<br>Hi,<br><br>I read the document.  I think i put my question in a wrong way.<br>Let me put it in a different way.<br><br>I dont want the user to go directly in priv mode. <br>through priv level = 15 we can direclty go into priv level right.
<br><br>what i want is first the user get into user level  and then with another password in level 2. (not with enable password)..it should be through RADIUS server.<br><br>I hope it makes it easy.<br><br><div><span class="gmail_quote">
On 7/19/07, <b class="gmail_sendername"><a href="mailto:freeradius-users-request@lists.freeradius.org">freeradius-users-request@lists.freeradius.org</a></b> <<a href="mailto:freeradius-users-request@lists.freeradius.org">
freeradius-users-request@lists.freeradius.org</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Send Freeradius-Users mailing list submissions to
<br>        <a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a><br><br>To subscribe or unsubscribe via the World Wide Web, visit<br>        <a href="http://lists.freeradius.org/mailman/listinfo/freeradius-users">
http://lists.freeradius.org/mailman/listinfo/freeradius-users</a><br>or, via email, send a message with subject or body 'help' to<br>        <a href="mailto:freeradius-users-request@lists.freeradius.org">freeradius-users-request@lists.freeradius.org
</a><br><br>You can reach the person managing the list at<br>        <a href="mailto:freeradius-users-owner@lists.freeradius.org">freeradius-users-owner@lists.freeradius.org</a><br><br>When replying, please edit your Subject line so it is more specific
<br>than "Re: Contents of Freeradius-Users digest..."<br><br><br>Today's Topics:<br><br>   1. Re: mod_auth_radius (Nick Owen)<br>   2. Re: Quirky question about rewriting usernames (Cliff Cole)<br>   3. "Time-out" Problem with Huntgroups in conjunction with MYSQL
<br>      Backend (<a href="mailto:thomas@buddybase.at">thomas@buddybase.at</a>)<br>   4. Level 2 authentication with RADIUS. (ashish verma)<br>   5. Re: Level 2 authentication with RADIUS. (Stefan Winter)<br>   6. Re: Level 2 authentication with RADIUS. (Stefan Winter)
<br>   7. Re: TLS cant connect ldap+freeradius+novell<br>      (Reimer Karlsen-Masur, DFN-CERT)<br><br><br>----------------------------------------------------------------------<br><br>Message: 1<br>Date: Thu, 19 Jul 2007 09:14:28 -0400
<br>From: "Nick Owen" <<a href="mailto:nowen@wikidsystems.com">nowen@wikidsystems.com</a>><br>Subject: Re: mod_auth_radius<br>To: "FreeRadius users mailing list"<br>        <<a href="mailto:freeradius-users@lists.freeradius.org">
freeradius-users@lists.freeradius.org</a>><br>Message-ID:<br>        <<a href="mailto:415a28910707190614v586aceb1re81767278eb9fccf@mail.gmail.com">415a28910707190614v586aceb1re81767278eb9fccf@mail.gmail.com</a>><br>
Content-Type: text/plain; charset=ISO-8859-1; format=flowed<br><br>On 7/19/07, Rascher, Markus <<a href="mailto:markus.mr.rascher@siemens.com">markus.mr.rascher@siemens.com</a>> wrote:<br>><br>><br>> Hi All,
<br>><br>> is there a tutorial how to install mod_auth_radius on an apache 2.xx server?<br>> The howto on the freeradius webpage is a little bit deprecated i guess.<br>> i get an error when starting the apache server after installing
<br>> mod_auth_radius:<br>><br>> # service httpd start<br>> Starting httpd: httpd: Syntax error on line 205 of<br>> /etc/httpd/conf/httpd.conf: Cannot load<br>> /usr/lib/httpd/modules/mod_auth_radius-<a href="http://2.0.so">
2.0.so</a> into server:<br>> /usr/lib/httpd/modules/mod_auth_radius-<a href="http://2.0.so">2.0.so</a>: undefined<br>> symbol: ap_snprintf<br>> [FAILED]<br><br>You might try mod_auth_xradius.  I have done a couple of apache +
