Hi Ivan,<br><br>What i meant is you type "enable" but the password you give should be authenticated by RADIUS server not the "enable password stored on the device".<br>I am not sure whether it is possible or not. But just wanted to know from the experts.
<br><br>Thanks,<br>Ashish<br><br><br><div><span class="gmail_quote">On 7/19/07, <b class="gmail_sendername"><a href="mailto:freeradius-users-request@lists.freeradius.org">freeradius-users-request@lists.freeradius.org</a></b>
 <<a href="mailto:freeradius-users-request@lists.freeradius.org">freeradius-users-request@lists.freeradius.org</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Send Freeradius-Users mailing list submissions to<br>        <a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a><br><br>To subscribe or unsubscribe via the World Wide Web, visit
<br>        <a href="http://lists.freeradius.org/mailman/listinfo/freeradius-users">http://lists.freeradius.org/mailman/listinfo/freeradius-users</a><br>or, via email, send a message with subject or body 'help' to
<br>        <a href="mailto:freeradius-users-request@lists.freeradius.org">freeradius-users-request@lists.freeradius.org</a><br><br>You can reach the person managing the list at<br>        <a href="mailto:freeradius-users-owner@lists.freeradius.org">
freeradius-users-owner@lists.freeradius.org</a><br><br>When replying, please edit your Subject line so it is more specific<br>than "Re: Contents of Freeradius-Users digest..."<br><br><br>Today's Topics:<br><br>
   1. Second level authentication. (ashish verma)<br>   2. Re: Second level authentication. (<a href="mailto:tnt@kalik.co.yu">tnt@kalik.co.yu</a>)<br>   3. Re: TLS cant connect ldap+freeradius+novell (<a href="mailto:tnt@kalik.co.yu">
tnt@kalik.co.yu</a>)<br>   4. Re: Quirky question about rewriting usernames (Cliff Cole)<br>   5. Re: Second level authentication. (Claudiu Filip)<br>   6. Re: TLS cant connect ldap+freeradius+novell (Martin G)<br><br><br>
----------------------------------------------------------------------<br><br>Message: 1<br>Date: Thu, 19 Jul 2007 22:21:30 +0530<br>From: "ashish verma" <<a href="mailto:ashish.scit@gmail.com">ashish.scit@gmail.com
</a>><br>Subject: Second level authentication.<br>To: <a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a><br>Message-ID:<br>        <<a href="mailto:11b554120707190951xff545a5j9cb83a1a9b31835d@mail.gmail.com">
11b554120707190951xff545a5j9cb83a1a9b31835d@mail.gmail.com</a>><br>Content-Type: text/plain; charset="iso-8859-1"<br><br>Hi Stefan,<br><br>I read the document and thanks for giving the link, that was helpful.
<br><br>Well I think i put my question in a wrong way.<br>Let me put it in a different way.<br><br>I dont want the user to go directly in priv mode.<br>through priv level = 15 we direclty get into priv level right.<br><br>
what i am looking for is first the user get into user level  and then with<br>another<br>password in level 2. (not with enable password)..it should be through RADIUS<br>server.<br><br><br>Ashish<br>-------------- next part --------------
<br>An HTML attachment was scrubbed...<br>URL: <a href="https://lists.freeradius.org/pipermail/freeradius-users/attachments/20070719/4c1e3a0e/attachment-0001.html">https://lists.freeradius.org/pipermail/freeradius-users/attachments/20070719/4c1e3a0e/attachment-0001.html
</a><br><br>------------------------------<br><br>Message: 2<br>Date: Thu, 19 Jul 2007 18:13:00 +0100<br>From: <<a href="mailto:tnt@kalik.co.yu">tnt@kalik.co.yu</a>><br>Subject: Re: Second level authentication.<br>To: "FreeRadius users mailing list"
<br>        <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>Message-ID: <<a href="mailto:CdxoYguY.1184865180.8635700.tnt@kalik.co.yu">CdxoYguY.1184865180.8635700.tnt@kalik.co.yu
</a>><br>Content-Type: text/plain; charset=ISO-8859-2<br><br>You want a shell user to get to privilege mode without typing<br>"enable"and knowing enable password? I am quite certain that Cisco<br>spent many years making sure that's impossible. If you find a way to do
<br>that you can blackmail them for a hell of a lot of money.<br><br>Ivan Kalik<br>Kalik Informatika ISP<br><br><br>Dana 19/7/2007, "ashish verma" <<a href="mailto:ashish.scit@gmail.com">ashish.scit@gmail.com
</a>> pi?e:<br><br>>Hi Stefan,<br>><br>>I read the document and thanks for giving the link, that was helpful.<br>><br>>Well I think i put my question in a wrong way.<br>>Let me put it in a different way.
