<br><font size=2 face="sans-serif">All,</font>

<br><font size=2 face="sans-serif">I am trying to authenticate my wifi

users via our AD. I'm finding bits and pieces on the internet to configure

things, but no completely usable howto.</font>

<br><font size=2 face="sans-serif">Can someone of the users look at the

ouput below and point me to the correct solution/howto?</font>

<br>

<br><font size=2 face="sans-serif">I setup smb.conf,krb5.conf and freeradius.

I joined the server to the domain and tested the connection with ntlm_auth:</font>

<br><font size=2 face="sans-serif">[root@belx11ke ~]# /usr/bin/ntlm_auth

--request-nt-key --username=sstruyf --domain=KMT-EU.KMTG.NET</font>

<br><font size=2 face="sans-serif">password:</font>

<br><font size=2 face="sans-serif">NT_STATUS_OK: Success (0x0)</font>

<br><font size=2 face="sans-serif">[root@belx11ke ~]#</font>

<br>

<br><font size=2 face="sans-serif">rights of the winbind pipe: </font>

<br><font size=2 face="sans-serif">ls -l /var/cache/samba/winbindd_privileged</font>

<br><font size=2 face="sans-serif">total 0</font>

<br><font size=2 face="sans-serif">srwxrwxrwx  1 root root 0 Oct 25

14:46 pipe</font>

<br>

<br><font size=2 face="sans-serif">below is the debug output of freeradius</font>

<br>

<br><font size=2 face="sans-serif">  Processing the authenticate section

of radiusd.conf</font>

<br><font size=2 face="sans-serif">modcall: entering group authenticate

for request 7</font>

<br><font size=2 face="sans-serif">  rlm_eap: Request found, released

from the list</font>

<br><font size=2 face="sans-serif">  rlm_eap: EAP/peap</font>

<br><font size=2 face="sans-serif">  rlm_eap: processing type peap</font>

<br><font size=2 face="sans-serif">  rlm_eap_peap: Authenticate</font>

<br><font size=2 face="sans-serif">  rlm_eap_tls: processing TLS</font>

<br><font size=2 face="sans-serif">  eaptls_verify returned 7</font>

<br><font size=2 face="sans-serif">  rlm_eap_tls: Done initial handshake</font>

<br><font size=2 face="sans-serif">  eaptls_process returned 7</font>

<br><font size=2 face="sans-serif">  rlm_eap_peap: EAPTLS_OK</font>

<br><font size=2 face="sans-serif">  rlm_eap_peap: Session established.

 Decoding tunneled attributes.</font>

<br><font size=2 face="sans-serif">  rlm_eap_peap: EAP type mschapv2</font>

<br><font size=2 face="sans-serif">  rlm_eap_peap: Tunneled data is

valid.</font>

<br><font size=2 face="sans-serif">  PEAP: Got tunneled EAP-Message</font>

<br><font size=2 face="sans-serif">        EAP-Message

= 0x020900521a0209004d3137d2b9533b5dbce9ca720a00d56208c30000    

                  0000000000008a0b7468748de41ff9fc510e9cc7afb6e1f9faaf0d9a9972004b4d542d45552e4b4d54472e4e45545c73737472757966</font>

<br><font size=2 face="sans-serif">  PEAP: Setting User-Name to KMT-EU.KMTG.NET\sstruyf</font>

<br><font size=2 face="sans-serif">  PEAP: Adding old state with a4

c3</font>

<br><font size=2 face="sans-serif">  PEAP: Sending tunneled request</font>

<br><font size=2 face="sans-serif">        EAP-Message

= 0x020900521a0209004d3137d2b9533b5dbce9ca720a00d56208c30000    

                  0000000000008a0b7468748de41ff9fc510e9cc7afb6e1f9faaf0d9a9972004b4d542d45552e4b4d54472e4e45545c73737472757966</font>

<br><font size=2 face="sans-serif">        FreeRADIUS-Proxied-To

= 127.0.0.1</font>

<br><font size=2 face="sans-serif">        User-Name

= "KMT-EU.KMTG.NET\\sstruyf"</font>

<br><font size=2 face="sans-serif">        State =

0xa4c337a92357e8d90a5f8c64b37d2df1</font>

<br><font size=2 face="sans-serif">  Processing the authorize section

of radiusd.conf</font>

<br><font size=2 face="sans-serif">modcall: entering group authorize for

request 7</font>

<br><font size=2 face="sans-serif">  modcall[authorize]: module "preprocess"

returns ok for request 7</font>

<br><font size=2 face="sans-serif">  modcall[authorize]: module "mschap"

returns noop for request 7</font>

<br><font size=2 face="sans-serif">    rlm_realm: No '@' in User-Name

= "KMT-EU.KMTG.NET\sstruyf", looking up realm   NULL</font>

<br><font size=2 face="sans-serif">    rlm_realm: No such realm

"NULL"</font>

<br><font size=2 face="sans-serif">  modcall[authorize]: module "kmt-eu.kmtg.net"

returns noop for request 7</font>

<br><font size=2 face="sans-serif">    rlm_realm: Looking up

realm "KMT-EU.KMTG.NET" for User-Name = "KMT-EU.KMTG.NET\sstruyf"</font>

<br><font size=2 face="sans-serif">    rlm_realm: Found realm

"KMT-EU.KMTG.NET"</font>

<br><font size=2 face="sans-serif">    rlm_realm: Adding Stripped-User-Name

= "sstruyf"</font>

<br><font size=2 face="sans-serif">    rlm_realm: Proxying request

from user sstruyf to realm KMT-EU.KMTG.NET</font>

<br><font size=2 face="sans-serif">    rlm_realm: Adding Realm

= "KMT-EU.KMTG.NET"</font>

<br><font size=2 face="sans-serif">    rlm_realm: Authentication

realm is LOCAL.</font>

<br><font size=2 face="sans-serif">  modcall[authorize]: module "ntdomain"