<br>radius + WiKID 2FA docs that might help:<br><a href="http://www.wikidsystems.com/documentation/howtos/how-to-add-two-factor-authentication-to-apache/">http://www.wikidsystems.com/documentation/howtos/how-to-add-two-factor-authentication-to-apache/
</a><br><br><a href="http://www.howtoforge.com/apache_radius_two_factor_authentication">http://www.howtoforge.com/apache_radius_two_factor_authentication</a><br><br>The latter is more recent.<br><br>HTH,<br><br>nick<br><br>
--<br>Nick Owen<br>WiKID Systems, Inc.<br>404.962.8983<br><a href="http://www.wikidsystems.com">http://www.wikidsystems.com</a><br>Commercial/Open Source Two-Factor Authentication<br><br><br>------------------------------
<br><br>Message: 2<br>Date: Thu, 19 Jul 2007 09:35:13 -0400<br>From: "Cliff Cole" <<a href="mailto:clifflcole@gmail.com">clifflcole@gmail.com</a>><br>Subject: Re: Quirky question about rewriting usernames<br>
To: "FreeRadius users mailing list"<br>        <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>Message-ID:<br>        <<a href="mailto:5da254220707190635u50d33d86sb39bfbb7250c7a12@mail.gmail.com">
5da254220707190635u50d33d86sb39bfbb7250c7a12@mail.gmail.com</a>><br>Content-Type: text/plain; charset=ISO-8859-1; format=flowed<br><br>Thanks for the reply.  I'm new to free radius and have been<br>overwhelmed with documentation the past few days.  Let me explain in
<br>some logic and maybe I can make some sense as to what I'm trying to<br>do.<br><br>User authentication comes from "NAS A"<br><br>IF the username does not have @<a href="http://domain.com">domain.com</a> and NAS = "NAS A"
<br>THEN append @<a href="http://domain.com">domain.com</a><br><br>IF the username has @<a href="http://domain.com">domain.com</a> and NAS = "NAS A"<br>THEN continue with username as is.<br><br>Hope this helps to clear up what I'm trying to do.  I appologize for
<br>not being very clear.<br><br>Thanks<br><br>Cliff<br><br><br><br>On 7/19/07, Pshem Kowalczyk <<a href="mailto:pshem.k@gmail.com">pshem.k@gmail.com</a>> wrote:<br>> Hi<br>><br>> On 19/07/07, Cliff Cole <
<a href="mailto:clifflcole@gmail.com">clifflcole@gmail.com</a>> wrote:<br>> > Hello all.<br>> ><br>> > Here is my issue.  This is very weird and would only affect one NAS.<br>> > I'm not sure freeradius is capable of this.  I want a username that
<br>> > comes in to check for an @domainname.  If the domainname is there I<br>> > want it to be stripped and added back later.  If the domainname is not<br>> > there I'd like it to continue and have to domainname added later in
<br>> > the authentication process.  I hope this makes sense and any help is<br>> > appreciated<br>><br>> What do you mean by 'later' you can definitely check for the presence<br>> of domain, you can strip  it and add it again. you just have to define
<br>> the flow. rlm_attr will be of help to you (for both stripping and<br>> adding).<br>><br>> kind regards<br>> Pshem<br>> -<br>> List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html">
http://www.freeradius.org/list/users.html</a><br>><br><br><br>------------------------------<br><br>Message: 3<br>Date: Thu, 19 Jul 2007 15:38:54 +0200<br>From: <a href="mailto:thomas@buddybase.at">thomas@buddybase.at</a>
<br>Subject: "Time-out" Problem with Huntgroups in conjunction with MYSQL<br>        Backend<br>To: <a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a><br>Message-ID: <
