<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Hallo,<br>
I tried with EAP-TLS and PEAP/MS-CHAPv2.<br>
<br>
With the last, I have this user:<br>
<br>
vlan3  Cisco-AVPair == "ssid=VLAN3",
User-Password == "test"<br>
          Tunnel-Medium-Type = IEEE-802,
<br>
          Tunnel-Private-Group-Id = 3,
<br>
          Tunnel-Type = VLAN
<br>
<br>
<br>
If I insert the check ==  in the Cisco-AVPair  attribute, I have this
log:<br>
<br>
rad_recv: Access-Request packet from host 192.168.9.104:1645, id=21,
length=240<br>
        User-Name = "vlan3"<br>
        Framed-MTU = 1400<br>
        Called-Station-Id = "0012.dacb.8420"<br>
        Calling-Station-Id = "000c.f135.f1ba"<br>
        Cisco-AVPair = "ssid=VLAN3"<br>
        Service-Type = Login-User<br>
        Message-Authenticator = 0x57cbe83313e35c36a3878a5151361c44<br>
        EAP-Message =
0x020900501900170301002029a86e41268c925e584b0924c058e045487523e0b2181541f520fe517e5fa67c1703010020ebe4e512af90e916f41fc666e138157bd279a6ed7f1ab44243f67e72d18ce012<br>
        NAS-Port-Type = Wireless-802.11<br>
        Cisco-NAS-Port = "260"<br>
        NAS-Port = 260<br>
        State = 0xbb09e1038e24af4dc9f4002adb7d6b0a<br>
        NAS-IP-Address = 192.168.9.104<br>
        NAS-Identifier = "ap"<br>
  Processing the authorize section of radiusd.conf<br>
modcall: entering group authorize for request 8<br>
  modcall[authorize]: module "preprocess" returns ok for request 8<br>
  modcall[authorize]: module "mschap" returns noop for request 8<br>
    rlm_realm: No '@' in User-Name = "vlan3", looking up realm NULL<br>
    rlm_realm: No such realm "NULL"<br>
  modcall[authorize]: module "suffix" returns noop for request 8<br>
  rlm_eap: EAP packet type response id 9 length 80<br>
  rlm_eap: No EAP Start, assuming it's an on-going EAP conversation<br>
  modcall[authorize]: module "eap" returns updated for request 8<br>
    users: Matched entry vlan3 at line 24<br>
  modcall[authorize]: module "files" returns ok for request 8<br>
modcall: leaving group authorize (returns updated) for request 8<br>
  rad_check_password:  Found Auth-Type EAP<br>
auth: type "EAP"<br>
  Processing the authenticate section of radiusd.conf<br>
modcall: entering group authenticate for request 8<br>
  rlm_eap: Request found, released from the list<br>
  rlm_eap: EAP/peap<br>
  rlm_eap: processing type peap<br>
  rlm_eap_peap: Authenticate<br>
  rlm_eap_tls: processing TLS<br>
  eaptls_verify returned 7<br>
  rlm_eap_tls: Done initial handshake<br>
  eaptls_process returned 7<br>
  rlm_eap_peap: EAPTLS_OK<br>
  rlm_eap_peap: Session established.  Decoding tunneled attributes.<br>
  rlm_eap_peap: Received EAP-TLV response.<br>
  rlm_eap_peap: Tunneled data is valid.<br>
  rlm_eap_peap:  Had sent TLV failure.  User was rejcted rejected
earlier in this session.<br>
 rlm_eap: Handler failed in EAP/peap<br>
  rlm_eap: Failed in EAP select<br>
  modcall[authenticate]: module "eap" returns invalid for request 8<br>
modcall: leaving group authenticate (returns invalid) for request 8<br>
auth: Failed to validate the user.<br>
Login incorrect: [vlan3/<no User-Password attribute>] (from
client ap-test port 260 cli 000c.f135.f1ba)<br>
Delaying request 8 for 1 seconds<br>
Finished request 8<br>
<br>
<br>
The radius don't authenticate my user, but the SSID is correct!<br>
<br>
I don't understand what is wrong.....<br>
<br>
<br>
Thanks a lot for your support...<br>
Antonio<br>
<br>
on 06/04/2006 14.59 Guy Davies said the following:
<blockquote
 cite="mid38f596590604060559i3acf6ad8r2a0d0ba371765a7c@mail.gmail.com"
 type="cite">
  <pre wrap="">I don't think you should be setting the Auth-Type.  Just let
FreeRADIUS work that out.  What are you doing with your Cisco AP?  Are
you doing PEAP/MS-CHAPv2?  If so, then you must have a User-Password
== "foo" in your user database and you *must not* set Auth-Type :=
EAP.

