where would be the best place to deny those users?<div><br></div><div>we do not have alot of practice with freeradius, so</div><div>any help would be appreciated,</div><div><br></div><div><br></div><div>kind regards</div><div>
-euroreg<br><br><div class="gmail_quote">On Wed, Oct 7, 2009 at 3:03 PM, mr typo <span dir="ltr"><<a href="mailto:euroregistrar@gmail.com">euroregistrar@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
hey,<div><br></div><div>yes we are talking about eduroam and  after reading your post, it seems like that it is the best</div><div>to deny such users.</div><div><br></div><div>thanks alot</div><div><br></div><div>-euroreg</div>
<div><div></div><div class="h5">
<div><br><div class="gmail_quote">On Wed, Oct 7, 2009 at 2:44 PM, Stefan Winter <span dir="ltr"><<a href="mailto:stefan.winter@restena.lu" target="_blank">stefan.winter@restena.lu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hi,<br>
<div><br>
> problem is, that we are a university, so they are "our" people.<br>
> tousands of students and teachers. if we deny those users, our<br>
> helpdesk will get more work.<br>
> is there a way to remove the double entries or do i have to block those?<br>
<br>
</div>Any chance we are talking about eduroam? In this case: doing something<br>
locally to make it work for these users even with misconfigured devices<br>
is *not* going to do any good, and you will have helpdesk trouble as<br>
soon as your users roam.<br>
<br>
The rationale being straightforward: you "fix" your local realm<br>
stripping, misconfigured clients are happy on your campus. Then they go<br>
to other hotspots without your magic fixes, and roaming will break. At<br>
some point they come back and whine, and you have to negotiate with the<br>
remote side logs to figure their weird settings prevented them from<br>
roaming. Then you still have to re-config the devices.<br>
<br>
Not to mention that it damages the eduroam brand, since these people<br>
will believe "roaming doesn't work".<br>
<br>
Contrary to that, changing one setting once on those few(I guess - not<br>
everyone on your campus uses Nokia cell phones, do they?) misconfigured<br>
clients will fix the issue permanently and globally. I'm shepherding<br>
about 10000 end-users myself on an eduroam IdP setup, and a HOWTO for<br>
Symbian which highlights neuralgic parts seems to work for me (at least<br>
I don't drown in user requests, and still have time to read and write<br>
freeradius-users :-) ).<br>
<br>
Greetings,<br>
<br>
Stefan Winter<br>
<div><br>
><br>
> -euroreg<br>
><br>
> On Wed, Oct 7, 2009 at 1:50 PM, Alan Buxey <<a href="mailto:A.L.M.Buxey@lboro.ac.uk" target="_blank">A.L.M.Buxey@lboro.ac.uk</a><br>
</div><div>> <mailto:<a href="mailto:A.L.M.Buxey@lboro.ac.uk" target="_blank">A.L.M.Buxey@lboro.ac.uk</a>>> wrote:<br>
><br>
>     Hi,<br>
><br>
>     > we do have one realm configured <a href="http://domainname.com" target="_blank">domainname.com</a><br>
</div>>     <<a href="http://domainname.com" target="_blank">http://domainname.com</a>> which works perfectly. every<br>
<div>>     > user who wants to authenticate with a different realm is proxied<br>
>     to an<br>
>     > outside radius. server. the setup works fine.<br>
>     ><br>
>     > we do have some mobile devices who send something like:<br>
>     > <a href="mailto:username@company.com" target="_blank">username@company.com</a><br>
</div>>     <mailto:<a href="mailto:username@company.com" target="_blank">username@company.com</a>>@<a href="http://wlan.mnc003.mc" target="_blank">wlan.mnc003.mc</a> <<a href="http://wlan.mnc003.mc" target="_blank">http://wlan.mnc003.mc</a>><br>


>     > <a href="mailto:username@company.com" target="_blank">username@company.com</a> <mailto:<a href="mailto:username@company.com" target="_blank">username@company.com</a>>@Verisign...<br>
<div>><br>
>     as Stefan says - this looks suspiciously like Nokia Symbian clients.<br>
>     if the client hasnt been configured correctly it will send the CN<br>
>     of the certificate as the realm details...and other things - so<br>
>     you get<br>
>     that double realm issue... which might get to you via external proxy..<br>
>     or might not.<br>
><br>
>     reject if you see more than one @ - or, if these are your people,<br>
>     find them and fix their client. (in case of Nokia, its ensure that the<br>
>     realm is specified rather than left to default setting.<br>
><br>
>     alan<br>
>     -<br>
>     List info/subscribe/unsubscribe? See<br>
>     <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
><br>
><br>
</div>> ------------------------------------------------------------------------<br>
<div>><br>
> -<br>
> List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
<br>
<br>
</div><div>--<br>
Stefan WINTER<br>
Ingenieur de Recherche<br>
Fondation RESTENA - Réseau Téléinformatique de l'Education Nationale et de la Recherche<br>
6, rue Richard Coudenhove-Kalergi<br>
L-1359 Luxembourg<br>
<br>
Tel: +352 424409 1<br>
Fax: +352 422473<br>
<br>
-<br>
</div><div><div></div><div>List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div>