<br>><br>>I dont want the user to go directly in priv mode.<br>>through priv level = 15 we direclty get into priv level right.<br>><br>>what i am looking for is first the user get into user level  and then with
<br>>another<br>>password in level 2. (not with enable password)..it should be through RADIUS<br>>server.<br>><br>><br>>Ashish<br>><br>><br><br><br><br>------------------------------<br><br>Message: 3
<br>Date: Thu, 19 Jul 2007 18:19:59 +0100<br>From: <<a href="mailto:tnt@kalik.co.yu">tnt@kalik.co.yu</a>><br>Subject: Re: TLS cant connect ldap+freeradius+novell<br>To: "FreeRadius users mailing list"<br>        <
<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>Message-ID: <<a href="mailto:YLaGN7JO.1184865599.0231840.tnt@kalik.co.yu">YLaGN7JO.1184865599.0231840.tnt@kalik.co.yu
</a>><br>Content-Type: text/plain; charset=ISO-8859-2<br><br>>Any idea how to type the FQDN !? :(<br><br>Well if this was your server:<br><br>><a href="http://messenger.msn.click-url.com/go/onm00200471ave/direct/01/">
http://messenger.msn.click-url.com/go/onm00200471ave/direct/01/</a><br><br>FQDN would be: <a href="http://messenger.msn.click-url.com">messenger.msn.click-url.com</a><br><br>Ivan Kalik<br>Kalik Informatika ISP<br><br><br>
<br>------------------------------<br><br>Message: 4<br>Date: Thu, 19 Jul 2007 13:30:23 -0400<br>From: "Cliff Cole" <<a href="mailto:clifflcole@gmail.com">clifflcole@gmail.com</a>><br>Subject: Re: Quirky question about rewriting usernames
<br>To: "FreeRadius users mailing list"<br>        <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>Message-ID:<br>        <<a href="mailto:5da254220707191030m47088b8egfec8a097a3d43720@mail.gmail.com">
5da254220707191030m47088b8egfec8a097a3d43720@mail.gmail.com</a>><br>Content-Type: text/plain; charset=WINDOWS-1252; format=flowed<br><br>Once again.  I am backwards on my wording, I am so sorry.  This should<br>be correct.
<br><br>IF the username does have @<a href="http://domain.com">domain.com</a> and NAS = "NAS A"<br>THEN continue with username as is<br><br>IF the username does not have @<a href="http://domain.com">domain.com</a>
 and NAS = "NAS A"<br>THEN append the @<a href="http://domain.com">domain.com</a><br><br>I have been trying the hints file.  I'm able to append @<a href="http://domain.com">domain.com</a> but<br>do not know how to check for @
<a href="http://domain.com">domain.com</a> and continue if the<br>@<a href="http://domain.com">domain.com</a> is present.<br><br>Here is what I have in my hints file.<br><br>DEFAULT NAS-IP-Address == "<a href="http://255.255.255.255">
255.255.255.255</a>"<br>        User-Name := "%{<a href="mailto:User-Name}@domainname.com">User-Name}@domainname.com</a>"<br><br>This part works great and hopefully I'm FINALLY clear on what I'm<br>
trying to accomplish.<br><br>Cliff<br><br><br>On 7/19/07, <a href="mailto:tnt@kalik.co.yu">tnt@kalik.co.yu</a> <<a href="mailto:tnt@kalik.co.yu">tnt@kalik.co.yu</a>> wrote:<br>> How about the other way around:<br>
><br>> IF the username does not have @<a href="http://domain.com">domain.com</a> and NAS = "NAS A"<br>> THEN continue with username as is<br>><br>> IF the username has @<a href="http://domain.com">
domain.com</a> and NAS = "NAS A"<br>> THEN strip @<a href="http://domain.com">domain.com</a><br>><br>> That works by default. If you want to keep it the other way around have a<br>> look at the hints file.
