<div>Hi<br>Sorry for too many mails. Problem solved by setting identity and password in radius.conf with proper user in ldap. I managed to get User-Password from ldap at the end as shown below.<br> </div>
<div>rlm_ldap: Added password ramazan in check items<br>rlm_ldap: looking for check items in directory...<br><font style="BACKGROUND-COLOR: #ffff33">rlm_ldap: Adding userpassword as User-Password, value ramazan & op=21
<br></font>rlm_ldap: looking for reply items in directory...<br>rlm_ldap: Adding radiusTunnelPrivateGroupId as Tunnel-Private-Group-Id, value 2 & op=11<br>rlm_ldap: Adding radiusTunnelMediumType as Tunnel-Medium-Type, value 6 & op=11
<br>rlm_ldap: Adding radiusTunnelType as Tunnel-Type, value VLAN & op=11<br>rlm_ldap: Adding radiusClass as Class, value employee & op=11<br>rlm_ldap: user ramazan authorized to use remote access<br>rlm_ldap: ldap_release_conn: Release Id: 0
<br>modcall[authorize]: module "ldap" returns ok for request 1<br>modcall: leaving group authorize (returns updated) for request 1<br>rad_check_password: Found Auth-Type EAP<br>auth: type "EAP"<br>Processing the authenticate section of 
radiusd.conf<br>modcall: entering group authenticate for request 1<br>rlm_eap: Request found, released from the list<br>rlm_eap: EAP/md5<br>rlm_eap: processing type md5<br>rlm_eap: Freeing handler<br>modcall[authenticate]: module "eap" returns ok for request 1
<br>modcall: leaving group authenticate (returns ok) for request 1<br>Login OK: [ramazan/<no User-Password attribute>] (from client ldapsrv port 50001 cli 00-12-79-AE-D2-4D)<br>On 1/29/07, Ramazan Ulker <<a href="mailto:ulkerra@gmail.com">
ulkerra@gmail.com</a>> wrote:<br>> <br>> <br>> <br>> Hi <br>> <br>> I'm working on 802.1x implementation(cisco 2950, freeradius, ldap), i face a problem. First of all, defining users and passwords in users file in raddb works well with md5 authentication. Then i tried to use ldap, then with radtest i get accept-accept packet. But while authenticating from xp client with md5-challenge, I got 
<br>> <br>> Auth:rlm_ldap:Attribute "User-Password" is required for authentication <br>> <br>> error. In one of the e-mail you said don't authenticate from ldap, but with radtest function i get success!!! The passwords are kept clear text. I'm looking forward to getting your help. I also send radius debug log. 
<br>> <br>> Best Regards <br>> <br>> Ramazan<br>> <br>>  <br>> <br>>  <br>> <br>> Starting - reading configuration files ...<br>> <br>> reread_config: reading radiusd.conf<br>> <br>> Config: including file: /etc/raddb/proxy.conf
<br>> <br>> Config: including file: /etc/raddb/clients.conf<br>> <br>> Config: including file: /etc/raddb/snmp.conf<br>> <br>> Config: including file: /etc/raddb/sql.conf<br>> <br>> main: prefix = "/usr"
<br>> <br>> main: localstatedir = "/var"<br>> <br>> main: logdir = "/var/log/radius"<br>> <br>> main: libdir = "/usr/lib/freeradius"<br>> <br>> main: radacctdir = "/var/log/radius/radacct"
<br>> <br>> main: hostname_lookups = no<br>> <br>> main: max_request_time = 30<br>> <br>> main: cleanup_delay = 5<br>> <br>> main: max_requests = 1024<br>> <br>> main: delete_blocked_requests = 0
<br>> <br>> main: port = 0<br>> <br>> main: allow_core_dumps = no<br>> <br>> main: log_stripped_names = yes<br>> <br>> main: log_file = "/var/log/radius/radius.log"<br>> <br>> main: log_auth = yes
<br>> <br>> main: log_auth_badpass = yes<br>> <br>> main: log_auth_goodpass = yes<br>> <br>> main: pidfile = "/var/run/radiusd/radiusd.pid"<br>> <br>> main: user = "radiusd"<br>
