<div dir="ltr">Let me rephrase my question in another way (hopefully clearer):<br><br>NAS acting as EAP pass-thru' device<br><br>USER ----------------------  NAS -----------------------  FREERADIUS<br>+++++++EAP+++++++++==EAP over RADIUS==========  (****)<br>
<br>EAP over RADIUS uses EAP-Message attribute.<br><br><br>After EAP completes we have:<br><br>USER ----------------------  NAS -----------------------  FREERADIUS<br> MSK                                                              MSK<br>
<br>...but the NAS needs the MSK to do whatever layer 2 encryption scheme..<br>..so...<br><br>USER ----------------------  NAS -----------------------  FREERADIUS<br>
 MSK                              <================= MSK          (OOOO)<br>                                            HOW??<br><br>Ivan Kalik <a href="mailto:tnt@kalik.net">tnt@kalik.net</a> suggests EAP-Message; but I think this is only<br>
used in **** not in OOOO<br><br>Alan DeKok suggests 'Access-Accept for attributes named "key"'. I couldn't<br>find any such attributes, and further more where would you configure the <br>KEK (Key encryption key) to wrap the MSK?<br>
<br><br>I hope this makes more sense.<br><br>Example NAS:<br><br>The following NAS actually allows you to configure an AES Key Wrap secret<br><a href="http://www.cisco.com/en/US/docs/wireless/controller/4.2/configuration/guide/c42sol.html#wp1236008">http://www.cisco.com/en/US/docs/wireless/controller/4.2/configuration/guide/c42sol.html#wp1236008</a><br>
<br>This document goes on to say that it works with "<span class="content">a key-wrap compliant RADIUS authentication server".<br>Is FreeRadius such </span><span class="content">a "key-wrap compliant RADIUS authentication server". </span><br>
<br>
<br><br><br><br></div>