<br>><br>> Ivan Kalik<br>> Kalik Informatika ISP<br>><br>><br>><br>> Dana 19/7/2007, "Cliff Cole" <<a href="mailto:clifflcole@gmail.com">clifflcole@gmail.com</a>> pi?e:<br>><br>> >Thanks for the reply.  I'm new to free radius and have been
<br>> >overwhelmed with documentation the past few days.  Let me explain in<br>> >some logic and maybe I can make some sense as to what I'm trying to<br>> >do.<br>> ><br>> >User authentication comes from "NAS A"
<br>> ><br>> >IF the username does not have @<a href="http://domain.com">domain.com</a> and NAS = "NAS A"<br>> >THEN append @<a href="http://domain.com">domain.com</a><br>> ><br>> >IF the username has @
<a href="http://domain.com">domain.com</a> and NAS = "NAS A"<br>> >THEN continue with username as is.<br>> ><br>> >Hope this helps to clear up what I'm trying to do.  I appologize for<br>> >not being very clear.
<br>> ><br>> >Thanks<br>> ><br>> >Cliff<br>> ><br>> ><br>> ><br>> >On 7/19/07, Pshem Kowalczyk <<a href="mailto:pshem.k@gmail.com">pshem.k@gmail.com</a>> wrote:<br>> >> Hi
<br>> >><br>> >> On 19/07/07, Cliff Cole <<a href="mailto:clifflcole@gmail.com">clifflcole@gmail.com</a>> wrote:<br>> >> > Hello all.<br>> >> ><br>> >> > Here is my issue.  This is very weird and would only affect one NAS.
<br>> >> > I'm not sure freeradius is capable of this.  I want a username that<br>> >> > comes in to check for an @domainname.  If the domainname is there I<br>> >> > want it to be stripped and added back later.  If the domainname is not
<br>> >> > there I'd like it to continue and have to domainname added later in<br>> >> > the authentication process.  I hope this makes sense and any help is<br>> >> > appreciated<br>
> >><br>> >> What do you mean by 'later' you can definitely check for the presence<br>> >> of domain, you can strip  it and add it again. you just have to define<br>> >> the flow. rlm_attr will be of help to you (for both stripping and
<br>> >> adding).<br>> >><br>> >> kind regards<br>> >> Pshem<br>> >> -<br>> >> List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html">
http://www.freeradius.org/list/users.html</a><br>> >><br>> >-<br>> >List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a>
<br>> ><br>> ><br>><br>> -<br>> List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a><br>><br><br><br><br>------------------------------
<br><br>Message: 5<br>Date: Thu, 19 Jul 2007 20:44:04 +0300<br>From: Claudiu Filip <<a href="mailto:claudiu@globtel.ro">claudiu@globtel.ro</a>><br>Subject: Re: Second level authentication.<br>To: FreeRadius users mailing list
<br>        <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>Message-ID: <<a href="mailto:1943345512.20070719204404@globtel.ro">1943345512.20070719204404@globtel.ro
</a>><br>Content-Type: text/plain; charset="us-ascii"<br><br>An HTML attachment was scrubbed...<br>URL: <a href="https://lists.freeradius.org/pipermail/freeradius-users/attachments/20070719/b668ab5b/attachment-0001.html">
https://lists.freeradius.org/pipermail/freeradius-users/attachments/20070719/b668ab5b/attachment-0001.html</a><br><br>------------------------------<br><br>Message: 6<br>Date: Thu, 19 Jul 2007 20:11:01 +0200<br>From: "Martin G" <
<a href="mailto:kapten_kanelbulle@hotmail.com">kapten_kanelbulle@hotmail.com</a>><br>Subject: Re: TLS cant connect ldap+freeradius+novell<br>To: <a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org
</a><br>Message-ID: <<a href="mailto:BAY123-F2155EC5301E6D887A0E9CB8AFB0@phx.gbl">BAY123-F2155EC5301E6D887A0E9CB8AFB0@phx.gbl</a>><br>Content-Type: text/plain; format=flowed<br><br>Iv found the following on the novellserver (CA-service):
<br>Distinguished name: WIFITREE CA.Security<br>Host server: NW1.SYSTEM.WIFI<br><br>"NW1" would be the servername and "NW1.SYSTEM.WIFI" the FQDN?<br>I added the info in all kinds of sorts in my hosts-file to the novell-ip on
