
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">

<HTML>

<HEAD>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">

<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7226.0">

<TITLE>Re: Freeradius 2.1.5 and LDAP+EAP-TLS problem.</TITLE>

</HEAD>

<BODY>

<!-- Converted from text/plain format -->


<P><FONT SIZE=2>Hi,<BR>

<BR>

I read that, but what if user not found in ldap? Radius seems to need<BR>

some auth-type. How i can force auth-type using ldap?<BR>

<BR>

My radius gives this message -> "No authenticate method (Auth-Type)<BR>

configuration found for the request: Rejecting the user"<BR>

<BR>

Here is some other logs if i use only ldap for authorize section:<BR>

<BR>

rad_recv: Access-Request packet from host 10.10.1.100 port 1024, id=198, length=224<BR>

        Framed-MTU = 1466<BR>

        NAS-IP-Address = 10.10.1.100<BR>

        NAS-Identifier = "8021x"<BR>

        User-Name = "lnx01.demo.local"<BR>

        Service-Type = Framed-User<BR>

        Framed-Protocol = PPP<BR>

        NAS-Port = 37<BR>

        NAS-Port-Type = Ethernet<BR>

        NAS-Port-Id = "37"<BR>

        Called-Station-Id = "00-16-b9-55-48-c0"<BR>

        Calling-Station-Id = "00-e0-00-1c-1e-c1"<BR>

        Connect-Info = "CONNECT Ethernet 100Mbps Full duplex"<BR>

        Tunnel-Type:0 = VLAN<BR>

        Tunnel-Medium-Type:0 = IEEE-802<BR>

        Tunnel-Private-Group-Id:0 = "1"<BR>

        EAP-Message = 0x02330016017375736530312e64656d6f2e6c6f63616c<BR>

        Message-Authenticator = 0x5c313918e00d0d385d435e3194c284ed<BR>

+- entering group authorize {...}<BR>

++[preprocess] returns ok<BR>

[suffix] No '@' in User-Name = "lnx01.demo.local", looking up realm NULL<BR>

[suffix] No such realm "NULL"<BR>

++[suffix] returns noop<BR>

[files] users: Matched entry DEFAULT at line 190<BR>

++[files] returns ok<BR>

[ldap] performing user authorization for lnx01.demo.local<BR>

[ldap]  expand: (cn=%u) -> (cn=lnx01.demo.local)<BR>

[ldap]  expand: ou=8021x,dc=demo,dc=local -> ou=8021x,dc=demo,dc=local<BR>

rlm_ldap: ldap_get_conn: Checking Id: 0<BR>

rlm_ldap: ldap_get_conn: Got Id: 0<BR>

rlm_ldap: attempting LDAP reconnection<BR>

rlm_ldap: (re)connect to 10.10.101.31:389, authentication 0<BR>

rlm_ldap: setting TLS CACert Directory to /path/to/ca/dir/<BR>

rlm_ldap: bind as cn=Directory Manager/ to 10.10.101.31:389<BR>

rlm_ldap: waiting for bind result ...<BR>

request done: ld 0x9ba2480 msgid 1<BR>

rlm_ldap: Bind was successful<BR>

rlm_ldap: performing search in ou=8021x,dc=demo,dc=local, with filter (cn=lnx01.demo.local)<BR>

request done: ld 0x9ba2480 msgid 2<BR>

[ldap] looking for check items in directory...<BR>

[ldap] looking for reply items in directory...<BR>

WARNING: No "known good" password was found in LDAP.  Are you sure that the user is configured correctly?<BR>

[ldap] user suse01.demo.local authorized to use remote access<BR>

rlm_ldap: ldap_release_conn: Release Id: 0<BR>

++[ldap] returns ok<BR>

++[expiration] returns noop<BR>

++[logintime] returns noop<BR>

No authenticate method (Auth-Type) configuration found for the request: Rejecting the user<BR>

Failed to authenticate the user.<BR>

Login incorrect: [suse01.demo.local/<no User-Password attribute>] (from client 8021x port 37 cli 00-e0-00-1c-1e-c1)<BR>

Using Post-Auth-Type Reject<BR>

+- entering group REJECT {...}<BR>

[attr_filter.access_reject]     expand: %{User-Name} -> suse01.demo.local<BR>

 attr_filter: Matched entry DEFAULT at line 11<BR>

++[attr_filter.access_reject] returns updated<BR>

Delaying reject of request 0 for 1 seconds<BR>

Going to the next request<BR>

Waking up in 0.9 seconds.<BR>

Sending delayed reject for request 0<BR>

Sending Access-Reject of id 198 to 10.10.1.100 port 1024<BR>

Waking up in 4.9 seconds.<BR>

Cleaning up request 0 ID 198 with timestamp +6<BR>

Ready to process requests.<BR>

<BR>

Br,<BR>

<BR>

Ville<BR>

<BR>

>We have openldap which includes our machine accounts. We<BR>

>have also computer certificates. Now what i want to do that freeradius,<BR>

>checks authorization against ldap and authenticate against certificates.<BR>

><BR>

>I have tested to put ldap to authorization section and eap to authentication<BR>

>section, but this wont work. I have also tested to put both ldap and eap to<BR>

>authorization section, but ldap wont return reject if user's noot found.<BR>

><BR>

>Is there any method to return reject for authorization section if user not<BR>

>found in ldap and stop processing there? Or is there any other method to do this?<BR>

><BR>

<BR>

>Read doc/rlm_ldap about access_attr.<BR>

<BR>

>Ivan Kalik<BR>

>Kalik Informatika ISP<BR>

</FONT>

</P>


</BODY>

</HTML>