Hi<div><br></div><div>I have installed freeradius recently with MySQL and tested  with success to authenticate VTY session en cisco routers and switches.</div><div><br></div><div>However, my configuration with EAP_TLS is not working properly.</div>

<div><br></div><div>I use a Cisco AP</div><div><br></div><div>I create and copy the certificates  to a Windows XP SP3 laptop to test if everything is OK, but in "freeradius -X" mode I got a lot of message and none give me the reason of the problem.</div>

<div><br></div><div>The AP says authentication failed and the Radius server sends the challenge an wait, and later clean all request an "becomes" ready to process requests.</div><div><br></div><div>here is a portion of the output of the radius activity</div>

<div><br>Its appears that certificates are accepted, but XP stations continue trying to authenticated <br><br>THANKS<br>  <br></div><div>=====================================<br>rad_recv: Access-Request packet from host 10.10.10.5 port 1645, id=16, length=176

<br>User-Name = "prueba1@mydomain"

<br>Framed-MTU = 1400

<br>Called-Station-Id = "a8b1.d422.d432"

<br>Calling-Station-Id = "0019.d20c.4ed4"

<br>Service-Type = Login-User

<br>Message-Authenticator = 0x7c4ac4a412db3b9cfba443de50792eed

<br>EAP-Message = 0x0202001b01707275656261314062616e636f706c617a612e636f6d

<br>NAS-Port-Type = Wireless-802.11

<br>NAS-Port = 19153

<br>NAS-Port-Id = "19153"

<br>NAS-IP-Address = 10.10.10.5

<br>NAS-Identifier = "AP_CISCO"

<br>+- entering group authorize {...}

<br>++[preprocess] returns ok

<br>++[chap] returns noop

<br>++[mschap] returns noop

<br>[suffix] Looking up realm "<a href="http://mydomain.com">mydomain.com</a>" for User-Name = "prueba1@mydomain"

<br>[suffix] No such realm "mydomain"

<br>++[suffix] returns noop

<br>[eap] EAP packet type response id 2 length 27

<br>[eap] No EAP Start, assuming it's an on-going EAP conversation

<br>++[eap] returns updated

<br>++[unix] returns notfound

<br>++[files] returns noop

<br>[sql] expand: %{User-Name} -> prueba1@mydomain

<br>[sql] sql_set_user escaped user --> 'prueba1@mydomain'

<br>rlm_sql (sql): Reserving sql socket id: 4

<br>[sql] expand: SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = 'prueba1@mydomain'           ORDER BY id

<br>[sql] expand: SELECT groupname           FROM radusergroup           WHERE username = '%{SQL-User-Name}'           ORDER BY priority -> SELECT groupname           FROM radusergroup           WHERE username = 'prueba1@mydomain'           ORDER BY priority

<br>[sql] expand: SELECT id, groupname, attribute,           Value, op           FROM radgroupcheck           WHERE groupname = '%{Sql-Group}'           ORDER BY id -> SELECT id, groupname, attribute,           Value, op           FROM radgroupcheck           WHERE groupname = 'TI'           ORDER BY id

<br>[sql] User found in group TI

<br>[sql] expand: SELECT id, groupname, attribute,           value, op           FROM radgroupreply           WHERE groupname = '%{Sql-Group}'           ORDER BY id -> SELECT id, groupname, attribute,           value, op           FROM radgroupreply           WHERE groupname = 'TI'           ORDER BY id

<br>rlm_sql (sql): Released sql socket id: 4

<br>++[sql] returns ok

<br>++[expiration] returns noop

<br>++[logintime] returns noop

<br>[pap] WARNING! No "known good" password found for the user.  Authentication may fail because of this.

<br>++[pap] returns noop

<br>Found Auth-Type = EAP

<br>+- entering group authenticate {...}

<br>[eap] EAP Identity

<br>[eap] processing type tls

<br>[tls] Initiate

<br>[tls] Start returned 1

<br>++[eap] returns handled

<br>Sending Access-Challenge of id 16 to 10.10.10.5 port 1645

<br>EAP-Message = 0x010300061920

<br>Message-Authenticator = 0x00000000000000000000000000000000

<br>State = 0x765770697654693c62d8b4b34c9394a6

<br>Finished request 0.