<br>the linux-server but still no progress :( Still:<br><br>ldapsearch -vvv -h NW1.SYSTEM.WIFI wifi -x -Z -b ou=adm,ou=malmo,o=wifi<br>"cn=lotta"<br>ldap_initialize( ldap://wifi )<br>ldap_start_tls: Connect error (-11)
<br>        additional info: TLS: hostname does not match CN in peer certificate<br>filter: cn=lotta<br>requesting: All userApplication attributes<br><br>Any good idea!?<br>(iv added the novell-servers dns-ip to the ifconfig-dns of the linux also,
<br>but no help from that either).<br><br>/Mr G<br><br>>>Any idea how to type the FQDN !? :(<br>><br>>Well if this was your server:<br>><br>>><a href="http://messenger.msn.click-url.com/go/onm00200471ave/direct/01/">
http://messenger.msn.click-url.com/go/onm00200471ave/direct/01/</a><br>><br>>FQDN would be: <a href="http://messenger.msn.click-url.com">messenger.msn.click-url.com</a><br>><br>>Ivan Kalik<br>>Kalik Informatika ISP
<br>><br>>- List info/subscribe/unsubscribe? See<br>><a href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a><br><br><br><br><br>>From: "Martin G" <<a href="mailto:kapten_kanelbulle@hotmail.com">
kapten_kanelbulle@hotmail.com</a>><br>>Reply-To: FreeRadius users mailing list<br>><<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>>To: <a href="mailto:freeradius-users@lists.freeradius.org">
freeradius-users@lists.freeradius.org</a><br>>Subject: Re: TLS cant connect ldap+freeradius+novell<br>>Date: Thu, 19 Jul 2007 18:05:22 +0200<br>><br>>Subject of the novell-server-certificate is : O = WIFITREE<br>
>OU = Organizational CA<br>>And thats no FQDN!?<br>>(I exported it from the novell as an .der and extracted it to see the<br>>subject, maby wrong way to do it? i havent exported the private key with<br>>either the .b64 or the .der and that shouldnt matter ?)
<br>><br>>*output from novell*<br>>Subject name: OU=Organizational CA.O=WIFITREE<br>>Issuer name: OU=Organizational CA.O=WIFITREE<br>>Effective date: den 22 oktober 2005 23:04:08<br>>Expiration date:  den 22 oktober 2015 23:04:08
<br>>Certificate status: Valid<br>><br>>Any idea how to type the FQDN !? :(<br>><br>>(Thx for all the good answers this far!)<br>><br>>/Mr G<br>><br>><br>> >From: "Reimer Karlsen-Masur, DFN-CERT" <
<a href="mailto:karlsen-masur@dfn-cert.de">karlsen-masur@dfn-cert.de</a>><br>> >Reply-To: FreeRadius users mailing list<br>> ><<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org
</a>><br>> >To: FreeRadius users mailing list <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>> >Subject: Re: TLS cant connect ldap+freeradius+novell
<br>> >Date: Thu, 19 Jul 2007 17:51:24 +0200<br>> ><br>> >Hmmmmm.<br>> ><br>> >Martin G wrote:<br>> > > Sorry, when i tried to rehash my certificate, id changed its path, but<br>> >now
<br>> > > its back and i got a new output from my ldapsearch-command:<br>> > ><br>> > > ldapsearch -vvv -h <a href="http://10.10.0.11">10.10.0.11</a> -x -Z -b ou<br>> > > =adm,ou=malmo,o=wifi "cn=lotta"
<br>> > > ldap_initialize( ldap://10.10.0.11 )<br>> > > ldap_start_tls: Connect error (-11)<br>> > >         additional info: TLS: hostname does not match CN in peer<br>> >certificate<br>> >
<br>> >What is the CN in the SubjectDN of the ldap servers certificate? Is it a<br>> >FQDN?<br>> ><br>> >If so, try to map IP# <a href="http://10.10.0.11">10.10.0.11</a> to this FQDN via /etc/hosts if your DNS
<br>> >server can't find the FQDN. Try to call ldapsearch with -h FQDN option.<br>> ><br>> >Is above warning going away?<br>> ><br>> > > filter: cn=lotta<br>> > > requesting: All userApplication attributes
<br>> > > # extended LDIF<br>> > > #<br>> > > # LDAPv3<br>> > > # base <ou=adm,ou=malmo,o=wifi> with scope subtree<br>> > > # filter: cn=lotta<br>> > > # requesting: ALL
<br>> > > #<br>> > ><br>> > > # lotta, ADM, MALMO, WIFI<br>> > > dn: cn=lotta,ou=ADM,ou=MALMO,o=WIFI<br>> > > zenzfdVersion::<br>> ><br>> >Something is at least working. It's not SSL secured though.
