
<div dir="ltr">Dear Alan,Ivan and all,<br>

<br>

I am having the Problem in rlm_ldap module in FreeRadius. <br>

I am doing a MD5 based Authentication with a Windows XP Supplicant and

a Alcatel Switch acting as Authenticator and FreeRadius2.0.5 build  as

Front end and OpenLDAP 2.3.32 as backend.<br>

<br>

When a Request is received the <b>FreeRadius rlm_ldap module is not able to Authorize the User-Name in Authorize section.</b><br>

But when I tried with<b> radtest it was able to Authorize and bind the identity with server. and authorized password.<br>

I am unable to find the problem.<br>

<br>

Please comment in this regard.<br>

<br>

SYED<br>

<br>

Debugged output with RADIUS Access Request received from Authenticator:</b><br>

<br>

rad_recv: Access-Request packet from host <a href="http://192.168.1.2">192.168.1.2</a> port 1026, id=23, length=118<br>

        User-Name = "hasan"<br>

        NAS-IP-Address = <a href="http://192.168.1.2">192.168.1.2</a><br>

        State = 0xd2721542d2731113194d83152fbd73d0<br>

        NAS-Port = 1003<br>

        Calling-Station-Id = "000fb0ba868d"<br>

        EAP-Message = 0x0201001b0410aa93c55c3f5fb6f41369d77838fad2a2686173616e<br>

        Message-Authenticator = 0x6525206bdea6b09c81a5a3252e515782<br>

+- entering group authorize<br>

++[preprocess] returns ok<br>

++[chap] returns noop<br>

++[mschap] returns noop<br>

    rlm_realm: No '@' in User-Name = "hasan", looking up realm NULL<br>

    rlm_realm: No such realm "NULL"<br>

++[suffix] returns noop<br>

  rlm_eap: EAP packet type response id 1 length 27<br>

  rlm_eap: No EAP Start, assuming it's an on-going EAP conversation<br>

++[eap] returns updated<br>

++[unix] returns notfound<br>

++[files] returns noop<br>

rlm_ldap: - authorize<br>

<b>rlm_ldap: Attribute "User-Name" is required for authorization.</b><br>

<b>++[ldap] returns noop</b><br>

++[expiration] returns noop<br>

++[logintime] returns noop<br>

rlm_pap: WARNING! No "known good" password found for the user.  Authentication may fail because of this.<br>

++[pap] returns noop<br>

  rad_check_password:  Found Auth-Type EAP<br>

auth: type "EAP"<br>

+- entering group authenticate<br>

  rlm_eap: Request found, released from the list<br>

  rlm_eap: EAP/md5<br>

  rlm_eap: processing type md5<br>

rlm_eap_md5: Cleartext-Password is required for EAP-MD5 authentication<br>

 rlm_eap: Handler failed in EAP/md5<br>

  rlm_eap: Failed in EAP select<br>

++[eap] returns invalid<br>

auth: Failed to validate the user.<br>

  Found Post-Auth-Type Reject<br>

+- entering group REJECT<br>

        expand: %{User-Name} -> hasan<br>

 attr_filter: Matched entry DEFAULT at line 11<br>

++[attr_filter.access_reject] returns updated<br>

Sending Access-Reject of id 23 to <a href="http://192.168.1.2">192.168.1.2</a> port 1026<br>

        EAP-Message = 0x04010004<br>

        Message-Authenticator = 0x00000000000000000000000000000000<br>

Finished request 1.<br>

Going to the next request<br>

<br>

Debugged o/p with radtest:<br>

radtest hasan password <a href="http://192.168.1.131">192.168.1.131</a> 10 testing123<br>

<br>

<b>rlm_ldap: - authorize<br>

rlm_ldap: performing user authorization for password<br>

WARNING: Deprecated conditional expansion ":-".  See "man unlang" for details<br>

        expand: (uid=%{Stripped-User-Name:-%{User-Name}}) -> (uid=hasan)<br>

        expand: dc=thales,dc=com -> dc=thales,dc=com<br>

rlm_ldap: ldap_get_conn: Checking Id: 0<br>

rlm_ldap: ldap_get_conn: Got Id: 0<br>

rlm_ldap: attempting LDAP reconnection<br>

rlm_ldap: (re)connect to localhost:389, authentication 0<br>

rlm_ldap: bind as cn=Administrator,dc=thales,dc=com/thales to localhost:389<br>

rlm_ldap: waiting for bind result ...<br>

rlm_ldap: Bind was successful<br>

rlm_ldap: performing search in dc=thales,dc=com, with filter (uid=hasan)<br>

rlm_ldap: checking if remote access for password is allowed by uid<br>

rlm_ldap: Added User-Password = password in check items<br>

rlm_ldap: No default NMAS login sequence<br>

rlm_ldap: looking for check items in directory...<br>

rlm_ldap: looking for reply items in directory...<br>

rlm_ldap: user password authorized to use remote access<br>

rlm_ldap: ldap_release_conn: Release Id: 0</b><br>

++[ldap] returns ok<br>

expiration] returns noop<br>

++[logintime] returns noop<br>

rlm_pap: WARNING! No "known good" password found for the user.  Authentication may fail because of this.<br>

++[pap] returns noop<br>

auth: No authenticate method (Auth-Type) configuration found for the request: Rejecting the user<br>

auth: Failed to validate the user.<br>

  Found Post-Auth-Type Reject<br>

+- entering group REJECT<br>

        expand: %{User-Name} -> hasan<br>

 attr_filter: Matched entry DEFAULT at line 11<br>

++[attr_filter.access_reject] returns updated<br>

Sending Access-Reject of id 27 to <a href="http://192.168.1.131">192.168.1.131</a> port 1068<br>

<br>

</div>