<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Consolas;
panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
{mso-style-priority:99;
mso-style-link:"Texte brut Car";
margin:0cm;
margin-bottom:.0001pt;
font-size:10.5pt;
font-family:Consolas;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
span.TextebrutCar
{mso-style-name:"Texte brut Car";
mso-style-priority:99;
mso-style-link:"Texte brut";
font-family:Consolas;}
.MsoChpDefault
{mso-style-type:export-only;}
@page Section1
{size:612.0pt 792.0pt;
margin:72.0pt 90.0pt 72.0pt 90.0pt;}
div.Section1
{page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang=FR-CA link=blue vlink=purple>
<div class=Section1>
<p class=MsoNormal>Hi, I want to configure my freeradius to authorize my user
with an sql database or if the user isn’t present it would check in AD.<o:p></o:p></p>
<p class=MsoNormal>Here is my conf for now.<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoPlainText>authorize {<o:p></o:p></p>
<p class=MsoPlainText> preprocess<o:p></o:p></p>
<p class=MsoPlainText> sql<o:p></o:p></p>
<p class=MsoPlainText> if (notfound) {<o:p></o:p></p>
<p class=MsoPlainText> ntlm_auth<o:p></o:p></p>
<p class=MsoPlainText> }<o:p></o:p></p>
<p class=MsoPlainText> eap<o:p></o:p></p>
<p class=MsoPlainText> expiration<o:p></o:p></p>
<p class=MsoPlainText> logintime<o:p></o:p></p>
<p class=MsoPlainText>}<o:p></o:p></p>
<p class=MsoPlainText>authenticate {<o:p></o:p></p>
<p class=MsoPlainText><o:p> </o:p></p>
<p class=MsoPlainText> ntlm_auth<o:p></o:p></p>
<p class=MsoPlainText> Auth-Type PAP {<o:p></o:p></p>
<p class=MsoPlainText> pap<o:p></o:p></p>
<p class=MsoPlainText> }<o:p></o:p></p>
<p class=MsoPlainText> Auth-Type CHAP {<o:p></o:p></p>
<p class=MsoPlainText> chap<o:p></o:p></p>
<p class=MsoPlainText> } <o:p></o:p></p>
<p class=MsoPlainText>Auth-Type MS-CHAP {<o:p></o:p></p>
<p class=MsoPlainText> mschap<o:p></o:p></p>
<p class=MsoPlainText> }<o:p></o:p></p>
<p class=MsoPlainText> unix<o:p></o:p></p>
<p class=MsoPlainText> eap<o:p></o:p></p>
<p class=MsoPlainText>}<o:p></o:p></p>
<p class=MsoPlainText><o:p> </o:p></p>
<p class=MsoPlainText>And here is my radiusd.conf<o:p></o:p></p>
<p class=MsoPlainText>modules {<o:p></o:p></p>
<p class=MsoPlainText> exec ntlm_auth {<o:p></o:p></p>
<p class=MsoPlainText> wait = no<o:p></o:p></p>
<p class=MsoPlainText> program = "/usr/bin/ntlm_auth
--request-nt-key --username=%{mschap:User-Name:-None}
--domain=%{mschap:NT-Domain:-intranet} --challenge=%{mschap:Challenge:-00}
--nt-response=%{mschap:NT-Response:-00}"<o:p></o:p></p>
<p class=MsoPlainText> }<o:p></o:p></p>
<p class=MsoPlainText>$INCLUDE eap.conf<o:p></o:p></p>
<p class=MsoPlainText> mschap { <o:p></o:p></p>
<p class=MsoPlainText> with_ntdomain_hack = yes<o:p></o:p></p>
<p class=MsoPlainText> }<o:p></o:p></p>
<p class=MsoNormal>}<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>And here the log with radiusd –X if I try an user who’s
in AD.<o:p></o:p></p>
<p class=MsoNormal>rlm_sql (sql): sql_set_user escaped user --> 'gchartra'<o:p></o:p></p>
<p class=MsoNormal>rlm_sql (sql): Reserving sql socket id: 1<o:p></o:p></p>
<p class=MsoNormal> expand: SELECT id,UserName,Attribute,Value,op FROM
radcheck WHERE Username = '%{SQL-User-Name}' ORDER BY id -> SELECT
id,UserName,Attribute,Value,op FROM radcheck WHERE Username = 'gchartra' ORDER
BY id<o:p></o:p></p>
<p class=MsoNormal>query: SELECT id,UserName,Attribute,Value,op FROM radcheck
WHERE Username = 'gchartra' ORDER BY id<o:p></o:p></p>
<p class=MsoNormal>rlm_sql (sql): Released sql socket id: 1<o:p></o:p></p>