<a href="mailto:20070719153854.9aj0e3hdesk04sw8@webmail.buddybase.at">20070719153854.9aj0e3hdesk04sw8@webmail.buddybase.at</a>><br>Content-Type: text/plain;       charset=ISO-8859-1;     DelSp="Yes";<br>        format="flowed"
<br><br>Hello FR users,<br><br>I am running FreeRadius 1.1.3 together with MySQL 5.0.27<br>I use huntgroups to allow access to specific devices only to certain users<br>belonging to a certain group (I use huntgroups since "I" didnt find a way
<br>to do it via MySQL)<br>I have the following issue:<br>When for a longer period (e.g. over night) no one logs into one of the<br>devices (so the radius server sits idle), it happens that the first time in<br>the morning someone tries to login he fails because FR rejects the Request
<br>with "invalid user" - only after 3 or 4 tries the login-attempt is<br>successfull<br>The reason seems to be, that after such a "long" dormant period, when the<br>first RADIUS-request(s) arrive, FR has to re-connect to the MySQL DB to
<br>query the user's group-membership<br>Since this re-connect takes "too long" the query returns "Not found" and<br>the user is rejected as "unknown"<br><br>Here is what you see in the radius.log
 file:<br>Tue Jul 17 08:05:16 2007 : Info: rlm_sql_mysql: Starting connect to MySQL<br>server for #9<br>Tue Jul 17 08:05:16 2007 : Error: rlm_sql (sql): failed after re-connect<br>Tue Jul 17 08:05:16 2007 : Auth: No huntgroup access: [xxx] (from client
<br>ATWRE22e7601 port 1 cli <a href="http://10.0.0.31">10.0.0.31</a>)<br>Tue Jul 17 08:05:16 2007 : Auth: Invalid user: [xxx] (from client<br>ATWRE22e7601 port 1 cli <a href="http://10.0.0.31">10.0.0.31</a>)<br>Tue Jul 17 08:05:25 2007 : Info: rlm_sql_mysql: Starting connect to MySQL
<br>server for #8<br>Tue Jul 17 08:05:25 2007 : Error: rlm_sql (sql): failed after re-connect<br>Tue Jul 17 08:05:25 2007 : Auth: No huntgroup access: [xxx] (from client<br>ATWRE22e7601 port 0)<br>Tue Jul 17 08:05:25 2007 : Auth: Invalid user: [xxx] (from client
<br>ATWRE22e7601 port 0)<br>Tue Jul 17 08:05:38 2007 : Info: rlm_sql_mysql: Starting connect to MySQL<br>server for #7<br>Tue Jul 17 08:05:38 2007 : Error: rlm_sql (sql): failed after re-connect<br>Tue Jul 17 08:05:38 2007 : Auth: No huntgroup access: [xxx] (from client
<br>ATWRE22e7601 port 0)<br>Tue Jul 17 08:05:38 2007 : Auth: Invalid user: [xxx] (from client<br>ATWRE22e7601 port 0)<br>Tue Jul 17 08:06:00 2007 : Info: rlm_sql_mysql: Starting connect to MySQL<br>server for #6<br>Tue Jul 17 08:06:00 2007 : Auth: Login OK: [xxx] (from client ATWRE22b7201
<br>port 2 cli <a href="http://10.0.0.31">10.0.0.31</a>)<br><br>Hope the logfile is sufficient, otherwise I would have to let FR run in<br>debug-mode over night....<br><br>The funny thing is, that this problem doesn't occure when all entries in
<br>the huntgroups file are "commented out"<br><br>So my question is, is there a config parameter to tell FR to "wait" a bit<br>longer in the preprocess module (I assume) for the MYSQL query to deliver
<br>its answer?<br><br>thanks alot<br>regards<br>thomas pudil<br><br><br><br><br><br>------------------------------<br><br>Message: 4<br>Date: Thu, 19 Jul 2007 19:11:35 +0530<br>From: "ashish verma" <<a href="mailto:ashish.scit@gmail.com">
ashish.scit@gmail.com</a>><br>Subject: Level 2 authentication with RADIUS.<br>To: <a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a><br>Message-ID:<br>        <<a href="mailto:11b554120707190641g6abce7b3o2535671040dc5327@mail.gmail.com">
11b554120707190641g6abce7b3o2535671040dc5327@mail.gmail.com</a>><br>Content-Type: text/plain; charset="iso-8859-1"<br><br>Hi all,<br>I am new to the list and for RADIUS too so i might ask some repetitive<br>questions.