> <br>> main: group = "radiusd"<br>> <br>> main: usercollide = no<br>> <br>> main: lower_user = "no"<br>> <br>> main: lower_pass = "no"<br>> <br>> main: nospace_user = "no"
<br>> <br>> main: nospace_pass = "no"<br>> <br>> main: checkrad = "/usr/sbin/checkrad"<br>> <br>> main: proxy_requests = yes<br>> <br>> proxy: retry_delay = 5<br>> <br>> proxy: retry_count = 3
<br>> <br>> proxy: synchronous = no<br>> <br>> proxy: default_fallback = yes<br>> <br>> proxy: dead_time = 120<br>> <br>> proxy: post_proxy_authorize = yes<br>> <br>> proxy: wake_all_if_all_dead = no
<br>> <br>> security: max_attributes = 200<br>> <br>> security: reject_delay = 1<br>> <br>> security: status_server = no<br>> <br>> main: debug_level = 0<br>> <br>> read_config_files: reading dictionary
<br>> <br>> read_config_files: reading naslist<br>> <br>> read_config_files: reading clients<br>> <br>> read_config_files: reading realms<br>> <br>> radiusd: entering modules setup<br>> <br>> Module: Library search path is /usr/lib/freeradius
<br>> <br>> Module: Loaded expr <br>> <br>> Module: Instantiated expr (expr) <br>> <br>> Module: Loaded PAP <br>> <br>> pap: encryption_scheme = "crypt"<br>> <br>> Module: Instantiated pap (pap) 
<br>> <br>> Module: Loaded CHAP <br>> <br>> Module: Instantiated chap (chap) <br>> <br>> Module: Loaded MS-CHAP <br>> <br>> mschap: use_mppe = yes<br>> <br>> mschap: require_encryption = no<br>
> <br>> mschap: require_strong = no<br>> <br>> mschap: passwd = "(null)"<br>> <br>> mschap: authtype = "MS-CHAP"<br>> <br>> Module: Instantiated mschap (mschap) <br>> <br>> Module: Loaded System 
<br>> <br>> unix: cache = no<br>> <br>> unix: passwd = "(null)"<br>> <br>> unix: shadow = "(null)"<br>> <br>> unix: group = "(null)"<br>> <br>> unix: radwtmp = "/var/log/radius/radwtmp"
<br>> <br>> unix: usegroup = no<br>> <br>> unix: cache_reload = 600<br>> <br>> Module: Instantiated unix (unix) <br>> <br>> Module: Loaded LDAP <br>> <br>> ldap: server = "<a href="http://192.168.100.18">
192.168.100.18</a>"<br>> <br>> ldap: port = 389<br>> <br>> ldap: net_timeout = 1<br>> <br>> ldap: timeout = 4<br>> <br>> ldap: timelimit = 3<br>> <br>> ldap: identity = ""<br>> 
<br>> ldap: start_tls = no<br>> <br>> ldap: password = ""<br>> <br>> ldap: basedn = "dc=<a href="http://dot1x.com">dot1x.com</a>"<br>> <br>> ldap: filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"
<br>> <br>> ldap: default_profile = "(null)"<br>> <br>> ldap: profile_attribute = "(null)"<br>> <br>> ldap: password_header = "(null)"<br>> <br>> ldap: password_attribute = "userPassword"
<br>> <br>> ldap: access_attr = "radiusgroupname"<br>> <br>> ldap: groupname_attribute = "cn"<br>> <br>> ldap: groupmembership_filter = "(|(&(objectClass=GroupOfNames)(member=%{Ldap-UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{Ldap-UserDn})))"
<br>> <br>> ldap: groupmembership_attribute = "radiusGroupName"<br>> <br>> ldap: dictionary_mapping = "/etc/raddb/ldap.attrmap"<br>> <br>> ldap: ldap_debug = 0<br>> <br>> ldap: ldap_connections_number = 5
<br>> <br>> ldap: compare_check_items = no<br>> <br>> ldap: access_attr_used_for_allow = yes<br>> <br>> conns: (nil)<br>> <br>> rlm_ldap: reading ldap<->radius mappings from file /etc/raddb/ldap.attrmap
<br>> <br>> rlm_ldap: LDAP radiusCheckItem mapped to RADIUS $GENERIC$<br>> <br>> rlm_ldap: LDAP radiusReplyItem mapped to RADIUS $GENERIC$<br>> <br>> rlm_ldap: LDAP radiusAuthType mapped to RADIUS Auth-Type
