<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=utf-8">
<META content="MSHTML 6.00.6000.16544" name=GENERATOR></HEAD>
<BODY style="MARGIN: 4px 4px 1px; FONT: 10pt Tahoma">
<DIV>Do I then remove ldap from the authorize section so that it doesn't call it every packet?  I did a bunch of testing and it seems that I have to do that to reduce the number of calls to our eDirectory servers.</DIV>
<DIV> </DIV>
<DIV>Thanks for helping me out.</DIV>
<DIV> </DIV>
<DIV>Nathan</DIV>
<DIV> </DIV>
<DIV>Nathan P. Hay<BR>Network Engineer<BR>Computer Services<BR>Cedarville University<BR><A href="http://www.cedarville.edu/">www.cedarville.edu</A> <BR><BR>>>> Phil Mayers <p.mayers@imperial.ac.uk> 10/31/2007 9:12 AM >>><BR>On Wed, 2007-10-31 at 08:59 -0400, Nathan Hay wrote:<BR>> I have FreeRadius 1.1.7 installed and talking to our eDirectory<BR>> servers via LDAP to authenticate users to our wireless network.  It<BR>> works great, but our eDirectory servers get hit with 11 requests each<BR>> time a single client authenticates.  Running FreeRadius in debug mode,<BR>> I see 10 requests of the format "Access-Request packet from host<BR>> 10.0.0.1" and then "Sending Access-Challenge of id 0 to 10.0.0.1 port<BR>> 1082".  Then I see a single final request of the format<BR>> "Access-Request packet from host 10.0.0.1" and then "Sending<BR>> Access-Accept of id 0 to 10.0.0.1 port 1082".  Each one of these 11<BR>!
 > requests performs a check of the user on our eDirectory servers, hence<BR>> the 11 hits each time a single client authenticates.<BR>>  <BR>> Is this normal or do I need to fix something?  I'd be glad to send the<BR>> entire debug capture and my config if this is not normal.<BR><BR>EAP sessions typically cover tens of request/challenge packets.<BR><BR>You have configured to server to run the LDAP lookups on each packet, as<BR>opposed to just once.<BR><BR>The easiest thing is to do this:<BR><BR>authorize {<BR>  preprocess<BR>  ...etc...<BR>  eap<BR>  ...etc...<BR>  Autz-Type INNER {<BR>    ldap<BR>  }<BR>}<BR><BR>...and in the "users" file:<BR><BR>DEFAULTFreeradius-Proxied-To == 127.0.0.1, Autz-Type := INNER<BR><BR>This will match the "inner" packets of the EAP session, and tell the<BR>server to run the Autz-Type sub-block of authorize (containing LDAP)<BR><BR>You may still see 2 lookups, since there may !
 be a request/challenge and<BR>request/accept inside the EAP tunnel, bu
t it's better than 11.<BR><BR>Getting down to 1 lookup requires FreeRadius 2.0 (not currently<BR>released)<BR><BR>>  <BR>> Thanks for your help,<BR>>  <BR>> Nathan<BR>>  <BR>>  <BR>>  <BR>>  <BR>>  <BR>>  <BR>>  <BR>>  <BR>> Nathan P. Hay<BR>> Network Engineer<BR>> Computer Services<BR>> Cedarville University<BR>> www.cedarville.edu <BR>> -<BR>> List info/subscribe/unsubscribe? See <A href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</A><BR><BR>-<BR>List info/subscribe/unsubscribe? See <A href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</A><BR></DIV></BODY></HTML>