
<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">


<head>

<meta http-equiv=Content-Type content="text/html; charset=us-ascii">

<meta name=Generator content="Microsoft Word 11 (filtered medium)">

<style>

<!--

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman";}

a:link, span.MsoHyperlink

        {color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:Arial;

        color:windowtext;}

@page Section1

        {size:8.5in 11.0in;

        margin:1.0in 1.25in 1.0in 1.25in;}

div.Section1

        {page:Section1;}

-->

</style>


</head>


<body lang=EN-US link=blue vlink=purple>


<div class=Section1>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></font></p>


<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>"Mike May"

<mmay3@nd.edu> wrote:<o:p></o:p></span></font></p>


<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>> Hello everyone, is it

possible to have NAS entries for a subnet, if so <o:p></o:p></span></font></p>


<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>> could someone give me

an example<o:p></o:p></span></font></p>


<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></font></p>


<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>  raddb/clients.conf<o:p></o:p></span></font></p>


<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></font></p>


<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>  Alan DeKok.<o:p></o:p></span></font></p>


<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>--<o:p></o:p></span></font></p>


<p class=MsoNormal style='text-autospace:none'><font size=2 face="Courier New"><span

style='font-size:10.0pt;font-family:"Courier New"'>  <a

href="http://deployingradius.com/">http://deployingradius.com</a>    

  - The web site of the book<o:p></o:p></span></font></p>


<div style='mso-element:para-border-div;border:none;border-bottom:double windowtext 2.25pt;

padding:0in 0in 1.0pt 0in'>


<p class=MsoNormal style='text-autospace:none;border:none;padding:0in'><font

size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New"'> 

<a href="http://deployingradius.com/blog/">http://deployingradius.com/blog/</a>

- The blog<o:p></o:p></span></font></p>


</div>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>Thanks for example Alan, I thought it may be helpful for me to provide

you some more information, I am not a Radius expert but have managed to keep a somewhat

large client base using radius. I currently use the clients file to allow

connections, but not to do any real authorization. Example of my clients file

is below, this is only a small section as my radius servers handles modem pool,

vpn, wireless, 802.1x etc and soon wired 802.1x. I use LDAP/ Kerberos as the

authn backend<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>I use huntgroup entries to point to matches in my users file see examples

below. in the users file is where I am using ldaps.conf to connect to the

directory servers, verifying what group the user is in and at the end authn to Kerberos

store. After the authn I set some authz like  <b><span style='font-weight:

bold'>Cisco-AVPair = "priv-lvl=15” </span></b>used by Cisco routers

and switches for network engineers who live in the proper LDAP group, here is

where the problem is. PIX firewalls do not like me setting the priv lvl, and

the reason is that the PIX will only accept authz from a tacacs server(it seems

like). What I need to do is specify a “netauth” ==   

NAS-IP-ADDRESS 192.168.20.0/23 subnet. Instead of  “netauth” 

== NAS-IP-ADDRESS 192.168.20.15, this way I can use my users file and not set the

Cisco priv lvl for those devices that live on the firewall subnets.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>Thank you for all your help<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>Mike<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>========= clients.conf=============================<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>#This are for network engineering devices (outside wireless and dialup)<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'># 2/20/06<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>client 172.16.255.2/29 {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        secret  <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        shortname = devicenet-15<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>client 172.16.240.0/20 {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        secret =  <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        shortname = devicenet-16<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>client 172.17.240.0/20 {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        secret = <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        shortname = devicenet-17<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>client 172.18.240.0/20 {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        secret = <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        shortname = devicenet-18<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>client 172.19.240.0/20 {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        secret = <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        shortname = devicenet-19<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>client 172.20.240.0/20 {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        secret = <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        shortname = devicenet-20<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>client 172.21.240.0/20 {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        secret = <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        shortname = devicenet-21<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>client 172.22.240.0/20 {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        secret = <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        shortname = devicenet-22<o:p></o:p></span></font></p>


<div style='mso-element:para-border-div;border:none;border-bottom:double windowtext 2.25pt;

padding:0in 0in 1.0pt 0in'>


<p class=MsoNormal style='border:none;padding:0in'><font size=3

face="Times New Roman"><span style='font-size:12.0pt'><o:p> </o:p></span></font></p>


</div>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>Huntgroups<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>wireless-prime  NAS-IP-Address == xxx.xxx.xxx.xxx<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>wireless-backup NAS-IP-Address == xxx.xxx.xxx.xxx<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>spam1          

NAS-IP-Address == xxx.xxx.xxx.xxx<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>spam2          

NAS-IP-Address == xxx.xxx.xxx.xxx<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>ciscovpnadmin   NAS-IP-Address == xxx.xxx.xxx.xxx<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>dialup8         NAS-IP-Address

== xxx.xxx.xxx.xxx<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>ciscovpnadmin2  NAS-IP-Address == xxx.xxx.xxx.xxx<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>dialup9         NAS-IP-Address

== xxx.xxx.xxx.xxx<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>dialup10        NAS-IP-Address == xxx.xxx.xxx.xxx<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>netautz         NAS-Port-Type

== "Virtual"<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>netautz_fw      NAS-IP-Address == xxxx<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>netautz_fw1     NAS-IP-Address == xxxxx<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>===================================================<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>Users file<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>DEFAULT Huntgroup-Name == "netautz", Ldap-Group == ndeg6qr2,

Autz-Type := ldap-vpn, Auth-Type := ldap-vpn<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        Service-Type = 6,<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        <b><span style='font-weight:

bold'>Cisco-AVPair = "priv-lvl=15</span></b>",<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        Fall-Through = Yes<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>DEFAULT Huntgroup-Name == "netautz_fw", Ldap-Group ==

ndeg6qr2, Autz-Type := ldap-vpn, Auth-Type := ldap-vpn<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        Service-Type = 6,<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        Fall-Through = Yes<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>DEFAULT Huntgroup-Name == "netautz_fw1", Ldap-Group ==

ndeg6qr2, Autz-Type := ldap-vpn, Auth-Type := ldap-vpn<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        Service-Type = 6,<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        Fall-Through = Yes<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'># VPN Group Definition note please make additions at the begining of

the stanza not the end<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>DEFAULT Huntgroup-Name == "ciscovpnadmin", Hint

=="NETENG", Ldap-Group == ndbx2jj5, Autz-Type := ldap-vpn, Auth-Type

:= ldap-vpn<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        CVPN3000-IPSec-Banner1 =

"Welcome to VPN group NETENG!",<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        Class =

"OU=neteng;",<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>        Fall-Through = No<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p> </o:p></span></font></p>


</div>


</body>


</html>