<br>> <br>> rlm_ldap: LDAP radiusSimultaneousUse mapped to RADIUS Simultaneous-Use<br>> <br>> rlm_ldap: LDAP radiusCalledStationId mapped to RADIUS Called-Station-Id<br>> <br>> rlm_ldap: LDAP radiusCallingStationId mapped to RADIUS Calling-Station-Id
<br>> <br>> rlm_ldap: LDAP lmPassword mapped to RADIUS LM-Password<br>> <br>> rlm_ldap: LDAP ntPassword mapped to RADIUS NT-Password<br>> <br>> rlm_ldap: LDAP acctFlags mapped to RADIUS SMB-Account-CTRL-TEXT
<br>> <br>> rlm_ldap: LDAP radiusExpiration mapped to RADIUS Expiration<br>> <br>> rlm_ldap: LDAP radiusServiceType mapped to RADIUS Service-Type<br>> <br>> rlm_ldap: LDAP radiusFramedProtocol mapped to RADIUS Framed-Protocol
<br>> <br>> rlm_ldap: LDAP radiusFramedIPAddress mapped to RADIUS Framed-IP-Address<br>> <br>> rlm_ldap: LDAP radiusFramedIPNetmask mapped to RADIUS Framed-IP-Netmask<br>> <br>> rlm_ldap: LDAP radiusFramedRoute mapped to RADIUS Framed-Route
<br>> <br>> rlm_ldap: LDAP radiusFramedRouting mapped to RADIUS Framed-Routing<br>> <br>> rlm_ldap: LDAP radiusFilterId mapped to RADIUS Filter-Id<br>> <br>> rlm_ldap: LDAP radiusFramedMTU mapped to RADIUS Framed-MTU
<br>> <br>> rlm_ldap: LDAP radiusFramedCompression mapped to RADIUS Framed-Compression<br>> <br>> rlm_ldap: LDAP radiusLoginIPHost mapped to RADIUS Login-IP-Host<br>> <br>> rlm_ldap: LDAP radiusLoginService mapped to RADIUS Login-Service
<br>> <br>> rlm_ldap: LDAP radiusLoginTCPPort mapped to RADIUS Login-TCP-Port<br>> <br>> rlm_ldap: LDAP radiusCallbackNumber mapped to RADIUS Callback-Number<br>> <br>> rlm_ldap: LDAP radiusCallbackId mapped to RADIUS Callback-Id
<br>> <br>> rlm_ldap: LDAP radiusFramedIPXNetwork mapped to RADIUS Framed-IPX-Network<br>> <br>> rlm_ldap: LDAP radiusClass mapped to RADIUS Class<br>> <br>> rlm_ldap: LDAP radiusSessionTimeout mapped to RADIUS Session-Timeout
<br>> <br>> rlm_ldap: LDAP radiusIdleTimeout mapped to RADIUS Idle-Timeout<br>> <br>> rlm_ldap: LDAP radiusTerminationAction mapped to RADIUS Termination-Action<br>> <br>> rlm_ldap: LDAP radiusLoginLATService mapped to RADIUS Login-LAT-Service
<br>> <br>> rlm_ldap: LDAP radiusLoginLATNode mapped to RADIUS Login-LAT-Node<br>> <br>> rlm_ldap: LDAP radiusLoginLATGroup mapped to RADIUS Login-LAT-Group<br>> <br>> rlm_ldap: LDAP radiusFramedAppleTalkLink mapped to RADIUS Framed-AppleTalk-Link
<br>> <br>> rlm_ldap: LDAP radiusFramedAppleTalkNetwork mapped to RADIUS Framed-AppleTalk-Network<br>> <br>> rlm_ldap: LDAP radiusFramedAppleTalkZone mapped to RADIUS Framed-AppleTalk-Zone<br>> <br>> rlm_ldap: LDAP radiusPortLimit mapped to RADIUS Port-Limit
<br>> <br>> rlm_ldap: LDAP radiusLoginLATPort mapped to RADIUS Login-LAT-Port<br>> <br>> rlm_ldap: LDAP userPassword mapped to RADIUS User-Password<br>> <br>> rlm_ldap: LDAP radiusTunnelType mapped to RADIUS Tunnel-Type
<br>> <br>> rlm_ldap: LDAP radiusTunnelMediumType mapped to RADIUS Tunnel-Medium-Type<br>> <br>> rlm_ldap: LDAP radiusTunnelPrivateGroupId mapped to RADIUS Tunnel-Private-Group-Id<br>> <br>> conns: 0x8101f58
<br>> <br>> Module: Instantiated ldap (ldap) <br>> <br>> Module: Loaded eap <br>> <br>> eap: default_eap_type = "md5"<br>> <br>> eap: timer_expire = 60<br>> <br>> rlm_eap: Loaded and initialized the type md5
<br>> <br>> rlm_eap: Loaded and initialized the type leap<br>> <br>> Module: Instantiated eap (eap) <br>> <br>> Module: Loaded preprocess <br>> <br>> preprocess: huntgroups = "/etc/raddb/huntgroups"
<br>> <br>> preprocess: hints = "/etc/raddb/hints"<br>> <br>> preprocess: with_ascend_hack = no<br>> <br>> preprocess: ascend_channels_per_line = 23<br>> <br>> preprocess: with_ntdomain_hack = no