returns noop for request 7</font>

<br><font size=2 face="sans-serif">  rlm_eap: EAP packet type response

id 9 length 82</font>

<br><font size=2 face="sans-serif">  rlm_eap: No EAP Start, assuming

it's an on-going EAP conversation</font>

<br><font size=2 face="sans-serif">  modcall[authorize]: module "eap"

returns updated for request 7</font>

<br><font size=2 face="sans-serif">    users: Matched sstruyf

at 98</font>

<br><font size=2 face="sans-serif">  modcall[authorize]: module "files"

returns ok for request 7</font>

<br><font size=2 face="sans-serif">modcall: group authorize returns updated

for request 7</font>

<br><font size=2 face="sans-serif">  rad_check_password:  Found

Auth-Type EAP</font>

<br><font size=2 face="sans-serif">auth: type "EAP"</font>

<br><font size=2 face="sans-serif">  Processing the authenticate section

of radiusd.conf</font>

<br><font size=2 face="sans-serif">modcall: entering group authenticate

for request 7</font>

<br><font size=2 face="sans-serif">  rlm_eap: Request found, released

from the list</font>

<br><font size=2 face="sans-serif">  rlm_eap: EAP/mschapv2</font>

<br><font size=2 face="sans-serif">  rlm_eap: processing type mschapv2</font>

<br><font size=2 face="sans-serif">  Processing the authenticate section

of radiusd.conf</font>

<br><font size=2 face="sans-serif">modcall: entering group Auth-Type for

request 7</font>

<br><font size=2 face="sans-serif">  rlm_mschap: No User-Password

configured.  Cannot create LM-Password.</font>

<br><font size=2 face="sans-serif">  rlm_mschap: No User-Password

configured.  Cannot create NT-Password.</font>

<br><font size=2 face="sans-serif">  rlm_mschap: NT Domain delimeter

found, should we have enabled with_ntdomain_hack?</font>

<br><font size=2 face="sans-serif">  rlm_mschap: Told to do MS-CHAPv2

for KMT-EU.KMTG.NET\sstruyf with NT-Password</font>

<br><font size=2 face="sans-serif">radius_xlat: Running registered xlat

function of module mschap for string 'Challenge'</font>

<br><font size=2 face="sans-serif"> mschap2: 95</font>

<br><font size=2 face="sans-serif">  rlm_mschap: NT Domain delimeter

found, should we have enabled with_ntdomain_hack?</font>

<br><font size=2 face="sans-serif">radius_xlat: Running registered xlat

function of module mschap for string 'NT-Response'</font>

<br><font size=2 face="sans-serif">radius_xlat:  '/usr/bin/ntlm_auth

--request-nt-key --username=sstruyf --challeng e=7b634e5c9dd73ddc --nt-response=8a0b7468748de41ff9fc510e9cc7afb6e1f9faaf0d9a9972'</font>

<br><font size=2 face="sans-serif">Exec-Program: /usr/bin/ntlm_auth --request-nt-key

--username=sstruyf --challenge=7b634e5c9dd73ddc --nt-response=8a0b7468748de41ff9fc510e9cc7afb6e1f9faaf0d9a9972</font>

<br><font size=2 face="sans-serif">Exec-Program output: winbind client

not authorized to use winbindd_pam_auth_crap.  Ensure permissions

on /var/cache/samba/winbindd_privileged are set correctly.    

                   (0xc0000022)</font>

<br><font size=2 face="sans-serif">Exec-Program-Wait: plaintext: winbind

client not authorized to use winbindd_pam_auth_crap.  Ensure permissions

on /var/cache/samba/winbindd_privileged are set correctly. (0xc0000022)</font>

<br><font size=2 face="sans-serif">Exec-Program: returned: 1</font>

<br><font size=2 face="sans-serif">  rlm_mschap: External script failed.</font>

<br><font size=2 face="sans-serif">  rlm_mschap: FAILED: MS-CHAP2-Response

is incorrect</font>

<br><font size=2 face="sans-serif">  modcall[authenticate]: module

"mschap" returns reject for request 7</font>

<br><font size=2 face="sans-serif">modcall: group Auth-Type returns reject

for request 7</font>

<br><font size=2 face="sans-serif">  rlm_eap: Freeing handler</font>

<br><font size=2 face="sans-serif">  modcall[authenticate]: module

"eap" returns reject for request 7</font>

<br><font size=2 face="sans-serif">modcall: group authenticate returns

reject for request 7</font>

<br><font size=2 face="sans-serif">auth: Failed to validate the user.</font>

<br><font size=2 face="sans-serif">Login incorrect: [KMT-EU.KMTG.NET\\sstruyf/<no

User-Password attribute>] (from client localhost port 0)</font>

<br><font size=2 face="sans-serif">  Processing the post-auth section

of radiusd.conf</font>

<br><font size=2 face="sans-serif">modcall: entering group Post-Auth-Type

for request 7</font>

<br>

<br><font size=2 face="sans-serif">Stieven Struyf<br>

M.I.S. Division - System Operations <br>

Komatsu Europe International NV<br>

Mechelsesteenweg 586<br>

B-1800 Vilvoorde<br>

Stieven.Struyf@komatsu.eu<br>

Tel. +32 (0)2 2552551</font>