<HTML>
<HEAD>
<META content="text/html; charset=iso-8859-1" http-equiv=Content-Type>
<META content="Open WebMail 2.32 20040525" name=GENERATOR>
</HEAD>
<BODY bgColor=#ffffff>

<font size="2">OK, Phil, you got me. I thought all I did was copy the to address, but must have used a reply instead.  Sorry.
<br />
<br />Thanks for the code suggestions.  I understand what you see as the issue.  Makes sense.  I will experiment with what you suggest and see what I get.
<br />
<br />Scott Reed 

<br />
Owner 

<br />
NewWays 

<br />
Wireless Networking 

<br />
Network Design, Installation and Administration 

<br />
<a target="_blank" href="http://www.nwwnet.net/">www.nwwnet.net</a> 

<br />

<br />
<br /><b>---------- Original Message 
-----------</b>
<br />
From: Phil Mayers <p.mayers@imperial.ac.uk> 

<br />
To: FreeRadius users mailing list <freeradius-users@lists.freeradius.org> 

<br />
Sent: Fri, 07 Apr 2006 11:09:48 +0100 

<br />
Subject: Re: User in Multiple Groups 

<br />

<br />> Scott Reed wrote: 
<br />> 

> I did not usurp a thread, I reposted my own. 
<br />> 
<br />> 

Really? How odd: 
<br />> 
<br />> 

Message-ID: <002101c658de$6ceb9400$0500a8c0@laptop> 
<br />> 

From: "debik" <debik@vp.pl> 
<br />> 

Subject: Re: Couldn't stop freeradius server!! 
<br />> 
<br />> 

From: "Scott Reed" <sreed@nwwnet.net> 
<br />> 

Date: Wed, 5 Apr 2006 07:25:29 -0500 
<br />> 

Message-Id: <20060405121401.M70783@nwwnet.net> 
<br />> 

In-Reply-To: <002101c658de$6ceb9400$0500a8c0@laptop> 
<br />> 

Subject: User in Multiple Groups 
<br />> 
<br />> 

>  
<br />> 

> I changed radcheck to have := instead of ==.  No change. 
<br />> 

>  
<br />> 

> First query returns: 
<br />> 

> +----+--------------+--------------+-------------+----+ 
<br />> 

> | id | GroupName    | Attribute    | Value    
   | op | 
<br />> 

> +----+--------------+--------------+-------------+----+ 
<br />> 

> | 28 | MS1-AP1      | Service-Type | Framed-User | == | 

<br />> 

> | 31 | Router-Admin | Service-Type | Login-User  | == | 
<br />> 

> +----+--------------+--------------+-------------+----+ 
<br />> 
<br />> 

Ah ok. Lightbulb moment. 
<br />> 
<br />> 

Disclaimer: I'm not an expert w.r.t. rlm_sql (or much else in the server  

<br />> 

in fact) 
<br />> 
<br />> 

BUT I've taken quite a detailed look at the code in the past, and as far  

<br />> 

as I can tell it does this: 
<br />> 
<br />> 

check_items = [] 
<br />> 
<br />> 

radcheck_items = query("<radcheck query>") 
<br />> 

check_items += radcheck_items 
<br />> 
<br />> 

groupcheck_items = query("<radgroupcheck query>") 
<br />> 

check_items += groupcheck_items 
<br />> 
<br />> 

...that is, ALL the groupcheck items for a user are added to the check  
<br />> 

items (see src/modules/rlm_sql/rlm_sql.c line 782, at least in 1.1.0  
<br />> 

source). 
<br />> 
<br />> 

So, in your case the check items from both groups will be merged: 
<br />> 

<br />> 

username Service-Type == Framed-User, Service-Type == Login-User 
<br />> 

<br />> 

...and obviously will never match. So you're correct, with the default  
<br />> 

queries >1 groupcheck where the groups have the same check item will  

<br />> 

seldom (if ever) work as expected. 
<br />> 
<br />> 

You could try changing the groupcheck query to something like: 
<br />> 
<br />> 

SELECT 
<br />> 

   ${groupcheck_table}.id, 
<br />> 

   ${groupcheck_table}.GroupName, 
<br />> 

   ${groupcheck_table}.Attribute, 
<br />> 

   ${groupcheck_table}.Value, 
<br />> 

   ${groupcheck_table}.op 
<br />> 

FROM 
<br />> 

   ${groupcheck_table}, 
<br />> 

   ${usergroup_table} 
<br />> 

WHERE 
<br />> 

   ${usergroup_table}.Username = '%{SQL-User-Name}' 
<br />> 

AND 
<br />> 

   ${usergroup_table}.GroupName = ${groupcheck_table}.GroupName 
<br />> 

-- this bit has been added 
<br />> 

AND 
<br />> 

   ( 
<br />> 

     -- all groups without Service-Type checks 
<br />> 

     NOT EXISTS ( 
<br />> 

       select 1 from ${groupcheck_table} as ot 
<br />> 

       where ot.Attribute=='Service-Type' 
<br />> 

       and ot.GroupName==${groupcheck_table}.GroupName 
<br />> 

     ) 
<br />> 

   OR 
<br />> 

     -- all groups with Service-Type checks matching our Service-Type 

<br />> 

     EXISTS ( 
<br />> 

       select 1 from ${groupcheck_table} as ot 
<br />> 

       where ot.Attribute=='Service-Type' 
<br />> 

       -- WARNING: this assumes ot.Op is "==" 
<br />> 

       and ot.Value=='%{Service-Type}' 
<br />> 

       and ot.GroupName==${groupcheck_table}.GroupName 
<br />> 

     ) 
<br />> 

   ) 
<br />> 

-- the above bit has been added 
<br />> 

ORDER BY ${groupcheck_table}.id 
<br />> 
<br />> 

...which is a bit complex (and untested / off the top of my head) but  
<br />> 

should work. Having said that I note you're using MySQL, which I can't  
<br />> 

remember if it support sub-selects. 
<br />> 
<br />> 

Really the module should be recoded IMHO to do this: 
<br />> 
<br />> 

usercheck = query("<radcheck query>") 
<br />> 

if usercheck AND paircmp(usercheck, request): 
<br />> 

     userreply = query("<radreply query>") 
<br />> 

     pairxlatmove(request.reply, userreply) 
<br />> 

groups = query("<usergroup query> order by priority") 
<br />> 

for group in groups: 
<br />> 

   groupcheck = query("<groupcheck query> WHERE 
GroupName=$group") 
<br />> 

   if groupcheck and paircmp(groupcheck, request): 
<br />> 

     groupreply = query("<groupreply query> WHERE 
GroupName=$group") 
<br />> 

     pairxlatmove(request.reply, groupreply) 
<br />> 
<br />> 

...but I don't know if there's any interest in doing that. 
<br />> 

-  
<br />> 

List info/subscribe/unsubscribe? See <a target="_blank" href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a> 
<br /><b>------- End 
of Original Message 
-------</b>
<br />

</font>
</BODY>
</HTML>