<br>> <br>> preprocess: with_specialix_jetstream_hack = no<br>> <br>> preprocess: with_cisco_vsa_hack = no<br>> <br>> Module: Instantiated preprocess (preprocess) <br>> <br>> Module: Loaded realm <br>
> <br>> realm: format = "suffix"<br>> <br>> realm: delimiter = "@"<br>> <br>> Module: Instantiated realm (suffix) <br>> <br>> Module: Loaded files <br>> <br>> files: usersfile = "/etc/raddb/users"
<br>> <br>> files: acctusersfile = "/etc/raddb/acct_users"<br>> <br>> files: preproxy_usersfile = "/etc/raddb/preproxy_users"<br>> <br>> files: compat = "no"<br>> <br>> Module: Instantiated files (files) 
<br>> <br>> Module: Loaded Acct-Unique-Session-Id <br>> <br>> acct_unique: key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port-Id"<br>> <br>> Module: Instantiated acct_unique (acct_unique) 
<br>> <br>> Module: Loaded detail <br>> <br>> detail: detailfile = "/var/log/radius/radacct/%{Client-IP-Address}/detail-%Y%m%d"<br>> <br>> detail: detailperm = 384<br>> <br>> detail: dirperm = 493
<br>> <br>> detail: locking = no<br>> <br>> Module: Instantiated detail (detail) <br>> <br>> Module: Loaded radutmp <br>> <br>> radutmp: filename = "/var/log/radius/radutmp"<br>> <br>> radutmp: username = "%{User-Name}"
<br>> <br>> radutmp: case_sensitive = yes<br>> <br>> radutmp: check_with_nas = yes<br>> <br>> radutmp: perm = 384<br>> <br>> radutmp: callerid = yes<br>> <br>> Module: Instantiated radutmp (radutmp) 
<br>> <br>> Listening on IP address *, ports 1812/udp and 1813/udp, with proxy on 1814/udp.<br>> <br>> Ready to process requests.<br>> <br>> rad_recv: Access-Request packet from host <a href="http://192.168.100.17:1812">
192.168.100.17:1812</a>, id=11, length=129<br>> <br>> NAS-IP-Address = <a href="http://192.168.100.17">192.168.100.17</a><br>> <br>> NAS-Port = 50001<br>> <br>> NAS-Port-Type = Ethernet<br>> <br>> User-Name = "ramazan"
<br>> <br>> Called-Station-Id = "00-0F-8F-77-DB-81"<br>> <br>> Calling-Station-Id = "00-12-79-AE-D2-4D"<br>> <br>> Service-Type = Framed-User<br>> <br>> Framed-MTU = 1500<br>> 
<br>> EAP-Message = 0x0200000c0172616d617a616e<br>> <br>> Message-Authenticator = 0x68c41631d4feb2234d900b37a9845348<br>> <br>> modcall: entering group authorize for request 0<br>> <br>> modcall[authorize]: module "preprocess" returns ok for request 0
<br>> <br>> modcall[authorize]: module "chap" returns noop for request 0<br>> <br>> rlm_eap: EAP packet type notification id 0 length 12<br>> <br>> rlm_eap: EAP Start not found<br>> <br>> modcall[authorize]: module "eap" returns updated for request 0
<br>> <br>> rlm_realm: No '@' in User-Name = "ramazan", looking up realm NULL<br>> <br>> rlm_realm: No such realm "NULL"<br>> <br>> modcall[authorize]: module "suffix" returns noop for request 0
<br>> <br>> users: Matched DEFAULT at 152<br>> <br>> rlm_ldap: Entering ldap_groupcmp()<br>> <br>> radius_xlat: 'dc=<a href="http://dot1x.com">dot1x.com</a>'<br>> <br>> radius_xlat: '(uid=ramazan)'
<br>> <br>> ldap_get_conn: Got Id: 0<br>> <br>> rlm_ldap: attempting LDAP reconnection<br>> <br>> rlm_ldap: (re)connect to <a href="http://192.168.100.18:389">192.168.100.18:389</a>, authentication 0<br>
> <br>> rlm_ldap: bind as / to <a href="http://192.168.100.18:389">192.168.100.18:389</a><br>> <br>> rlm_ldap: waiting for bind result ...<br>> <br>> rlm_ldap: performing search in dc=<a href="http://dot1x.com">
dot1x.com</a>, with filter (uid=ramazan)<br>> <br>> ldap_release_conn: Release Id: 0<br>> <br>> radius_xlat: '(|(&(objectClass=GroupOfNames)(member=uid=ramazan,cn=users,cn=idc,dc=<a href="http://dot1x.com">
