<div dir="ltr">Dear Thor and Ivan,<br>         Thanks for your support. I would like to notice that I have the same configuration in a server that has freeradius-1.1.7-1 installed and it is working fine. I want to upgrade. That is why I am testing freeradius-2.1.6-2. I want to ask is there is any difference between 1.1.7-1 and 2.1.6-2 configuration files that I should put it in my consideration?<br>
<br><br>Thor,<br>I don't have the same output in the debug mode. I have what you can see below:<br><br><br>++[ldap] returns ok<br>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>!!!    Replacing User-Password in config items with Cleartext-Password.     !!!<br>
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>!!! Please update your configuration so that the "known good"               !!!<br>!!! clear text password is in Cleartext-Password, and not in User-Password. !!!<br>
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>+- entering group PAP {...}<br>[pap] login attempt with password "password"<br>[pap] Using clear text password "$5@Hfgusllj%$#kasjs"<br>
[pap] Passwords don't match<br>++[pap] returns reject<br>Failed to authenticate the user.<br>Using Post-Auth-Type Reject<br>+- entering group REJECT {...}<br>[attr_filter.access_reject]     expand: %{User-Name} -> username<br>
 attr_filter: Matched entry DEFAULT at line 11<br>++[attr_filter.access_reject] returns updated<br><br>Dear Ivan and Thor,<br><br>As you can see the problem that I am sending a clear text password and the radius doesn't convert it to encrypted one. I want  my radius to take a clear <br>
text password and encrypt it then compare it with the encrypted one in my ldap. Please let me know if I should clarify more or if you need more info.<br><br>Thanks again for your support.<br>Regards,<br><br><br><br><div class="gmail_quote">
On Thu, Sep 24, 2009 at 3:05 PM, Thor Spruyt <span dir="ltr"><<a href="mailto:thor.spruyt@telenet.be">thor.spruyt@telenet.be</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hi,<br>
<br>
I tried to get this working also and I found that if you let the ldap module *not* check the password_header, then the password incl. the header is put in the User-Password attribute.<br>
If you then use auto_header = yes for the pap module, it should figure out automatically to do crypt... unless the uppercase CRYPT is causing issues...<br>
<br>
Here's some sample debug output to check your setup:<br>
[ldap] Password header not found in password {crypt}XXXXXXXXXXX for user test<br>
[ldap] Added User-Password = {crypt}XXXXXXXXXXX in check items<br>
[ldap] looking for check items in directory...<br>
[ldap] looking for reply items in directory...<br>
[ldap] user test authorized to use remote access<br>
rlm_ldap: ldap_release_conn: Release Id: 0<br>
+++[ldap] returns ok<br>
++- group  returns ok<br>
++[pap] returns updated<br>
Found Auth-Type = PAP<br>
+- entering group PAP {...}<br>
[pap] login attempt with password "xxxx"<br>
[pap] Using CRYPT encryption.<br>
[pap] User authenticated successfully<br>
++[pap] returns ok<br>
<br>
<br>
Regards,<br>
Thor.<br>
<br>
<br>
>----- Oorspronkelijk bericht -----<br>
>Van<br>
: wessam seleem [mailto:<a href="mailto:wessam.seleem@gmail.com">wessam.seleem@gmail.com</a>]<br>
>Verzonden<br>
: donderdag<br>
, september<br>
 24, 2009 02:16 PM<br>
>Aan<br>
: <a href="mailto:tnt@kalik.net">tnt@kalik.net</a>, 'FreeRadius users mailing list'<br>
>Onderwerp<br>
: Re: "known good" error<br>
><br>
>Thanks Ivan for your reply. Here is the ldap configuration section:<br>
><br>
>ldap {<br>
>server = "x.x.x.x"<br>
>identity = "cn=username"<br>
>password = password<br>
>basedn = "ou=email,o=data,c=eg"<br>
>filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"<br>
>password_header = "{CRYPT}"<br>
>ldap_connections_number = 100<br>
>timeout = 15<br>
>timelimit = 10<br>
>net_timeout = 5<br>
><br>
>tls {<br>
>start_tls = no<br>
>}<br>
><br>
>profile_attribute = "radiusProfileDn"<br>
>         access_attr = "dialupAccess"<br>
>dictionary_mapping = ${confdir}/ldap.attrmap<br>
>password_attribute = radiususerPassword<br>
>}<br>
><br>
><br>
><br>
>and here is the debug message<br>
><br>
><br>
>++[ldap] returns ok<br>
>Found Auth-Type = PAP<br>
>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>
>!!!    Replacing User-Password in config items with Cleartext-Password.<br>
>!!!<br>
>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>
>!!! Please update your configuration so that the "known good"<br>
>!!!<br>
>!!! clear text password is in Cleartext-Password, and not in User-Password.<br>
>!!!<br>
>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>
>+- entering group PAP {...}<br>
>[pap] login attempt with password "123456"<br>
>[pap] Using clear text password "&^%$%$%JGjgjg(&%%^njahjahs"<br>
>[pap] Passwords don't match<br>
>++[pap] returns reject<br>
>Failed to authenticate the user.<br>
>Using Post-Auth-Type Reject<br>
>+- entering group REJECT {...}<br>
>[attr_filter.access_reject]     expand: %{User-Name} -> username<br>
> attr_filter: Matched entry DEFAULT at line 11<br>
>++[attr_filter.access_reject] returns updated<br>
>Delaying reject of request 0 for 1 seconds<br>
>Going to the next request<br>
>Waking up in 0.9 seconds.<br>
>Sending delayed reject for request 0<br>
><br>
><br>
><br>
>Thanks for your support.<br>
>Wessam<br>
><br>
><br>
>On Thu, Sep 24, 2009 at 1:37 PM, Ivan Kalik <<a href="mailto:tnt@kalik.net">tnt@kalik.net</a>> wrote:<br>
><br>
>> >    I decided to install free radius 2.1.6-2 to test it and then to<br>
>> upgrade<br>
>> > my existing versions in my servers. I configured my free radius to use<br>
>> > ldap.<br>
>> > When I tried to authenticate from the new radius it gave me the following<br>
>> > message "from radius -X".<br>
>> ><br>
>> >  Replacing User-Password in config items with Cleartext-Password.     !!!<br>
>> ><br>
>> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>
>> > !!! Please update your configuration so that the "known good"<br>
>> > !!!<br>
>> > !!! clear text password is in Cleartext-Password, and not in<br>
>> > User-Password.<br>
>> > !!!<br>
>> ><br>
>> ><br>
>> > Note that when I wrote the password encrypted  "like<br>
>> > *%@&ksjd%@sdgsadgjhsb"<br>
>> > I was able to login but when I wrote the password in clear text  "like<br>
>> > test"<br>
>> > I failed to login.<br>
>><br>
>> Password in ldap probably has a header. You can ignore the message then,<br>
>> because server will convert User-Password to appropriate password<br>
>> attribute on it's own (Crypt-Password for {crypt}, SHA-Password for {sha}<br>
>> etc.) if auto-header is enabled. Post the whole debug.<br>
>><br>
>> Ivan Kalik<br>
>> Kalik Informatika ISP<br>
>><br>
>> -<br>
>> List info/subscribe/unsubscribe? See<br>
>> <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
>><br>
><br>
<br>
<br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</blockquote></div><br></div>