<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=iso-8859-2">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.StylE-mailovZprvy17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page Section1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=CS link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span lang=EN-US>Hi, I have working configuration of PPTPD
(Windows VPN) trought Radius to LDAP stored users. The think is ,that it
accepts only plain text stored passwords in ldap becouse of very well known NT-Password
for MSCHAPv2<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US>I figure out there is an option to make it
work with ntlm_auth in mschap configuration in radius.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>But when I enable it :<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US>                #with_ntdomain_hack = yes<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US>                # The module can perform
authentication itself, OR<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>                # use a Windows Domain
Controller.  This configuration<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>                # directive tells the
module to call the ntlm_auth<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>                # program, which will do
the authentication, and return<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>                # the NT-Key.  Note that
you MUST have "winbindd" and<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>                # "nmbd" running
on the local machine for ntlm_auth<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>                # to work.  See the
ntlm_auth program documentation<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>                # for details.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>                #<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>                # Be VERY careful when
editing the following line!<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>                #<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>                ntlm_auth = "/usr/bin/ntlm_auth
--request-nt-key --username=%{Stripped-Use<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>r-Name:-%{User-Name:-None}}
--challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>Response:-00}"<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>        }<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US>I am getting following error :<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US>  rad_check_password:  Found Auth-Type
MS-CHAP<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>auth: type "MS-CHAP"<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>  Processing the authenticate section of
radiusd.conf<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>modcall: entering group MS-CHAP for request
1<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>  rlm_mschap: Told to do MS-CHAPv2 for boss
with NT-Password<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>radius_xlat: Running registered xlat
function of module mschap for string 'Challenge'<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US> mschap2: 6b<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>radius_xlat: Running registered xlat
function of module mschap for string 'NT-Response'<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>radius_xlat:  '/usr/bin/ntlm_auth
--request-nt-key --username=boss --challenge=09c34801a6bafab3
--nt-response=e9aa9365702850c20847566b84c4c729efbac9d014ff1301'<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>Exec-Program: /usr/bin/ntlm_auth
--request-nt-key --username=boss --challenge=09c34801a6bafab3
--nt-response=e9aa9365702850c20847566b84c4c729efbac9d014ff1301<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>Exec-Program output:
NT_STATUS_CANT_ACCESS_DOMAIN_INFO (0xc00000da) <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>Exec-Program-Wait: plaintext:
NT_STATUS_CANT_ACCESS_DOMAIN_INFO (0xc00000da) <o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>Exec-Program: returned: 1<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>  rlm_mschap: External script failed.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>  rlm_mschap: FAILED: MS-CHAP2-Response is
incorrect<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>  modcall[authenticate]: module
"mschap" returns reject for request 1<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US>But I am not sending a domain trought VPN
connection (I have it clear). I have also tried  #with_ntdomain_hack = yes<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>But without result.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US>Please help me,<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US>David<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>

<p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p>

</div>

</body>

</html>