dot1x.com</a>))(&(objectClass=GroupOfUniqueNames)(uniquemember=uid=ramazan,cn=users,cn=idc,dc= <a href="http://dot1x.com">dot1x.com</a>)))'<br>> <br>> ldap_get_conn: Got Id: 0<br>> <br>> rlm_ldap: performing search in dc=
<a href="http://dot1x.com">dot1x.com</a>, with filter (&(cn=VPN)(|(&(objectClass=GroupOfNames)(member=uid=ramazan,cn=users,cn=idc,dc= <a href="http://dot1x.com">dot1x.com</a>))(&(objectClass=GroupOfUniqueNames)(uniquemember=uid=ramazan,cn=users,cn=idc,dc= 
<a href="http://dot1x.com">dot1x.com</a>))))<br>> <br>> rlm_ldap: object not found or got ambiguous search result<br>> <br>> ldap_release_conn: Release Id: 0<br>> <br>> ldap_get_conn: Got Id: 0<br>> <br>
> rlm_ldap: performing search in uid=ramazan,cn=users,cn=idc,dc=<a href="http://dot1x.com">dot1x.com</a>, with filter (objectclass=*)<br>> <br>> rlm_ldap::ldap_groupcmp: User found in group VPN<br>> <br>> ldap_release_conn: Release Id: 0
<br>> <br>> users: Matched DEFAULT at 171<br>> <br>> modcall[authorize]: module "files" returns ok for request 0<br>> <br>> modcall[authorize]: module "mschap" returns noop for request 0
<br>> <br>> rlm_ldap: - authorize<br>> <br>> rlm_ldap: performing user authorization for ramazan<br>> <br>> radius_xlat: '(uid=ramazan)'<br>> <br>> radius_xlat: 'dc=<a href="http://dot1x.com">
dot1x.com</a>'<br>> <br>> ldap_get_conn: Got Id: 0<br>> <br>> rlm_ldap: performing search in dc=<a href="http://dot1x.com">dot1x.com</a>, with filter (uid=ramazan)<br>> <br>> rlm_ldap: checking if remote access for ramazan is allowed by radiusgroupname
<br>> <br>> rlm_ldap: looking for check items in directory...<br>> <br>> rlm_ldap: Adding radiusAuthType as Auth-Type, value ldap & op=21<br>> <br>> rlm_ldap: looking for reply items in directory...<br>
> <br>> rlm_ldap: Adding radiusTunnelPrivateGroupId as Tunnel-Private-Group-Id, value 2 & op=11<br>> <br>> rlm_ldap: Adding radiusTunnelMediumType as Tunnel-Medium-Type, value 6 & op=11<br>> <br>> rlm_ldap: Adding radiusTunnelType as Tunnel-Type, value VLAN & op=11
<br>> <br>> rlm_ldap: Adding radiusClass as Class, value group-net & op=11<br>> <br>> rlm_ldap: user ramazan authorized to use remote access<br>> <br>> ldap_release_conn: Release Id: 0<br>> <br>> modcall[authorize]: module "ldap" returns ok for request 0
<br>> <br>> modcall: group authorize returns updated for request 0<br>> <br>> rad_check_password: Found Auth-Type ldap<br>> <br>> auth: type "LDAP"<br>> <br>> modcall: entering group Auth-Type for request 0
<br>> <br>> rlm_ldap: - authenticate<br>> <br>> rlm_ldap: Attribute "User-Password" is required for authentication.<br>> <br>> modcall[authenticate]: module "ldap" returns invalid for request 0
<br>> <br>> modcall: group Auth-Type returns invalid for request 0<br>> <br>> auth: Failed to validate the user.<br>> <br>> Login incorrect: [ramazan/<no User-Password attribute>] (from client radius port 50001 cli 00-12-79-AE-D2-4D)
<br>> <br>> Delaying request 0 for 1 seconds<br>> <br>> Finished request 0<br>> <br>> Going to the next request<br>> <br>> --- Walking the entire request list ---<br>> <br>> Waking up in 1 seconds...
<br>> <br>> --- Walking the entire request list ---<br>> <br>> Waking up in 1 seconds...<br>> <br>> --- Walking the entire request list ---<br>> <br>> Sending Access-Reject of id 11 to <a href="http://192.168.100.17:1812">
192.168.100.17:1812</a><br>> <br>> Waking up in 4 seconds...<br>> <br><br> </div>