
<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">


<head>

<meta http-equiv=Content-Type content="text/html; charset=us-ascii">

<meta name=Generator content="Microsoft Word 11 (filtered medium)">

<style>

<!--

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman";}

a:link, span.MsoHyperlink

        {color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:Arial;

        color:windowtext;}

@page Section1

        {size:8.5in 11.0in;

        margin:1.0in 1.25in 1.0in 1.25in;}

div.Section1

        {page:Section1;}

-->

</style>


</head>


<body lang=EN-US link=blue vlink=purple>


<div class=Section1>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>I haven’t had much sleep the past few days and just

wanted another set of eyes on an issue I’m having.  Also, I won’t

be able to do more testing until tomorrow (user/equip. unavailable) and wanted

to try to fix it before then.  <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>I’m running FR 2.1.6 with patches to rlm_mschap &

rlm_eap_mschapv2 to correct a problem with case-sensitive userids.  Anyway,

the patch was working great for user auth. and failing for machine auth.  I

used some unlang to get around the issue.  I haven’t done a lot with

unlang (and yes I read the man page), so I may be missing something simple. 

I’m doing 802.1x authentication from Windows supplicant with

PEAP/MS-CHAPv2.  Here’s the authenticate section of my inner-tunnel

server:<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>  authenticate {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>        Auth-Type PAP {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>               

pap<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>        }<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>        Auth-Type CHAP {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>               

chap<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>        }<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>        Auth-Type MS-CHAP

{<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>               

if (User-Name =~ /host\/(.*)\.energyeast\.net/i) {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>                       

update request {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>                               

Ntlm-Auth-Username = "%{1}$"<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>                       

}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>                       

updated<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>               

}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>               

else {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>                       

update request {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>                               

Ntlm-Auth-Username = "%{User-Name}"<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>                       

}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>              

         updated<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>               

}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>               

mschap-inner<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>        }<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>        Auth-Type LDAP {<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>               

ldap<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>        }<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>        eap-internal<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>        eap-comodo<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>  }<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>First, if I didn’t include “updated” after

the “update request” actions, then it would return reject.  Is

that normal (I didn’t call a module in there)?  Should the unlang be

outside of the “Auth-Type MS-CHAP” block?  Also, Ntlm-Auth-Username

is expanded, there’s a “[request] returns reject”.  I

think this is the source of the problem, but I don’t understand where the

reject is coming from.  The mschap module that follows returns OK, but the

subsequent eap-comodo module returns reject with no explanation in the debug.  Do

I need something like:<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal style='text-indent:.5in'><font size=2 face=Arial><span

style='font-size:10.0pt;font-family:Arial'>eap-comodo {<o:p></o:p></span></font></p>


<p class=MsoNormal style='text-indent:.5in'><font size=2 face=Arial><span

style='font-size:10.0pt;font-family:Arial'>            ok

= return<o:p></o:p></span></font></p>


<p class=MsoNormal style='text-indent:.5in'><font size=2 face=Arial><span

style='font-size:10.0pt;font-family:Arial'>}<o:p></o:p></span></font></p>


<p class=MsoNormal style='text-indent:.5in'><font size=2 face=Arial><span

style='font-size:10.0pt;font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Here’s the relevant debug output:<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: Found Auth-Type =

eap-comodo<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: +- entering group

authenticate {...}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [eap-comodo] Request found,

released from the list<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [eap-comodo] EAP/mschapv2<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [eap-comodo] processing

type mschapv2<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschapv2] +- entering

group MS-CHAP {...}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschapv2] ++? if

(User-Name =~ /host\/(.*)\.energyeast\.net/i)<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschapv2] ? Evaluating

(User-Name =~ /host\/(.*)\.energyeast\.net/i) -> TRUE<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschapv2] ++? if

(User-Name =~ /host\/(.*)\.energyeast\.net/i) -> TRUE<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschapv2] ++- entering if

(User-Name =~ /host\/(.*)\.energyeast\.net/i) {...}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info:

[mschapv2]     expand: %{1}$ -> US62695C$<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschapv2] +++[request]

returns reject<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: +++[updated] returns

updated<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: ++- if (User-Name =~

/host\/(.*)\.energyeast\.net/i) returns updated<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: ++ ... skipping else for

request 124: Preceding "if" was taken<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschap-inner] No

Cleartext-Password configured.  Cannot create LM-Password.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschap-inner] No

Cleartext-Password configured.  Cannot create NT-Password.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschap-inner]  

Using MS-CHAP Response Name (host/US62695C.energyeast.net) to construct

MS-CHAPv1 challenge<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschap-inner] rlm_mschap:

mschap_authenticate: Creating challenge hash with username:

host/US62695C.energyeast.net<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschap-inner] Told to do

MS-CHAPv2 for host/US62695C.energyeast.net with NT-Password<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschap-inner] No trailing

:- after variable at %{Ntlm-Auth-UserName:-None}}<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschap-inner] WARNING:

Deprecated conditional expansion ":-".  See "man

unlang" for details<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info:

[mschap-inner]         expand:

--username=%{%{Ntlm-Auth-UserName:-None}} -> --username=US62695C$<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschap-inner] 

mschap2: d1<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschap-inner]  

Using MS-CHAP Response Name (host/US62695C.energyeast.net) to construct MS-CHAPv1

challenge<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschap-inner] rlm_mschap:

mschap_xlat: Creating challenge hash with username:

host/US62695C.energyeast.net<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info:

[mschap-inner]         expand:

--challenge=%{mschap:Challenge:-00} -> --challenge=943b358133b5bcac<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info:

[mschap-inner]         expand:

--nt-response=%{mschap:NT-Response:-00} ->

--nt-response=121180cc778e59746acb8c12aa6bb9ab7ab2099604c750eb<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Debug: Exec-Program output:

NT_KEY: 8E774D7FDDFC8300DF50499B30DA1CAF<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Debug: Exec-Program-Wait:

plaintext: NT_KEY: 8E774D7FDDFC8300DF50499B30DA1CAF<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Debug: Exec-Program: returned: 0<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [mschap-inner] adding

MS-CHAPv2 MPPE keys<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: ++[mschap-inner] returns ok<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: [eap-comodo] Freeing

handler<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: ++[eap-comodo] returns

reject<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Info: Failed to authenticate the

user.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Tue Aug 18 15:41:15 2009 : Auth: Login incorrect:

[host/US62695C.energyeast.net] (from client eedmz02app08 port 2648774147 cli

00009de11603 via TLS tunnel)<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>} # server inner-tunnel<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>Thank you for your time and assistance..<o:p></o:p></span></font></p>


</div>


</body>


</html>