<div> <sigh> That's the message on the NAS.  And you're simply repeating<br>your earlier comment that it doesn't work.<br><br> Again, what is the RADIUS server doing?  You can't expect to<br>understand what the RADIUS server is doing by looking at the NAS.  You

<br>have to look at the RADIUS server.<br> </div>

<div>Alan,</div>

<div> </div>

<div>When I was observing the radius log, i was typing correct username and password sometime it says "access was denied because username\password invalid on the domain". I didnt see anything going wrong in the log message but i didnt understand why i got the above error message.

</div>

<div> </div>

<div>bash3.0#radiusd -X -A<br>Starting - reading configuration files ...<br>reread_config: reading radiusd.conf<br>Config: including file: /usr/local/etc/raddb/proxy.conf<br>Config: including file: /usr/local/etc/raddb/clients.conf

<br>Config: including file: /usr/local/etc/raddb/snmp.conf<br>Config: including file: /usr/local/etc/raddb/eap.conf<br>Config: including file: /usr/local/etc/raddb/sql.conf<br>main: prefix = "/usr/local"<br>main: localstatedir = "/usr/local/var"

<br>main: logdir = "/usr/local/var/log/radius"<br>main: libdir = "/usr/local/lib"<br>main: radacctdir = "/usr/local/var/log/radius/radacct"<br>main: hostname_lookups = no<br>main: max_request_time = 30

<br>main: cleanup_delay = 5<br>main: max_requests = 1024<br>main: delete_blocked_requests = 0<br>main: port = 0<br>main: allow_core_dumps = no<br>main: log_stripped_names = no<br>main: log_file = "/usr/local/var/log/radius/radius.log"

<br>main: log_auth = no<br>main: log_auth_badpass = no<br>main: log_auth_goodpass = no<br>main: pidfile = "/usr/local/var/run/radiusd/radiusd.pid"<br>main: user = "(null)"<br>main: group = "(null)"

<br>main: usercollide = no<br>main: lower_user = "no"<br>main: lower_pass = "no"<br>main: nospace_user = "no"<br>main: nospace_pass = "no"<br>main: checkrad = "/usr/local/sbin/checkrad"

<br>main: proxy_requests = yes<br>proxy: retry_delay = 5<br>proxy: retry_count = 3<br>proxy: synchronous = no<br>proxy: default_fallback = yes<br>proxy: dead_time = 120<br>proxy: post_proxy_authorize = no<br>proxy: wake_all_if_all_dead = no

security: max_attributes = 200 security: reject_delay = 1 security: status_server = no main: debug_level = 0 read_config_files: reading dictionary read_config_files: reading naslist Using deprecated naslist file. Support for this will go away soon.

<br>read_config_files: reading clients<br>read_config_files: reading realms<br>radiusd: entering modules setup<br>Module: Library search path is /usr/local/lib<br>Module: Loaded exec<br>exec: wait = yes<br>exec: program = "(null)"

<br>exec: input_pairs = "request"<br>exec: output_pairs = "(null)"<br>exec: packet_type = "(null)"<br>rlm_exec: Wait=yes but no output defined. Did you mean output=none?<br>Module: Instantiated exec (exec)

<br>Module: Loaded expr<br>Module: Instantiated expr (expr)<br>Module: Loaded MS-CHAP<br>mschap: use_mppe = yes<br>mschap: require_encryption = yes<br>mschap: require_strong = yes<br>mschap: with_ntdomain_hack = yes<br>mschap: passwd = "(null)"

<br>mschap: authtype = "MS-CHAP"<br>mschap: ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name} --domain=%{mschap:NT-Domain} --challenge=%{mschap:Challenge} --nt-re<br>sponse=%{mschap:NT-Response}"

<br>Module: Instantiated mschap (mschap)<br>Module: Loaded PAP<br>pap: encryption_scheme = "crypt"<br>Module: Instantiated pap (pap)<br>Module: Loaded CHAP<br>Module: Instantiated chap (chap)<br>Module: Loaded System

<br>unix: cache = no<br>unix: passwd = "(null)"<br>unix: shadow = "(null)"<br>unix: group = "(null)"<br>unix: radwtmp = "/usr/local/var/log/radius/radwtmp"<br>unix: usegroup = no<br>

unix: cache_reload = 600<br>Module: Instantiated unix (unix)<br>Module: Loaded eap<br>eap: default_eap_type = "peap"<br>eap: timer_expire = 60<br>eap: ignore_unknown_eap_types = no<br>eap: cisco_accounting_username_bug = no

