<br><br>
<div class="gmail_quote">On Mon, Sep 20, 2010 at 6:46 AM, Sander van Loosbroek <span dir="ltr"><<a href="mailto:sander@vanloosbroek.com">sander@vanloosbroek.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Hello,<br><br>I have successfully set up Freeradius that comes with Mac OS X Server 10.6 to authenticate WebVPN users on a Cisco IOS router. Now I'm trying to parse the webvpn:user-vpn-group attribute to the Cisco so I can set up different WebVPN policies. I run into 2 problems:<br>
<br>1) There doesn't seem to be a dictionary for Cisco's Webvpn. There are some for the VPN concentrator series but this are not compatible with Cisco's IOS. Does that mean I have to build my own? The attribute value-pairs are listed here: <a href="http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6657/prod_white_paper0900aecd8051ac3a.html" target="_blank">http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6657/prod_white_paper0900aecd8051ac3a.html</a><br>
<br></blockquote>
<div> </div>
<div>If you look at: <a href="http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6657/prod_white_paper0900aecd80512065.html">http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6657/prod_white_paper0900aecd80512065.html</a></div>

<div> </div>
<div>Looks like it's a standard Cisco AV Pair so:</div>
<div> </div>
<div>        Cisco-AVPair = "webvpn:user-vpn-group=vpn1"</div>
<div> </div>
<div>Should be what you need to set.</div>
<div> </div>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">2) I can't find out how to connect the group name value from OpenDirectory to an attribute. The rlm_opendirectory module does check for a group (to see if it's allowed to use the Radius service) but it's unclear to me how to grab that value and use it as an attribute.<br>
</blockquote>
<div> </div>
<div>OpenDirectory is just a standard LDAP directory.  If you follow my previous post: <a href="https://lists.freeradius.org/pipermail/freeradius-users/2010-September/msg00393.html">https://lists.freeradius.org/pipermail/freeradius-users/2010-September/msg00393.html</a></div>

<div>Then using a local users file to restrict access based on group membership should work fine.  You probably won't need to use Huntgroups depending on how grainular you need to go, so you could use the preprocess to have the local huntgroups file used too.</div>

<div> </div>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid"><br>Any thoughts are appreciated.<br><br>Regards,<br>Sander<br>-<br>List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</blockquote></div><br>