<br>> ><br>> >...<br>> > ><br>> > > Iv also added the loglevel -1 to the /etc/ldap/ldap.conf and removed<br>>the<br>> > > TLSCertificateFile and TLSCertificateKeyFile from the<br>
> >/etc/ldap/sldap.conf<br>> > > as i did forget before.<br>> ><br>> >slapd.conf is the config file of the openldap *server*. Messing with this<br>> >file should not change anything. Or was that a typo?
<br>> ><br>> > > Do i need to convert the certificate to .pem and how if the c_rehash<br>> >dont<br>> > > work?<br>> ><br>> >If tls_cacertdir is not set, then don't use c_rehash.
<br>> ><br>> >Set tls_cacertfile to a single ASCII file containing all PEM formatted CA<br>> >certificates of the CA certificate chain that is needed to validate your<br>> >ldap servers certificate. Concatenate these PEM formatted CA certs into
<br>> >this<br>> >single ASCII file.<br>> ><br>> >And I forgot, set ldap_debug to -1 in the radius config file.<br>> ><br>> >Don't send your ldap servers password in log files ;-)<br>
> ><br>> >...<br>> > > Tue Jul 10 12:35:00 2007 : Debug: Module: Loaded LDAP<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: server = "<a href="http://10.10.0.11">10.10.0.11</a>"<br>
> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: port = 389<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: net_timeout = 1<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: timeout = 4<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: timelimit = 3
<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: identity = "cn=admin,o=wifi"<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: tls_mode = no<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: start_tls = yes
<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: tls_cacertfile =<br>> > > "/etc/freeradius/certs<br>> > > /WIFITREE_CA.b64"<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: tls_cacertdir = "(null)"
<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: tls_certfile = "(null)"<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: tls_keyfile = "(null)"<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: tls_randfile = "(null)"
<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: tls_require_cert = "allow"<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: password = "novell"<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: basedn =
<br>> >"ou=adm,ou=malmo,o=wifi"<br>> >...<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: ldap_debug = 0<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: ldap_connections_number = 5
<br>> > > Tue Jul 10 12:35:00 2007 : Debug:  ldap: compare_check_items = no<br>> ><br>> >--<br>> >Beste Gruesse / Kind Regards<br>> ><br>> >Reimer Karlsen-Masur<br>> ><br>> >DFN-PKI FAQ: 
<a href="https://www.pki.dfn.de/faqpki">https://www.pki.dfn.de/faqpki</a><br>> >--<br>> >Dipl.-Inform. Reimer Karlsen-Masur (PKI Team), Phone +49 40 808077-615<br>> >DFN-CERT Services GmbH, <a href="https://www.dfn-cert.de">
https://www.dfn-cert.de</a>, Phone +49 40 808077-555<br>> >Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737<br>><br>><br>> ><< smime.p7s >><br>><br>><br>><br>
><br>> >-<br>> >List info/subscribe/unsubscribe? See<br>> ><a href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a><br>><br>>_________________________________________________________________
<br>>Express yourself instantly with MSN Messenger! Download today it's FREE!<br>><a href="http://messenger.msn.click-url.com/go/onm00200471ave/direct/01/">http://messenger.msn.click-url.com/go/onm00200471ave/direct/01/
</a><br>><br>>-<br>>List info/subscribe/unsubscribe? See<br>><a href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a><br><br>_________________________________________________________________
<br>Express yourself instantly with MSN Messenger! Download today it's FREE!<br><a href="http://messenger.msn.click-url.com/go/onm00200471ave/direct/01/">http://messenger.msn.click-url.com/go/onm00200471ave/direct/01/
</a><br><br><br><br>------------------------------<br><br>-<br>List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a><br><br><br>End of Freeradius-Users Digest, Vol 27, Issue 126
<br>*************************************************<br></blockquote></div><br>