


<BR><FONT SIZE=2 FACE="Arial">modcall: entering group authenticate for request 1</FONT>


<BR><FONT SIZE=2 FACE="Arial">  rlm_eap: Request found, released from the list</FONT>


<BR><FONT SIZE=2 FACE="Arial">  rlm_eap: EAP/md5</FONT>


<BR><FONT SIZE=2 FACE="Arial">  rlm_eap: processing type md5</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_eap_md5: User-Password is required for EAP-MD5 authentication</FONT>


<BR><FONT SIZE=2 FACE="Arial"> rlm_eap: Handler failed in EAP/md5</FONT>


<BR><FONT SIZE=2 FACE="Arial">  rlm_eap: Failed in EAP select</FONT>


<BR><FONT SIZE=2 FACE="Arial">  modcall[authenticate]: module "eap" returns invalid for request 1</FONT>


<BR><FONT SIZE=2 FACE="Arial">modcall: group authenticate returns invalid for request 1</FONT>


<BR><FONT SIZE=2 FACE="Arial">auth: Failed to validate the user.</FONT>

</P>

<BR>


<P><FONT SIZE=2 FACE="Arial">shouldn't the section:</FONT>

</P>


<P><FONT SIZE=2 FACE="Arial">rlm_ldap: looking for check items in directory...</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: looking for reply items in directory...</FONT>


<BR><FONT SIZE=2 FACE="Arial">rlm_ldap: user rgraham authorized to use remote access</FONT>

</P>


<P><FONT SIZE=2 FACE="Arial">have something that reflects userpassword retrieved (rlm_ldap: UserPassword retrieved, or sometjing like that)?</FONT>

</P>


<P><FONT SIZE=2 FACE="Arial">Thanks</FONT>


<BR><FONT SIZE=2 FACE="Arial">Robert Graham</FONT>

</P>

<BR>

<BR>


</BODY>

</HTML>