<br><br>Here is my question:<br> Can we have level 2 (enable) authentication too with Radius server as we<br>have for level 1(user level)?<br><br>If yes, can someone provide me some documentation. I tried to search for it
<br>but couldnt find any.<br><br>Thanks in advance,<br>Ashish<br>-------------- next part --------------<br>An HTML attachment was scrubbed...<br>URL: <a href="https://lists.freeradius.org/pipermail/freeradius-users/attachments/20070719/d418ae1e/attachment-0001.html">
https://lists.freeradius.org/pipermail/freeradius-users/attachments/20070719/d418ae1e/attachment-0001.html</a><br><br>------------------------------<br><br>Message: 5<br>Date: Thu, 19 Jul 2007 15:45:44 +0200<br>From: Stefan Winter <
<a href="mailto:stefan.winter@restena.lu">stefan.winter@restena.lu</a>><br>Subject: Re: Level 2 authentication with RADIUS.<br>To: FreeRadius users mailing list<br>        <<a href="mailto:freeradius-users@lists.freeradius.org">
freeradius-users@lists.freeradius.org</a>><br>Message-ID: <<a href="mailto:200707191545.48147.stefan.winter@restena.lu">200707191545.48147.stefan.winter@restena.lu</a>><br>Content-Type: text/plain; charset="utf-8"
<br><br>>  Can we have level 2 (enable) authentication too with Radius server as we<br>> have for level 1(user level)?<br><br>If you say "enable" I suspect you are talking about Cisco equipment? Then<br>enable is really level 15. And the following link was posted just MINUTES ago
<br>on this list. Did you read the etiquette thing about "read the mail archives<br>before asking?"?<br><br><a href="http://wiki.freeradius.org/Cisco#Per_User_Privilege_Level">http://wiki.freeradius.org/Cisco#Per_User_Privilege_Level
</a><br><br>Stefan<br><br>--<br>Stefan WINTER<br><br>Stiftung RESTENA - R?seau T?l?informatique de l'Education Nationale et de<br>la Recherche<br>Ingenieur Forschung & Entwicklung<br><br>6, rue Richard Coudenhove-Kalergi
<br>L-1359 Luxembourg<br>E-Mail: <a href="mailto:stefan.winter@restena.lu">stefan.winter@restena.lu</a> ? ? Tel.:  ? ?+352 424409-1<br><a href="http://www.restena.lu">http://www.restena.lu</a> ? ? ? ? ? ?  ? Fax: ? ? ?+352 422473
<br>-------------- next part --------------<br>A non-text attachment was scrubbed...<br>Name: not available<br>Type: application/pgp-signature<br>Size: 189 bytes<br>Desc: This is a digitally signed message part.<br>Url : 
<a href="https://lists.freeradius.org/pipermail/freeradius-users/attachments/20070719/dd1d78bb/attachment-0001.bin">https://lists.freeradius.org/pipermail/freeradius-users/attachments/20070719/dd1d78bb/attachment-0001.bin
</a><br><br>------------------------------<br><br>Message: 6<br>Date: Thu, 19 Jul 2007 15:53:13 +0200<br>From: Stefan Winter <<a href="mailto:stefan.winter@restena.lu">stefan.winter@restena.lu</a>><br>Subject: Re: Level 2 authentication with RADIUS.
<br>To: FreeRadius users mailing list<br>        <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>Message-ID: <<a href="mailto:200707191553.13723.stefan.winter@restena.lu">
200707191553.13723.stefan.winter@restena.lu</a>><br>Content-Type: text/plain; charset="utf-8"<br><br>> enable is really level 15. And the following link was posted just MINUTES<br>> ago on this list. Did you read the etiquette thing about "read the mail
<br>> archives before asking?"?<br><br>Wait a minute. That link was sent in reply to YOUR question! Did you even read<br>it?<br><br>--<br>Stefan WINTER<br><br>Stiftung RESTENA - R?seau T?l?informatique de l'Education Nationale et de
<br>la Recherche<br>Ingenieur Forschung & Entwicklung<br><br>6, rue Richard Coudenhove-Kalergi<br>L-1359 Luxembourg<br>E-Mail: <a href="mailto:stefan.winter@restena.lu">stefan.winter@restena.lu</a> ? ? Tel.:  ? ?+352 424409-1
<br><a href="http://www.restena.lu">http://www.restena.lu</a> ? ? ? ? ? ?  ? Fax: ? ? ?+352 422473<br>-------------- next part --------------<br>A non-text attachment was scrubbed...<br>Name: not available<br>Type: application/pgp-signature
<br>Size: 189 bytes<br>Desc: This is a digitally signed message part.<br>Url : <a href="https://lists.freeradius.org/pipermail/freeradius-users/attachments/20070719/966acda1/attachment-0001.bin">https://lists.freeradius.org/pipermail/freeradius-users/attachments/20070719/966acda1/attachment-0001.bin
</a><br><br>------------------------------<br><br>Message: 7<br>Date: Thu, 19 Jul 2007 16:06:46 +0200<br>From: "Reimer Karlsen-Masur, DFN-CERT" <<a href="mailto:karlsen-masur@dfn-cert.de">karlsen-masur@dfn-cert.de
</a>><br>Subject: Re: TLS cant connect ldap+freeradius+novell<br>To: FreeRadius users mailing list<br>        <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>
Message-ID: <<a href="mailto:469F6FF6.6070408@dfn-cert.de">469F6FF6.6070408@dfn-cert.de</a>><br>Content-Type: text/plain; charset="us-ascii"<br><br>Hi.<br><br>Martin G wrote:<br>> Hello!<br>><br>> Im new to both this mailinglist and to novell/linux/ldap/freeradius but iv
<br>> tried my best to install a radius/ldap linuxserver to pass on<br>> radius-requests from a Aruba-controller to our novell-server.<br>><br>> IPs:<br>> Novell <a href="http://10.10.0.11">10.10.0.11</a><br>
> Aruba <a href="http://10.10.0.28">10.10.0.28</a><br>> Linux (freeradius+ldap) <a href="http://10.10.0.132">10.10.0.132</a><br>><br>> Iv tried to change tls_mode, port and tls_start on and off a couple of times
<br>> without any good result and when i go use ldapsearch -vvv -h <a href="http://10.10.0.11">10.10.0.11</a> -x<br>> -Z -b ou=adm,ou=malmo,o=wifi "cn=lotta"<br>> i recieve "TLS: hostname does not match CN in peer certificate".
