<br><br><div class="gmail_quote">2011/2/2 Brett Littrell <span dir="ltr"><<a href="mailto:Blittrell@musd.org">Blittrell@musd.org</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">



<div style="margin:4px 4px 1px;font:10pt Segoe UI">
<div>Hi Brian,</div>
<div> </div>
<div>    Thanks for explaining that, guess that makes sense for performance, load all the info right away and just wait for authentication to complete before sending from memory and not doing another query.  </div>
<div> </div>
<div>    Sorry, did not mean to derail this thread but I a appreciate the insight.</div>
<div> </div>
<div><div class="im">
<div>Brett Littrell</div>
<div>Network Manager</div>
<div>MUSD</div>
<div>CISSP, CCSP, CCVP, MCNE</div><br><br></div><div><div></div><div class="h5">>>> On Wednesday, February 02, 2011 at 9:01 AM, in message <<a href="mailto:20110202170140.GA12067@talktalkplc.com" target="_blank">20110202170140.GA12067@talktalkplc.com</a>>, Brian Candler <<a href="mailto:B.Candler@pobox.com" target="_blank">B.Candler@pobox.com</a>> wrote:<br>
</div></div></div><div><div></div><div class="h5">
<table style="margin:0px 0px 0px 15px;font-size:1em" border="0" bgcolor="#f3f3f3">
<tbody>
<tr>
<td>
<div style="border-left:#050505 1px solid;padding-left:7px">On Wed, Feb 02, 2011 at 07:23:39AM -0800, Brett Littrell wrote:<br>>        Very interesting, I would have thought Authenticate came first then<br>>    Authorize since you need to authenticate in order to be authorized.<br>
<br>The RADIUS protocol kind of fuzzes the two concepts: an Accept-Request is<br>both a request for authentication and authorization.  An Access-Reject could<br>mean either that you weren't authenticated, or that you're not authorized<br>
for the service you wanted.<br><br>FreeRADIUS runs boths sections of its config before sending the reply,<br>because generally authentication needs some data to authenticate, and that<br>data normally comes from the same place as the authorization data.<br>
<br>>    If<br>>    that is the case and say you pull the vlan ids from ldap, or some other<br>>    directory, how would Freeradius know what those values are prior to<br>>    knowing who you are?<br><br>It knows who you *claim* to be (User-Name), so can use that to look up the<br>
reply attributes.  It doesn't know you actually *are* that person yet, but<br>it won't send back an Access-Accept until it does.<br><br>>    Or are you saying that the way the program loads<br>>    the config the authorize section simply gets read first?<br>
<br>The authorize section gets executed first; I don't think it makes any<br>difference what order you put them in the config file.<br><br>Regards,<br><br>Brian.<br>-<br>List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</div></td></tr></tbody></table></div></div></div>
<br>-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br></blockquote></div><br><br clear="all"><br>-- <br>Att,<br>Maiquel<br>