
<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006>Hi,</SPAN></FONT></DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006>I'm trying  to authenticate and authorize Cisco routers administrators </SPAN></FONT><FONT face=Arial size=2><SPAN class=918382018-26102006>But not the autorization (privilege level).  </SPAN></FONT><FONT face=Arial size=2><SPAN class=918382018-26102006>so not when i add  "aaa authorization exec default group radiusvrf if-authenticated" to the cisco router to be able to manage privileges with radius.</SPAN></FONT></DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006></SPAN></FONT> </DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006>to make it work, i think i need to  configure Service-Type and <FONT size=1>cisco-avpair </FONT>  attributes for each user  to get the autorization from the cisco router. </SPAN></FONT></DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006>I want to configure this attributs in freeradius, not in openldap.</SPAN></FONT></DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006></SPAN></FONT> </DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006>So, is it possible to add this attributes to a specific user in the raddb/users file after he has been authenticated by ldap ? or i must do it differently ?</SPAN></FONT></DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006></SPAN></FONT> </DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006></SPAN></FONT> </DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006></SPAN></FONT> </DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006></SPAN></FONT> </DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006>in raddb/radiusd.conf: </SPAN></FONT></DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006><FONT size=1>

<P>authorize {</P>

<P>preprocess</FONT><FONT size=1></P></FONT><FONT size=1>

<P>files</P>

<P>ldap</P>

<P>}</P>

<P></FONT></SPAN></FONT> </P></DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006><FONT size=1>

<P>authenticate {</P>

<P>Auth-Type PAP {</P>

<P>pap</P>

<P>}</FONT><FONT size=1></P>

<P>Auth-Type LDAP {</P>

<P>ldap</P>

<P>}</P>

<P>}</P></FONT></SPAN></FONT></DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006>I tried with a user and a DEFAULT user:</SPAN></FONT></DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006></SPAN></FONT> </DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006>raddb/users:</SPAN></FONT><FONT face=Arial size=2><SPAN class=918382018-26102006><FONT size=1></DIV></FONT></SPAN></FONT>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006></SPAN></FONT> </DIV>

<DIV><FONT size=2><SPAN class=918382018-26102006><FONT size=1>

<P><FONT face=Arial>Robert Service-Type = NAS-Prompt-User</FONT></P>

<P><FONT face=Arial>cisco-avpair = "shell:priv-lvl=1"</FONT></P>

<P><FONT face=Arial></FONT> </P>

<P><FONT face=Arial>DEFAULT Service-Type = NAS-Prompt-User</FONT></P>

<P><FONT face=Arial>cisco-avpair = "shell:priv-lvl=<SPAN class=918382018-26102006>1</SPAN>"</FONT></P>

<P><FONT face=Arial></FONT> </P></FONT></SPAN></FONT></DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006>but this attributs seem not to be send to the routeur. when ldap is authorize in radiusd.conf, the users file is not check anymore ?</SPAN></FONT></DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006></SPAN></FONT> </DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006></SPAN></FONT> </DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006></SPAN></FONT> </DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006>Thanks for your help</SPAN></FONT></DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006></SPAN></FONT> </DIV>

<DIV><FONT face=Arial size=2><SPAN class=918382018-26102006>Thomas</SPAN></FONT></DIV>