<div dir="ltr">Fantastic!<div><br></div><div>Thanks so much. unlang looks pretty interesting. Ill need to do more reading. Is there a book coming out on freeradius 2 soon? I've gotten alot of good info from the oreilly freeradius 1 book.</div>
<div><br></div><div>Thanks!</div><div>Liz</div><div><br><br><div class="gmail_quote">On Sun, Oct 19, 2008 at 11:17 AM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com">aland@deployingradius.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="Ih2E3d">Elizabeth Steinke wrote:<br>
> I tested this rule with radtest (Making the necessary modifications  and<br>
> it worked fine.<br>
><br>
> DEFAULT Huntgroup-Name = "vpn-pix",Ldap-Group = "CN=somevpn...",<br>
> Auth-Type := ntlm_auth_plaintext<br>
> DEFAULT Huntgroup-Name = "vpn-pix",Ldap-Group != "CN=somevpn...",<br>
> Auth-Type := Reject<br>
<br>
</div>  Then it's fine.<br>
<div class="Ih2E3d"><br>
> Is it a good idea to force the auth-type in the users file? is there a<br>
> cleaner way to do this?<br>
<br>
</div>  If it works... it's fine.<br>
<br>
  The big rants about not forcing Auth-Type are because of the people<br>
who force it without understanding the consequences... and then complain<br>
when it doesn't work.<br>
<div class="Ih2E3d"><br>
> While rewriting the rules file I am pairing accept and denies as above.<br>
> Is that necessary or will it turn out to be horribly inefficient?<br>
<br>
</div>  It's good practice.  But doing all of those LDAP-Group queries can get<br>
expensive.  i.e. you're doing *two* queries instead of one.<br>
<br>
  You could fix this with "unlang":<br>
<br>
        if (Huntgroup-Name == "vpn-pix") {<br>
                if (LDAP-Group == ...) {<br>
                        update control {<br>
<div class="Ih2E3d">                                Auth-Type := ntlm_auth_plaintext<br>
                        }<br>
                }<br>
</div>                else {<br>
                        reject<br>
                }<br>
<br>
        }<br>
<br>
  Only one LDAP-Group check is more efficient.<br>
<font color="#888888"><br>
  Alan DeKok.<br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</font></blockquote></div><br></div></div>