You should do as Sergio says and use == in your Cisco-AVPair check
item.  This is a comparison.

Rgds,

Guy

On 06/04/06, Antonio Matera <a class="moz-txt-link-rfc2396E" href="mailto:antonio.matera@create-net.it"><antonio.matera@create-net.it></a> wrote:
  </pre>
  <blockquote type="cite">
    <pre wrap=""> Hallo,
 If I set Cisco-AVPair == "ssid=SSID1" in my user authentication, the
authentication Fail with any ssid and user.
 If I set Cisco-AVPair := "ssid=SSID1" my users are always authenticated.

 Is there any other configuration to set in the radius or in the access
point?

 In my access request there is the AVPair attribute:


 rad_recv: Access-Request packet from host 192.168.9.104:1645, id=19,
length=166
       User-Name = "TEST4"
       Framed-MTU = 1400
       Called-Station-Id = "0012.dacb.8420"
       Calling-Station-Id = "000c.f135.f1ba"
       Cisco-AVPair = "ssid=VLAN3"
       Service-Type = Login-User
       Message-Authenticator =
0xb2a3f1fd52d9d6ff9702cc8f1f480f46
       EAP-Message = 0x020600060d00
       NAS-Port-Type = Wireless-802.11
       Cisco-NAS-Port = "260"
       NAS-Port = 260
       State = 0x0491685cf8ece3184d685dedfedbb3d4
       NAS-IP-Address = 192.168.9.104
       NAS-Identifier = "ap"


 but I don't understand if it works...


 Any idea?


 Thanks


 on 06/04/2006 11.39 Sergio Sagliocco said the following:
 Hi
I think you have to try in this way (for example):
TEST4 Cisco-AVPair == "ssid=SSID1" , Auth-Type := EAP
 Tunnel-Medium-Type = IEEE-802,
 Tunnel-Private-Group-Id = 2,
 Tunnel-Type = VLAN
DEFAULT Auth-Type := Reject

if uou want a password:
TEST4 Cisco-AVPair == "ssid=SSID1" ,User-Password="XXXX", Auth-Type := EAP
 Tunnel-Medium-Type = IEEE-802,
 Tunnel-Private-Group-Id = 2,
 Tunnel-Type = VLAN
DEFAULT Auth-Type := Reject

Regards
sergio

Antonio Matera wrote:


 My goal is to have authenticate user only if the SSID is right!
You know how can I do it?

Thanks
Antonio

on 05/04/2006 17.33 Sergio Sagliocco said the following:


 Hello
your goal is authenticate users only if the SSID is rght or to have
different EAP Authentication method based on SSID?

regards
sergio


Antonio Matera wrote:



 Hallo,
thanks for the answer.

With your solution my radius don't authenticate my users....
Is my configuration correct or I need other change in my radius files?

Thanks bye

on 05/04/2006 15.27 Sergio Sagliocco said the following:



 Hi
I think you have to use == instead of :=
For example:

DEFAULT Cisco-AVPair == "ssid=testLEAP" , EAP-Type := Cisco-LEAP

Regards




 - List info/subscribe/unsubscribe? See
<a class="moz-txt-link-freetext" href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a>






------------------------------------------------------------------------

-
List info/subscribe/unsubscribe? See
<a class="moz-txt-link-freetext" href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a>



-
List info/subscribe/unsubscribe? See
<a class="moz-txt-link-freetext" href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a>


    </pre>
  </blockquote>
  <pre wrap=""><!---->

List info/subscribe/unsubscribe? See <a class="moz-txt-link-freetext" href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a>

  </pre>
</blockquote>
<br>
</body>
</html>