
<div dir="ltr">Fantastic!<div><br></div><div>Thanks so much. unlang looks pretty interesting. Ill need to do more reading. Is there a book coming out on freeradius 2 soon? I've gotten alot of good info from the oreilly freeradius 1 book.</div>

<div><br></div><div>Thanks!</div><div>Liz</div><div><br><br><div class="gmail_quote">On Sun, Oct 19, 2008 at 11:17 AM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com">aland@deployingradius.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="Ih2E3d">Elizabeth Steinke wrote:<br>

> I tested this rule with radtest (Making the necessary modifications  and<br>

> it worked fine.<br>

><br>

> DEFAULT Huntgroup-Name = "vpn-pix",Ldap-Group = "CN=somevpn...",<br>

> Auth-Type := ntlm_auth_plaintext<br>

> DEFAULT Huntgroup-Name = "vpn-pix",Ldap-Group != "CN=somevpn...",<br>

> Auth-Type := Reject<br>

<br>

</div>  Then it's fine.<br>

<div class="Ih2E3d"><br>

> Is it a good idea to force the auth-type in the users file? is there a<br>

> cleaner way to do this?<br>

<br>

</div>  If it works... it's fine.<br>

<br>

  The big rants about not forcing Auth-Type are because of the people<br>

who force it without understanding the consequences... and then complain<br>

when it doesn't work.<br>

<div class="Ih2E3d"><br>

> While rewriting the rules file I am pairing accept and denies as above.<br>

> Is that necessary or will it turn out to be horribly inefficient?<br>

<br>

</div>  It's good practice.  But doing all of those LDAP-Group queries can get<br>

expensive.  i.e. you're doing *two* queries instead of one.<br>

<br>

  You could fix this with "unlang":<br>

<br>

        if (Huntgroup-Name == "vpn-pix") {<br>

                if (LDAP-Group == ...) {<br>

                        update control {<br>

<div class="Ih2E3d">                                Auth-Type := ntlm_auth_plaintext<br>

                        }<br>

                }<br>

</div>                else {<br>

                        reject<br>

                }<br>

<br>

        }<br>

<br>

  Only one LDAP-Group check is more efficient.<br>

<font color="#888888"><br>

  Alan DeKok.<br>

-<br>

List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>

</font></blockquote></div><br></div></div>