Hi<div><br></div><div>I have installed freeradius recently with MySQL and tested  with success to authenticate VTY session en cisco routers and switches.</div><div><br></div><div>However, my configuration with EAP_TLS is not working properly.</div>

<div><br></div><div>I use a Cisco AP</div><div><br></div><div>I create and copy the certificates  to a Windows XP SP3 laptop to test if everything is OK, but in "freeradius -X" mode I got a lot of message and none give me the reason of the problem.</div>

<div><br></div><div>The AP says authentication failed and the Radius server sends the challenge an wait, and later clean all request an "becomes" ready to process requests.</div><div><br></div><div>here is a portion of the output of the radius activity</div>

<div><br>Its appears that certificates are accepted, but XP stations continue trying to authenticated <br><br>THANKS<br>  <br></div><div>=====================================<br>rad_recv: Access-Request packet from host 10.10.10.5 port 1645, id=16, length=176
<br>User-Name = "prueba1@mydomain"
<br>Framed-MTU = 1400
<br>Called-Station-Id = "a8b1.d422.d432"
<br>Calling-Station-Id = "0019.d20c.4ed4"
<br>Service-Type = Login-User
<br>Message-Authenticator = 0x7c4ac4a412db3b9cfba443de50792eed
<br>EAP-Message = 0x0202001b01707275656261314062616e636f706c617a612e636f6d
<br>NAS-Port-Type = Wireless-802.11
<br>NAS-Port = 19153
<br>NAS-Port-Id = "19153"
<br>NAS-IP-Address = 10.10.10.5
<br>NAS-Identifier = "AP_CISCO"
<br>+- entering group authorize {...}
<br>++[preprocess] returns ok
<br>++[chap] returns noop
<br>++[mschap] returns noop
<br>[suffix] Looking up realm "<a href="http://mydomain.com">mydomain.com</a>" for User-Name = "prueba1@mydomain"
<br>[suffix] No such realm "mydomain"
<br>++[suffix] returns noop
<br>[eap] EAP packet type response id 2 length 27
<br>[eap] No EAP Start, assuming it's an on-going EAP conversation
<br>++[eap] returns updated
<br>++[unix] returns notfound
<br>++[files] returns noop
<br>[sql] expand: %{User-Name} -> prueba1@mydomain
<br>[sql] sql_set_user escaped user --> 'prueba1@mydomain'
<br>rlm_sql (sql): Reserving sql socket id: 4
<br>[sql] expand: SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = 'prueba1@mydomain'           ORDER BY id
<br>[sql] expand: SELECT groupname           FROM radusergroup           WHERE username = '%{SQL-User-Name}'           ORDER BY priority -> SELECT groupname           FROM radusergroup           WHERE username = 'prueba1@mydomain'           ORDER BY priority
<br>[sql] expand: SELECT id, groupname, attribute,           Value, op           FROM radgroupcheck           WHERE groupname = '%{Sql-Group}'           ORDER BY id -> SELECT id, groupname, attribute,           Value, op           FROM radgroupcheck           WHERE groupname = 'TI'           ORDER BY id
<br>[sql] User found in group TI
<br>[sql] expand: SELECT id, groupname, attribute,           value, op           FROM radgroupreply           WHERE groupname = '%{Sql-Group}'           ORDER BY id -> SELECT id, groupname, attribute,           value, op           FROM radgroupreply           WHERE groupname = 'TI'           ORDER BY id
<br>rlm_sql (sql): Released sql socket id: 4
<br>++[sql] returns ok
<br>++[expiration] returns noop
<br>++[logintime] returns noop
<br>[pap] WARNING! No "known good" password found for the user.  Authentication may fail because of this.
<br>++[pap] returns noop
<br>Found Auth-Type = EAP
<br>+- entering group authenticate {...}
<br>[eap] EAP Identity
<br>[eap] processing type tls
<br>[tls] Initiate
<br>[tls] Start returned 1
<br>++[eap] returns handled
<br>Sending Access-Challenge of id 16 to 10.10.10.5 port 1645