<p class=MsoNormal>rlm_sql (sql): User gchartra not found<o:p></o:p></p>
<p class=MsoNormal>++[sql] returns notfound<o:p></o:p></p>
<p class=MsoNormal>++? if (notfound)<o:p></o:p></p>
<p class=MsoNormal>? Evaluating "notfound" -> TRUE<o:p></o:p></p>
<p class=MsoNormal>++? if (notfound) -> TRUE<o:p></o:p></p>
<p class=MsoNormal>++- entering if (notfound)<o:p></o:p></p>
<p class=MsoNormal> expand: --username=%{mschap:User-Name:-None} ->
--username=gchartra<o:p></o:p></p>
<p class=MsoNormal> rlm_mschap: No NT-Domain was found in the User-Name.<o:p></o:p></p>
<p class=MsoNormal> expand: --domain=%{mschap:NT-Domain:-intranet} ->
--domain=intranet<o:p></o:p></p>
<p class=MsoNormal> rlm_mschap: No MS-CHAP-Challenge in the request.<o:p></o:p></p>
<p class=MsoNormal> expand: --challenge=%{mschap:Challenge:-00} ->
--challenge=00<o:p></o:p></p>
<p class=MsoNormal> rlm_mschap: No MS-CHAP-Response or MS-CHAP2-Response was
found in the request.<o:p></o:p></p>
<p class=MsoNormal> expand: --nt-response=%{mschap:NT-Response:-00}
-> --nt-response=00<o:p></o:p></p>
<p class=MsoNormal>+++[ntlm_auth] returns ok<o:p></o:p></p>
<p class=MsoNormal>++- if (notfound) returns ok<o:p></o:p></p>
<p class=MsoNormal> rlm_eap: EAP packet type response id 7 length 90<o:p></o:p></p>
<p class=MsoNormal> rlm_eap: Continuing tunnel setup.<o:p></o:p></p>
<p class=MsoNormal>++[eap] returns ok<o:p></o:p></p>
<p class=MsoNormal>++[expiration] returns noop<o:p></o:p></p>
<p class=MsoNormal>++[logintime] returns noop<o:p></o:p></p>
<p class=MsoNormal> rad_check_password: Found Auth-Type EAP<o:p></o:p></p>
<p class=MsoNormal>auth: type "EAP"<o:p></o:p></p>
<p class=MsoNormal>+- entering group authenticate<o:p></o:p></p>
<p class=MsoNormal> rlm_eap: Request found, released from the list<o:p></o:p></p>
<p class=MsoNormal> rlm_eap: EAP/peap<o:p></o:p></p>
<p class=MsoNormal> rlm_eap: processing type peap<o:p></o:p></p>
<p class=MsoNormal> rlm_eap_peap: Authenticate<o:p></o:p></p>
<p class=MsoNormal> rlm_eap_tls: processing TLS<o:p></o:p></p>
<p class=MsoNormal> eaptls_verify returned 7<o:p></o:p></p>
<p class=MsoNormal> rlm_eap_tls: Done initial handshake<o:p></o:p></p>
<p class=MsoNormal> eaptls_process returned 7<o:p></o:p></p>
<p class=MsoNormal> rlm_eap_peap: EAPTLS_OK<o:p></o:p></p>
<p class=MsoNormal> rlm_eap_peap: Session established. Decoding tunneled
attributes.<o:p></o:p></p>
<p class=MsoNormal> rlm_eap_peap: EAP type mschapv2<o:p></o:p></p>
<p class=MsoNormal> PEAP: Setting User-Name to gchartra<o:p></o:p></p>
<p class=MsoNormal>+- entering group authorize<o:p></o:p></p>
<p class=MsoNormal>++[preprocess] returns ok<o:p></o:p></p>
<p class=MsoNormal> expand: %{User-Name} -> gchartra<o:p></o:p></p>
<p class=MsoNormal>rlm_sql (sql): sql_set_user escaped user --> 'gchartra'<o:p></o:p></p>
<p class=MsoNormal>rlm_sql (sql): Reserving sql socket id: 0<o:p></o:p></p>
<p class=MsoNormal> expand: SELECT id,UserName,Attribute,Value,op FROM
radcheck WHERE Username = '%{SQL-User-Name}' ORDER BY id -> SELECT
id,UserName,Attribute,Value,op FROM radcheck WHERE Username = 'gchartra' ORDER
BY id<o:p></o:p></p>
<p class=MsoNormal>query: SELECT id,UserName,Attribute,Value,op FROM radcheck
WHERE Username = 'gchartra' ORDER BY id<o:p></o:p></p>
<p class=MsoNormal>rlm_sql (sql): Released sql socket id: 0<o:p></o:p></p>
<p class=MsoNormal>rlm_sql (sql): User gchartra not found<o:p></o:p></p>
<p class=MsoNormal>++[sql] returns notfound<o:p></o:p></p>
<p class=MsoNormal>++? if (notfound)<o:p></o:p></p>
<p class=MsoNormal>? Evaluating "notfound" -> TRUE<o:p></o:p></p>