<br><br>At least this means that your ldap server understands STARTTLS on the<br>standard ldap port.<br><br>So in FreeRADIUS ldap config section you should *not* set port and tls_mode<br>options at all.<br><br>You should set start_tls=yes though.
<br><br><br><br>As for the ldap server certificate name mismatch<br><br>> So i have some thoughts about the certificate, but iv exported the<br>> selfsigned novell-certificate from the novellserver and verifyed it. But im
<br>> not sure how to use a "client-certificate" on the linux.<br>><br>> When i use "freeradius -XXX -A" on the linuxserver and i trie to do a<br>> radius-request, the aruba gets a timeout and the linuxserver tells me the
<br>> following logg:<br><br>Now for the certificates. Since your ldap server is using a server<br>certificate you must configure FreeRADIUS to trust the issuing CA.<br><br>Since identity and password are set it seems you do not use SSL client
<br>authentication to authenticate the FreeRADIUS server (acting as ldap client)<br>at the ldap server.<br><br>Hence don't set tls_certfile and tls_keyfile options.<br><br>Either use tls_cacertfile xor tlc_cacertdir option.
<br><br>If using former, put in all the CA certificate chain validating the ldap<br>servers certificate in PEM format. Concatenate the CA certs into the file<br>named by this option.<br><br>If using the latter, put all CA certs of the chain validating the ldap
<br>servers certificate in PEM format with .pem file extension into that<br>directory. cd into this directory and execute<br><br># c_rehash .<br><br>to build some symlinks. The dot (.) for the current directory seems vital.
<br>c_rehash is a tool that comes with openssl.<br><br>Be aware that the openldap client configuration file on the system or for<br>that user running FreeRADIUS is being used. That is ~/.ldap.conf or system<br>wide something like /etc/openldap/ldap.conf or what ever fits your FS layout
<br>and ldap installation on the FreeRADIUS server.<br><br>To ease ldap debugging within FreeRADIUS set "loglevel -1" in the ldap.conf<br>file. Debugging output is to be found in files configured by syslogd more
<br>than likely in /var/log/messages or similar.<br><br>HTH & good luck<br><br>--<br>Beste Gruesse / Kind Regards<br><br>Reimer Karlsen-Masur<br><br>DFN-PKI FAQ: <a href="https://www.pki.dfn.de/faqpki">https://www.pki.dfn.de/faqpki
</a><br>--<br>Dipl.-Inform. Reimer Karlsen-Masur (PKI Team), Phone +49 40 808077-615<br>DFN-CERT Services GmbH, <a href="https://www.dfn-cert.de">https://www.dfn-cert.de</a>, Phone +49 40 808077-555<br>Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
<br>-------------- next part --------------<br>A non-text attachment was scrubbed...<br>Name: smime.p7s<br>Type: application/x-pkcs7-signature<br>Size: 5853 bytes<br>Desc: S/MIME Cryptographic Signature<br>Url : <a href="https://lists.freeradius.org/pipermail/freeradius-users/attachments/20070719/c6f96b9a/attachment.bin">
https://lists.freeradius.org/pipermail/freeradius-users/attachments/20070719/c6f96b9a/attachment.bin</a><br><br>------------------------------<br><br>-<br>List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html">
http://www.freeradius.org/list/users.html</a><br><br><br>End of Freeradius-Users Digest, Vol 27, Issue 121<br>*************************************************<br></blockquote></div><br>