<br>Going to the next request

<br>.<br>.<br>++[sql] returns ok

<br>++[expiration] returns noop

<br>++[logintime] returns noop

<br>++[pap] returns noop

<br>Found Auth-Type = EAP

<br>+- entering group authenticate {...}

<br>[eap] Request found, released from the list

<br>[eap] EAP/tls

<br>[eap] processing type tls

<br>[tls] Authenticate

<br>[tls] processing EAP-TLS

<br>  TLS Length 70

<br>[tls] Length Included

<br>[tls] eaptls_verify returned 11 

<br>[tls]     (other): before/accept initialization 

<br>[tls]     TLS_accept: before/accept initialization 

<br>[tls] <<< TLS 1.0 Handshake [length 0041], ClientHello  

<br>[tls]     TLS_accept: SSLv3 read client hello A 

<br>[tls] >>> TLS 1.0 Handshake [length 002a], ServerHello  

<br>[tls]     TLS_accept: SSLv3 write server hello A 

<br>[tls] >>> TLS 1.0 Handshake [length 05c7], Certificate  

<br>[tls]     TLS_accept: SSLv3 write certificate A 

<br>[tls] >>> TLS 1.0 Handshake [length 0082], CertificateRequest  

<br>[tls]     TLS_accept: SSLv3 write certificate request A 

<br>[tls]     TLS_accept: SSLv3 flush data 

<br>[tls]     TLS_accept: Need to read more data: SSLv3 read client certificate A

<br>In SSL Handshake Phase 

<br>In SSL Accept mode  

<br>[tls] eaptls_process returned 13 

<br>++[eap] returns handled

<br>Sending Access-Challenge of id 18 to 10.10.10.5 port 1645

<br>.<br>.<br>.<br>[tls] --> verify return:1

<br>[tls]     TLS_accept: SSLv3 read client certificate A 

<br>[tls] <<< TLS 1.0 Handshake [length 0086], ClientKeyExchange  

<br>[tls]     TLS_accept: SSLv3 read client key exchange A 

<br>[tls] <<< TLS 1.0 Handshake [length 0086], CertificateVerify  

<br>[tls]     TLS_accept: SSLv3 read certificate verify A 

<br>[tls] <<< TLS 1.0 ChangeCipherSpec [length 0001]  

<br>[tls] <<< TLS 1.0 Handshake [length 0010], Finished  

<br>[tls]     TLS_accept: SSLv3 read finished A 

<br>[tls] >>> TLS 1.0 ChangeCipherSpec [length 0001]  

<br>[tls]     TLS_accept: SSLv3 write change cipher spec A 

<br>[tls] >>> TLS 1.0 Handshake [length 0010], Finished  

<br>[tls]     TLS_accept: SSLv3 write finished A 

<br>[tls]     TLS_accept: SSLv3 flush data 

<br>[tls]     (other): SSL negotiation finished successfully 

<br>SSL Connection Established 

<br>[tls] eaptls_process returned 13 

<br>++[eap] returns handled

<br>Sending Access-Challenge of id 20 to 10.10.10.5 port 1645

<br>EAP-Message = 0x010700900099090099099999010001011603010020164176d954d98c1d1daf5753815c720f6ef0f6e55dc05b2d682f44342e259e66

<br>Message-Authenticator = 0x00000000000000000000000000000000

<br>State = 0x7657706972507d3c62d8b4b34c9394a6

<br>Finished request 4.

<br>Going to the next request

<br>Waking up in 4.9 seconds.

<br>Cleaning up request 0 ID 16 with timestamp +7

<br>Cleaning up request 1 ID 17 with timestamp +7

<br>Cleaning up request 2 ID 18 with timestamp +7

<br>Cleaning up request 3 ID 19 with timestamp +7

<br>Cleaning up request 4 ID 20 with timestamp +7

<br>Ready to process requests.

<br>=====================================<br></div><div><br>-- <br><span style="font-family: arial,sans-serif; font-size: 13px; border-collapse: collapse;"><p style="margin: 0px;">

<b><span style="font-size: small;"><font color="#666666">Esteban Talavera</font></span></b><font color="#666666"><span style="font-size: small;"></span></font></p><p style="margin: 0px;">

<span style="border-collapse: separate; font-size: small;"><font color="#666666"><span style="border-collapse: collapse;"><b><br></b></span></font></span></p>

</span>

</div>