<br>EAP-Message = 0x010300061920
<br>Message-Authenticator = 0x00000000000000000000000000000000
<br>State = 0x765770697654693c62d8b4b34c9394a6
<br>Finished request 0.
<br>Going to the next request
<br>.<br>.<br>++[sql] returns ok
<br>++[expiration] returns noop
<br>++[logintime] returns noop
<br>++[pap] returns noop
<br>Found Auth-Type = EAP
<br>+- entering group authenticate {...}
<br>[eap] Request found, released from the list
<br>[eap] EAP/tls
<br>[eap] processing type tls
<br>[tls] Authenticate
<br>[tls] processing EAP-TLS
<br>  TLS Length 70
<br>[tls] Length Included
<br>[tls] eaptls_verify returned 11 
<br>[tls]     (other): before/accept initialization 
<br>[tls]     TLS_accept: before/accept initialization 
<br>[tls] <<< TLS 1.0 Handshake [length 0041], ClientHello  
<br>[tls]     TLS_accept: SSLv3 read client hello A 
<br>[tls] >>> TLS 1.0 Handshake [length 002a], ServerHello  
<br>[tls]     TLS_accept: SSLv3 write server hello A 
<br>[tls] >>> TLS 1.0 Handshake [length 05c7], Certificate  
<br>[tls]     TLS_accept: SSLv3 write certificate A 
<br>[tls] >>> TLS 1.0 Handshake [length 0082], CertificateRequest  
<br>[tls]     TLS_accept: SSLv3 write certificate request A 
<br>[tls]     TLS_accept: SSLv3 flush data 
<br>[tls]     TLS_accept: Need to read more data: SSLv3 read client certificate A
<br>In SSL Handshake Phase 
<br>In SSL Accept mode  
<br>[tls] eaptls_process returned 13 
<br>++[eap] returns handled
<br>Sending Access-Challenge of id 18 to 10.10.10.5 port 1645
<br>.<br>.<br>.<br>[tls] --> verify return:1
<br>[tls]     TLS_accept: SSLv3 read client certificate A 
<br>[tls] <<< TLS 1.0 Handshake [length 0086], ClientKeyExchange  
<br>[tls]     TLS_accept: SSLv3 read client key exchange A 
<br>[tls] <<< TLS 1.0 Handshake [length 0086], CertificateVerify  
<br>[tls]     TLS_accept: SSLv3 read certificate verify A 
<br>[tls] <<< TLS 1.0 ChangeCipherSpec [length 0001]  
<br>[tls] <<< TLS 1.0 Handshake [length 0010], Finished  
<br>[tls]     TLS_accept: SSLv3 read finished A 
<br>[tls] >>> TLS 1.0 ChangeCipherSpec [length 0001]  
<br>[tls]     TLS_accept: SSLv3 write change cipher spec A 
<br>[tls] >>> TLS 1.0 Handshake [length 0010], Finished  
<br>[tls]     TLS_accept: SSLv3 write finished A 
<br>[tls]     TLS_accept: SSLv3 flush data 
<br>[tls]     (other): SSL negotiation finished successfully 
<br>SSL Connection Established 
<br>[tls] eaptls_process returned 13 
<br>++[eap] returns handled
<br>Sending Access-Challenge of id 20 to 10.10.10.5 port 1645
<br>EAP-Message = 0x010700900099090099099999010001011603010020164176d954d98c1d1daf5753815c720f6ef0f6e55dc05b2d682f44342e259e66
<br>Message-Authenticator = 0x00000000000000000000000000000000
<br>State = 0x7657706972507d3c62d8b4b34c9394a6
<br>Finished request 4.
<br>Going to the next request
<br>Waking up in 4.9 seconds.
<br>Cleaning up request 0 ID 16 with timestamp +7
<br>Cleaning up request 1 ID 17 with timestamp +7
<br>Cleaning up request 2 ID 18 with timestamp +7
<br>Cleaning up request 3 ID 19 with timestamp +7
<br>Cleaning up request 4 ID 20 with timestamp +7
<br>Ready to process requests.
<br>=====================================<br></div><div><br>-- <br><span style="font-family: arial,sans-serif; font-size: 13px; border-collapse: collapse;"><p style="margin: 0px;">
<b><span style="font-size: small;"><font color="#666666">Esteban Talavera</font></span></b><font color="#666666"><span style="font-size: small;"></span></font></p><p style="margin: 0px;">

<span style="border-collapse: separate; font-size: small;"><font color="#666666"><span style="border-collapse: collapse;"><b><br></b></span></font></span></p>
</span>
</div>