<br>rlm_eap: Loaded and initialized type md5<br>rlm_eap: Loaded and initialized type leap<br>gtc: challenge = "Password: "<br>gtc: auth_type = "PAP"<br>rlm_eap: Loaded and initialized type gtc<br>tls: rsa_key_exchange = no

<br>tls: dh_key_exchange = yes<br>tls: rsa_key_length = 512<br>tls: dh_key_length = 512<br>tls: verify_depth = 0<br>tls: CA_path = "(null)"<br>tls: pem_file_type = yes<br>tls: private_key_file = "/usr/local/etc/raddb/secert/cert- 

srv.pem"<br>tls: certificate_file = "/usr/local/etc/raddb/secert/cert-srv.pem"<br>tls: CA_file = "/usr/local/etc/raddb/secert/root.pem"<br>tls: private_key_password = "<removed>"<br>

tls: dh_file = "/usr/local/etc/raddb/secert/dh"<br>tls: random_file = "/usr/local/etc/raddb/secert/random"<br>tls: fragment_size = 1024<br>tls: include_length = yes<br>tls: check_crl = no<br>tls: check_cert_cn = "(null)"

<br>rlm_eap_tls: Loading the certificate file as a chain<br>rlm_eap: Loaded and initialized type tls<br>peap: default_eap_type = "mschapv2"<br>peap: copy_request_to_tunnel = no<br>peap: use_tunneled_reply = no<br>

peap: proxy_tunneled_request_as_eap = yes<br>rlm_eap: Loaded and initialized type peap<br>mschapv2: with_ntdomain_hack = no<br>rlm_eap: Loaded and initialized type mschapv2<br>Module: Instantiated eap (eap)<br>Module: Loaded preprocess

<br>preprocess: huntgroups = "/usr/local/etc/raddb/huntgroups"<br>preprocess: hints = "/usr/local/etc/raddb/hints"<br>preprocess: with_ascend_hack = no<br>preprocess: ascend_channels_per_line = 23<br>preprocess: with_ntdomain_hack = no

<br>preprocess: with_specialix_jetstream_hack = no<br>preprocess: with_cisco_vsa_hack = no<br>Module: Instantiated preprocess (preprocess)<br>Module: Loaded realm<br>realm: format = "suffix"<br>realm: delimiter = "@"

<br>realm: ignore_default = no<br>realm: ignore_null = no<br>Module: Instantiated realm (suffix)<br>Module: Loaded files<br>files: usersfile = "/usr/local/etc/raddb/users"<br>files: acctusersfile = "/usr/local/etc/raddb/acct_users"

<br>files: preproxy_usersfile = "/usr/local/etc/raddb/preproxy_users"<br>files: compat = "no"<br>Module: Instantiated files (files)<br>Module: Loaded Acct-Unique-Session-Id<br>acct_unique: key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port"

<br>Module: Instantiated acct_unique (acct_unique)<br>Module: Loaded detail<br>detail: detailfile = "/usr/local/var/log/radius/radacct/%{Client-IP-Address}/detail-%Y%m%d"<br>detail: detailperm = 384<br>detail: dirperm = 493

<br>detail: locking = no<br>Module: Instantiated detail (detail)<br>Module: Loaded radutmp<br>radutmp: filename = "/usr/local/var/log/radius/radutmp"<br>radutmp: username = "%{User-Name}"<br>radutmp: case_sensitive = yes

<br>radutmp: check_with_nas = yes<br>radutmp: perm = 384<br>radutmp: callerid = yes<br>Module: Instantiated radutmp (radutmp)<br>Listening on authentication *:1812<br>Listening on accounting *:1813<br>rad_recv: Access-Request packet from host 

<a href="http://192.168.0.1:4754">192.168.0.1:4754</a>, id=219, length=151<br>        User-Name = "=<removed>"<br>        MS-CHAP2-Response = 0x9f006ad4cb39d121eec1ed2bbd5a6b72823d0000000000000000dc3beae19e85c047fc47796ffa8ce40de9cb3891d38887a3

