Okay, feeling a bit stoopid at the moment.  I did not have the User-Password mapped.  For some indefensible reason based on our environment I had changed it simply to Password, and never changed it back.  I should have tried that mapping.
<br><br>HOWEVER<br><br>It still doesn't work.  <br>I can perform radtest queries  username/LDAPpassword, and I get the accept response.<br>If I use the query with username/remotepassword, I get rejected.<br><br>It appears that rlm_ldap does an initial lookup in LDAP and then tries to reconnect and bind as the user via the unitnumber.
<br>It uses (I can only assume) the User-Password to bind, and if that is not set to the value of the LDAP password, it fails and the requst is rejected.<br><br>I can see this happening in the log snippets included below.
<br><br>Note also that I removed the two $GENERIC$ lines from the ldap.attrmap file... does that matter?  I still don't understand their function.<br>Also, can I make arbitrary variable assignments in the ldap.attrmap file?  like Some-Attriabute := %Some-Other-Attribute?
<br><br>-----------------------------------------------------------------<br>My entire ldap.attrmap (without comments) is as follows:<br><br>checkItem       Account-Enabled                 isaccountenabled<br>checkItem       User-Password                   remotepassword
<br><br>replyItem       Access-List                     accesslist<br>replyItem       Class                           remotegroup<br><br><br>(I am trying to recreate settings from another radius product I would like to replace)
<br><br>---------------------------------------<br>My command line radtest for a failed and successful attempt<br><br>bash-3.00# /usr/local/freeradius/bin/radtest  testuser "TESTpwd" localhost:1815 35000 SECRET<br>
Sending Access-Request of id 50 to <a href="http://127.0.0.1">127.0.0.1</a> port 1815<br>        User-Name = "testuser"<br>        User-Password = "TESTpwd"<br>        NAS-IP-Address = <a href="http://255.255.255.255">
255.255.255.255</a><br>        NAS-Port = 35000<br>rad_recv: Access-Reject packet from host <a href="http://127.0.0.1:1815">127.0.0.1:1815</a>, id=50, length=20<br>bash-3.00# /usr/local/freeradius/bin/radtest  testuser "LDAPpwd" localhost:1815 35000 SECRET
<br>Sending Access-Request of id 59 to <a href="http://127.0.0.1">127.0.0.1</a> port 1815<br>        User-Name = "testuser"<br>        User-Password = "LDAPpwd"<br>        NAS-IP-Address = <a href="http://255.255.255.255">
255.255.255.255</a><br>        NAS-Port = 35000<br>rad_recv: Access-Accept packet from host <a href="http://127.0.0.1:1815">127.0.0.1:1815</a>, id=59, length=34<br>        Class = 0x6f753d456d706c6f79656573<br><br>---------------------------------------------------
<br>Debug output for the above requests is as follows:<br><br>(see attached file "radius-debug.txt" for full log)<br><br>REQUEST ONE FAILED<br>...<br>rlm_ldap: Setting Auth-Type = ldap<br>rlm_ldap: user testuser authorized to use remote access
<br>rlm_ldap: ldap_release_conn: Release Id: 0<br>  modcall[authorize]: module "ldap" returns ok for request 0<br>modcall: leaving group authorize (returns ok) for request 0<br>  rad_check_password:  Found Auth-Type ldap
<br>auth: type "LDAP"<br>  Processing the authenticate section of radiusd.conf<br>modcall: entering group LDAP for request 0<br>rlm_ldap: - authenticate<br>rlm_ldap: login attempt by "testuser" with password "TESTpwd"
<br>rlm_ldap: user DN: unitnumber=547258278,ou=mspr,ou=mycompanypeople,o=mycompany<br>rlm_ldap: (re)connect to <a href="http://ldapvip.co.mycompany.com:389">ldapvip.co.mycompany.com:389</a>, authentication 1<br>rlm_ldap: bind as unitnumber=547258278,ou=mspr,ou=mycompanypeople,o=mycompany/TESTpwd to 
<a href="http://ldapvip.co.mycompany.com:389">ldapvip.co.mycompany.com:389</a><br>rlm_ldap: waiting for bind result ...<br>rlm_ldap: Bind failed with invalid credentials<br>  modcall[authenticate]: module "ldap" returns reject for request 0
<br>modcall: leaving group LDAP (returns reject) for request 0<br>auth: Failed to validate the user.<br>Login incorrect (rlm_ldap: Bind as user failed): [testuser/TESTpwd] (from client localhost port 35000)<br>Delaying request 0 for 1 seconds
<br>Finished request 0<br>...<br><br><br>REQUEST TWO SUCCESSFUL<br>...<br>rlm_ldap: Setting Auth-Type = ldap<br>rlm_ldap: user testuser authorized to use remote access<br>rlm_ldap: ldap_release_conn: Release Id: 0<br>  modcall[authorize]: module "ldap" returns ok for request 1
<br>modcall: leaving group authorize (returns ok) for request 1<br>  rad_check_password:  Found Auth-Type ldap<br>auth: type "LDAP"<br>  Processing the authenticate section of radiusd.conf<br>modcall: entering group LDAP for request 1
<br>rlm_ldap: - authenticate<br>rlm_ldap: login attempt by "testuser" with password "LDAPpwd"<br>rlm_ldap: user DN: unitnumber=547258278,ou=mspr,ou=mycompanypeople,o=mycompany<br>rlm_ldap: (re)connect to 
<a href="http://ldapvip.co.mycompany.com:389">ldapvip.co.mycompany.com:389</a>, authentication 1<br>rlm_ldap: bind as unitnumber=547258278,ou=mspr,ou=mycompanypeople,o=mycompany/LDAPpwd to <a href="http://ldapvip.co.mycompany.com:389">
ldapvip.co.mycompany.com:389</a><br>rlm_ldap: waiting for bind result ...<br>rlm_ldap: Bind was successful<br>rlm_ldap: user testuser authenticated succesfully<br>  modcall[authenticate]: module "ldap" returns ok for request 1
<br>modcall: leaving group LDAP (returns ok) for request 1<br>Login OK: [testuser] (from client localhost port 35000)<br>Sending Access-Accept of id 59 to <a href="http://127.0.0.1">127.0.0.1</a> port 43466<br>        Class = 0x6f753d456d706c6f79656573
<br>Finished request 1<br>.....<br><br><br><br><br><br><div><span class="gmail_quote">On 8/29/06, <b class="gmail_sendername">Stefan Winter</b> <<a href="mailto:stefan.winter@restena.lu">stefan.winter@restena.lu</a>> wrote:
</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">> Modify ldap.attrmap so that _your_ attribute is mapped into User-Name, not<br>> the default one.
<br><br>User-Password of course.<br><br>--<br>Stefan WINTER<br><br>Fondation RESTENA - Réseau Téléinformatique de l'Education Nationale et de<br>la Recherche - Ingénieur de recherche<br><br>6, rue Richard Coudenhove-Kalergi
<br>L-1359 Luxembourg<br><br><br>-<br>List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a><br></blockquote></div><br>