<div>Yes. It sounds good.</div>  <div>Check common name in the certificate with databases(users or others).</div>  <div> </div>  <div>John<BR><BR><B><I>s3b0@gmx.de</I></B> 写道:</div>  <BLOCKQUOTE class=replbq style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #1010ff 2px solid"><BR>> Hangjun He wrote:<BR>> > And I use EAP-TLS and with correct certs. Even if I set wrong<BR>> > username in Odessey Client, freeRADIUS will return<BR>> > success.(check_cert_cn not set).<BR>> <BR>> EAP-TLS authenticates users based on certificates. It ignores the<BR>> user name.<BR><BR>i think, thats not completely correct. when you use eap-tls, the username in the radius-packet is the common name of your certificate. so you can check in the users file against the common name, and reject specific common names...<BR><BR>if you set check_cert_cn to "yes", then the server will compare the common name of the certicate with the user-name in the radius packet
 (as i said, this is normally also the common name). <BR><BR>> <BR>> > Can I let freeRADIUS to check if username in the users file or other<BR>> > database? If not, reject user.<BR>> <BR>> Yes. Configure that:<BR>> <BR>> bob Auth-Type := Reject<BR>> <BR>> Alan DeKok.<BR>> <BR><BR>Sebastian<BR>-- <BR>Der GMX SmartSurfer hilft bis zu 70% Ihrer Onlinekosten zu sparen! <BR>Ideal für Modem und ISDN: http://www.gmx.net/de/go/smartsurfer<BR>-<BR>List info/subscribe/unsubscribe? See http://www.freeradius.org/list/users.html<BR></BLOCKQUOTE><BR><p>


      <hr size=1><a href="http://cn.mail.yahoo.com/promo/taobao20/index.php?souce=mail_mailletter_tagline" target=blank>天生购物狂,狂抢购物券,你还等什么!</a>