<br>        MS-CHAP-Challenge = 0x6ae823a6c2da2b7ca1f01d68109d2455<br>        NAS-Identifier = "Clavister"<br>        NAS-Port = 0<br>        NAS-Port-Type = Virtual<br>  Processing the authorize section of radiusd.conf

<br>modcall: entering group authorize for request 12<br>  modcall[authorize]: module "preprocess" returns ok for request 12<br>  modcall[authorize]: module "chap" returns noop for request 12<br>  rlm_mschap: Found MS-CHAP attributes.  Setting 'Auth-Type  = MS-CHAP'

<br>  modcall[authorize]: module "mschap" returns ok for request 12<br>    rlm_realm: No '@' in User-Name = "<removed>", looking up realm NULL<br>    rlm_realm: No such realm "NULL"<br>

  modcall[authorize]: module "suffix" returns noop for request 12<br>  rlm_eap: No EAP-Message, not doing EAP<br>  modcall[authorize]: module "eap" returns noop for request 12<br>    users: Matched entry DEFAULT at line 152

<br>  modcall[authorize]: module "files" returns ok for request 12<br>modcall: leaving group authorize (returns ok) for request 12<br>  rad_check_password:  Found Auth-Type MS-CHAP<br>auth: type "MS-CHAP"

Processing the authenticate section of radiusd.conf modcall: entering group MS-CHAP for request 12   rlm_mschap: No User-Password configured.  Cannot create LM-Password.   rlm_mschap: No User-Password configured.  Cannot create NT-Password.

<br>  rlm_mschap: Told to do MS-CHAPv2 for kartthikr with NT-Password<br>radius_xlat: Running registered xlat function of module mschap for string 'User-Name'<br>radius_xlat: Running registered xlat function of module mschap for string 'NT-Domain'

<br>radius_xlat: Running registered xlat function of module mschap for string 'Challenge'<br>mschap2: 6a<br>radius_xlat: Running registered xlat function of module mschap for string 'NT-Response'<br>radius_xlat:  '/usr/bin/ntlm_auth --request-nt-key --username=<removed>  --domain=<removed> --challenge=a3ecf075a1ea699b --nt-response

<br>=dc3beae19e85c047fc47796ffa8ce40de9cb3891d38887a3'<br>Exec-Program: /usr/bin/ntlm_auth --request-nt-key --username=<removed> --domain=<removed> --challenge=a3ecf075a1ea699b --nt-response=<br>dc3beae19e85c047fc47796ffa8ce40de9cb3891d38887a3

<br>Exec-Program output: NT_KEY: 67F102C088FF660F615D1F9236DF9797<br>Exec-Program-Wait: plaintext: NT_KEY: 67F102C088FF660F615D1F9236DF9797<br>Exec-Program: returned: 0<br>rlm_mschap: adding MS-CHAPv2 MPPE keys<br>  modcall[authenticate]: module "mschap" returns ok for request 12

<br>modcall: leaving group MS-CHAP (returns ok) for request 12<br>Sending Access-Accept of id 219 to <a href="http://192.168.0.1">192.168.0.1</a> port 4754<br>        MS-CHAP2-Success = 0x9f533d41443033433538413845303733454132373045303043444441364531383431433344383938383938

<br>        MS-MPPE-Recv-Key = 0xdc882e2dfa10109679e37fe4bafba95d<br>        MS-MPPE-Send-Key = 0xf3e3e6a91f2d6e4b64b8b2e5add4bdad<br>        MS-MPPE-Encryption-Policy = 0x00000002<br>        MS-MPPE-Encryption-Types = 0x00000004

<br>Finished request 12<br>Going to the next request<br><br>--- Walking the entire request list ---<br>Waking up in 6 seconds...<br>rad_recv: Access-Request packet from host <a href="http://192.168.0.1:4754">192.168.0.1:4754

</a>, id=219, length=151<br>Sending duplicate reply to client dlink:4754 - ID: 219<br>Re-sending Access-Accept of id 219 to <a href="http://192.168.0.1">192.168.0.1</a> port 4754<br>Waking up in 6 seconds...<br>rad_recv: Access-Request packet from host 

<a href="http://192.168.0.1:4754">192.168.0.1:4754</a>, id=219, length=151<br>Sending duplicate reply to client dlink:4754 - ID: 219<br>Re-sending Access-Accept of id 219 to <a href="http://192.168.0.1">192.168.0.1</a> port 4754

<br>Waking up in 6 seconds...<br> </div>