<blockquote style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;" class="gmail_quote">note the "rlm_ldap: ldap_search() failed: Bad search filter" line<br></blockquote><br>

Thanks for pointing that out for me Alan, I missed that in the debug log. <br><br><br><blockquote style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;" class="gmail_quote">Two main reasons: firstly, doing the LDAP lookups indirectly via rlm_unix is difficult to debug (as we are finding) <br>

<br></blockquote><blockquote style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;" class="gmail_quote">Secondly, doing the LDAP lookups directly gives you a more rich 
interface to the underlying LDAP data. Doing it via rlm_unix limits you 
to schema elements present in the posix LDAP schema and get*ent calls <br></blockquote><br>Those both make perfect sense, thanks for explaining that Phil. <br><br><br>I finally got this working with the following groupmembership_filter... <br>

<br><blockquote style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;" class="gmail_quote">"(&(objectClass=posixGroup)(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"<br clear="all">

</blockquote><br><br>Thanks again to those who helped me with this, it's appreciated. <br><br><br>Regards<br>Cameron. <br>--<br><br><br><br><br><br>
<br><br><div class="gmail_quote">On Mon, Sep 27, 2010 at 22:44, Phil Mayers <span dir="ltr"><<a href="mailto:p.mayers@imperial.ac.uk">p.mayers@imperial.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

<div class="im">On 27/09/10 11:44, Cameron Wood wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
    groupname_attribute = cn<br>
    groupmembership_filter =<br>
    "(|(&(objectClass=GroupOfNames)(member=%{control:Ldap-UserDn}))(&(objectClass=posixGroup)(memberUid=%{control:Ldap-UserDN}))"<br>
    groupmembership_attribute = radiusGroupName<br>
<br>
<br>
Attached is a debug log of my logon attempts with these settings, which<br>
still fails unfortunately.<br>
</blockquote>
<br></div>
The filter is invalid. You're missing a trailing ")" which is easily done in the stupid LDAP filter syntax.<div class="im"><br>
<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br>
<br>
    If you can query LDAP directly, do so. Do not use rlm_unix for LDAP<br>
    queries, even if nssswitch is setup for it.<br>
<br>
<br>
Noted, are you able to elaborate on why this is the case though, just<br>
like to understand, only if its not too much trouble though.<br>
</blockquote>
<br></div>
Two main reasons: firstly, doing the LDAP lookups indirectly via rlm_unix is difficult to debug (as we are finding).<br>
<br>
Secondly, doing the LDAP lookups directly gives you a more rich interface to the underlying LDAP data. Doing it via rlm_unix limits you to schema elements present in the posix LDAP schema and get*ent calls.<div><div></div>

<div class="h5"><br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</div></div></blockquote></div><br>