<p class=MsoNormal>++? if (notfound) -> TRUE<o:p></o:p></p>
<p class=MsoNormal>++- entering if (notfound)<o:p></o:p></p>
<p class=MsoNormal> expand: --username=%{mschap:User-Name:-None} ->
--username=gchartra<o:p></o:p></p>
<p class=MsoNormal> rlm_mschap: No NT-Domain was found in the User-Name.<o:p></o:p></p>
<p class=MsoNormal> expand: --domain=%{mschap:NT-Domain:-intranet} ->
--domain=intranet<o:p></o:p></p>
<p class=MsoNormal> rlm_mschap: No MS-CHAP-Challenge in the request.<o:p></o:p></p>
<p class=MsoNormal> expand: --challenge=%{mschap:Challenge:-00} ->
--challenge=00<o:p></o:p></p>
<p class=MsoNormal> rlm_mschap: No MS-CHAP-Response or MS-CHAP2-Response was
found in the request.<o:p></o:p></p>
<p class=MsoNormal> expand: --nt-response=%{mschap:NT-Response:-00}
-> --nt-response=00<o:p></o:p></p>
<p class=MsoNormal>+++[ntlm_auth] returns ok<o:p></o:p></p>
<p class=MsoNormal>++- if (notfound) returns ok<o:p></o:p></p>
<p class=MsoNormal> rlm_eap: EAP packet type response id 7 length 67<o:p></o:p></p>
<p class=MsoNormal> rlm_eap: No EAP Start, assuming it's an on-going EAP
conversation<o:p></o:p></p>
<p class=MsoNormal>++[eap] returns updated<o:p></o:p></p>
<p class=MsoNormal>++[expiration] returns noop<o:p></o:p></p>
<p class=MsoNormal>++[logintime] returns noop<o:p></o:p></p>
<p class=MsoNormal> rad_check_password: Found Auth-Type EAP<o:p></o:p></p>
<p class=MsoNormal>auth: type "EAP"<o:p></o:p></p>
<p class=MsoNormal>+- entering group authenticate<o:p></o:p></p>
<p class=MsoNormal> rlm_eap: Request found, released from the list<o:p></o:p></p>
<p class=MsoNormal> rlm_eap: EAP/mschapv2<o:p></o:p></p>
<p class=MsoNormal> rlm_eap: processing type mschapv2<o:p></o:p></p>
<p class=MsoNormal>+- entering group MS-CHAP<o:p></o:p></p>
<p class=MsoNormal> rlm_mschap: No Cleartext-Password configured. Cannot
create LM-Password.<o:p></o:p></p>
<p class=MsoNormal> rlm_mschap: No Cleartext-Password configured. Cannot
create NT-Password.<o:p></o:p></p>
<p class=MsoNormal> rlm_mschap: Told to do MS-CHAPv2 for gchartra with
NT-Password<o:p></o:p></p>
<p class=MsoNormal> rlm_mschap: FAILED: No NT/LM-Password. Cannot perform
authentication.<o:p></o:p></p>
<p class=MsoNormal> rlm_mschap: FAILED: MS-CHAP2-Response is incorrect<o:p></o:p></p>
<p class=MsoNormal>++[mschap] returns reject<o:p></o:p></p>
<p class=MsoNormal> rlm_eap: Freeing handler<o:p></o:p></p>
<p class=MsoNormal>++[eap] returns reject<o:p></o:p></p>
<p class=MsoNormal>auth: Failed to validate the user.<o:p></o:p></p>
<p class=MsoNormal> PEAP: Tunneled authentication was rejected.<o:p></o:p></p>
<p class=MsoNormal> rlm_eap_peap: FAILURE<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>So the last part if I understand is when the
authentification section is call, he try to authentification with my module
ntlm_auth but it fail and I don’t know why.<o:p></o:p></p>
<p class=MsoNormal>If in the radius.conf mschap section module I insert the
same ntlm_auth line of the exec. The sql don’t work but AD work. If I put
nothing in mschap section. The SQL works but not AD. So what I did make wrong<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>Thank<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>----------------------------</span><span
style='font-size:12.0pt;font-family:"Times New Roman","serif"'><o:p></o:p></span></p>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Guillaume
Chartrand</span><span style='font-size:12.0pt;font-family:"Times New Roman","serif"'><o:p></o:p></span></p>
</div>
</body>
</html>