
Sander<br><br>I can't see why multiple groups wouldn't work, since that is how we do it:<br><br>This is what we have in our users file:<br><br>DEFAULT Huntgroup-Name == CiscoRTR, Ldap-Group == "cn=Administrator,ou=CiscoRTR,ou=Applications,o=Identities"<br>

        Service-Type = "NAS-Prompt-User",<br>        Idle-Timeout = 600,<br>        Cisco-AVPair = "shell:priv-lvl=15"<br>#<br>DEFAULT Huntgroup-Name == CiscoRTR, Ldap-Group == "cn=Basic,ou=CiscoRTR,ou=Applications,o=Identities"<br>

        Service-Type = "NAS-Prompt-User",<br>        Idle-Timeout = 600,<br>        Cisco-AVPair = "shell:priv-lvl=7"<br><br>You just need to repeat for the group level access you want, and set the reply attributes relevant for that group.<br>

<br>And then you order the groups in the level of access you want to use, since it will drop out of the users fine once it hits the first successful match.  Unless you also add Fall-Through

 = yes as well: <a href="http://wiki.freeradius.org/Users">http://wiki.freeradius.org/Users</a> But that would make no sense in this case as you just want to set one group value, if you wanted to set multiple VSA's based on multiple groups, you would need to set Fall-Through = yes on each record, since the default behavour is Fall-Through=No.<br>

<br>That config below is just wrong to manage your users.<br><br><div class="gmail_quote">On Mon, Sep 27, 2010 at 11:37 AM, Sander van Loosbroek <span dir="ltr"><<a href="mailto:sander@vanloosbroek.com">sander@vanloosbroek.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Just wanted to let you all know that I got it working with your instructions. In the end I realized that there were multiple groups associated with each user and that such a lookup wasn't gonna work anyway. I created single user entries like this in the users file:<br>


<br>

user1                   Cleartext-Password := "userpassword"<br>

<div class="im">                                Service-Type = NAS-Prompt-User,<br>

</div>                                cisco-avpair = "webvpn:user-vpn-group=management"<br>

<br>

The user has to be active in the OpenDirectory as well for this to work but this is desired behaviour in my configuration anyway. Now the avpair gets pushed to the Cisco router and used to select the correct policy in the WebVPN context. I'm gonna write a blogpost on my full setup on <a href="http://edgetechnology.wordpress.com" target="_blank">http://edgetechnology.wordpress.com</a> that explains the full setup for those interested.<br>


<br>

Thank you all for your help.<br>

<br>

Sander<br>

<br>

On 24 sep 2010, at 12:00, <a href="mailto:freeradius-users-request@lists.freeradius.org">freeradius-users-request@lists.freeradius.org</a> wrote:<br>

<br>

> Date: Fri, 24 Sep 2010 09:04:34 +0200<br>

> From: Sander van Loosbroek <<a href="mailto:sander@vanloosbroek.com">sander@vanloosbroek.com</a>><br>

> Subject: Re: Freeradius-Users Digest, Vol 65, Issue 105<br>

> To: <a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a><br>

> Message-ID: <<a href="mailto:9C852831-8F4D-4DCF-9A2A-1D6C3D8EDD96@vanloosbroek.com">9C852831-8F4D-4DCF-9A2A-1D6C3D8EDD96@vanloosbroek.com</a>><br>

> Content-Type: text/plain; charset=us-ascii<br>

><br>

> What I'm trying to do is retrieve the user group from the OpenDirectory instead of setting a static one. There is only one NAS and the Mac OS X Server runs a standalone OpenDirectory Master so I don't need any huntgroups then?<br>


><br>

> On 24 sep 2010, at 05:42, <a href="mailto:freeradius-users-request@lists.freeradius.org">freeradius-users-request@lists.freeradius.org</a> wrote:<br>

><br>

>> Date: Fri, 24 Sep 2010 08:02:38 +1200<br>

>> From: Peter Lambrechtsen <<a href="mailto:plambrechtsen@gmail.com">plambrechtsen@gmail.com</a>><br>

>> Subject: Re: Pushing group attribute from OpenDirectory to Cisco<br>

>> To: FreeRadius users mailing list<br>

>>      <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>

>> Message-ID:<br>

>>      <<a href="mailto:AANLkTik16Nrmbb1OmrVWcFuhTFKnLEDYwvPFs5FydrbT@mail.gmail.com">AANLkTik16Nrmbb1OmrVWcFuhTFKnLEDYwvPFs5FydrbT@mail.gmail.com</a>><br>

>> Content-Type: text/plain; charset="iso-8859-1"<br>

<div><div></div><div class="h5">>><br>

>> In the "users" file is where you specify the reply attributes in my example.<br>

>><br>

>> So using your example:<br>

>><br>

>> DEFAULT Huntgroup-Name == CiscoVPN, Ldap-Group ==<br>

>> "cn=CiscoVPN,ou=Roles,ou=Radius,DC=ACME,DC=COM"<br>

>>       Service-Type = "NAS-Prompt-User",<br>

>>       Idle-Timeout = 600,<br>

>>       Cisco-AVPair =<br>

>> "webvpn:user-vpn-group=whatevervpngroupyouwanttoaddtheuserto"<br>

>><br>

>> Then you can either use the huntgroup file and set the IP addresses of the<br>

>> Routers (NAS's) you're using: <a href="http://wiki.freeradius.org/Huntgroups" target="_blank">http://wiki.freeradius.org/Huntgroups</a><br>

>><br>

>> Or you can have the Huntgroups in ldap as per my e-mail, and that would be<br>

>> if you have a more dynamic environment or want to move the NAS between<br>

>> different huntgroups easily.<br>

>><br>

>><br>

>><br>

>> On Fri, Sep 24, 2010 at 2:03 AM, Sander van Loosbroek <<br>

>> <a href="mailto:sander@vanloosbroek.com">sander@vanloosbroek.com</a>> wrote:<br>

>><br>

>>> Hello Peter and Alan,<br>

>>><br>

>>> Thank you for your reply. I've given the documentation of Peter a look but<br>

>>> I'm not that familiar with LDAP or how its underpinnings work in OS X<br>

>>> Server.<br>

>>><br>

>>> When the Cisco router now authenticates against the FreeRADIUS server all<br>

>>> works fine except for the fact that the group name is not returned with the<br>

>>> webvpn:vpn-user-group attribute. What is unclear to me is how I instruct<br>

>>> FreeRADIUS to include that attribute when it returns the authorization<br>

>>> message. I have made the following addition to my clients file:<br>

>>><br>

>>> client <a href="http://192.168.13.1/32" target="_blank">192.168.13.1/32</a> {<br>

>>>      secret = xxx<br>

>>>      shortname = vpn<br>

>>>      nastype = cisco<br>

>>> }<br>

>>><br>

>>> I have added a policy to the Cisco router to pick up the attribute but it<br>

>>> doesn't seem to get through. Can you suggest what to try next?<br>

>>><br>

>>> Thanks,<br>

>>> Sander<br>

>>> -<br>

>>> List info/subscribe/unsubscribe? See<br>

>>> <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>

<br>

<br>

-<br>

List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>

</div></div></blockquote></div><br>