<div>Hello, My freeradius2 it's up and when I make a test from other linux machine with command "radtest joao.vero jango123 128.2.100.131 2 meleca" it's working as follow out </div>
<div> </div>
<div>Sending Access-Request of id 45 to 128.2.100.131 port 1645<br>        User-Name = "joao.vero"<br>        User-Password = "jango123"<br>        NAS-IP-Address = 255.255.255.255<br>        NAS-Port = 2<br>
rad_recv: Access-Accept packet from host <a href="http://128.2.100.131:1645">128.2.100.131:1645</a>, id=45, length=20<br></div>
<div>But, when I'm going  to authenticate wireless users ( with EAP-TLS, I'm using the test certificate from /etc/raddb/certs/..) It isn't working. it's appear in log:</div>
<div> </div>
<div>[mschap] No Cleartext-Password configured.  Cannot create LM-Password.<br></div>
<div>I wish to use LDAP for authenticate my users but seems that User-Password must be Clear text. there is possible reach EAP-TLS with LDAP??</div>
<div> </div>
<div>What I have do ??</div>
<div> </div>
<div>any help is welcome....I'm new in freeradius.</div>
<div> </div>
<div>Gary Gatten, what did you  mean with Content-Type: text/plain; charset="utf-8" as your comments<br></div>
<div> </div>
<div> </div>
<div>thank everyone!<br></div>
<div><br> </div>
<div class="gmail_quote">2011/3/5 <span dir="ltr"><<a href="mailto:freeradius-users-request@lists.freeradius.org">freeradius-users-request@lists.freeradius.org</a>></span><br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">Send Freeradius-Users mailing list submissions to<br>       <a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a><br>
<br>To subscribe or unsubscribe via the World Wide Web, visit<br>       <a href="http://lists.freeradius.org/mailman/listinfo/freeradius-users" target="_blank">http://lists.freeradius.org/mailman/listinfo/freeradius-users</a><br>
or, via email, send a message with subject or body 'help' to<br>       <a href="mailto:freeradius-users-request@lists.freeradius.org">freeradius-users-request@lists.freeradius.org</a><br><br>You can reach the person managing the list at<br>
       <a href="mailto:freeradius-users-owner@lists.freeradius.org">freeradius-users-owner@lists.freeradius.org</a><br><br>When replying, please edit your Subject line so it is more specific<br>than "Re: Contents of Freeradius-Users digest..."<br>
<br><br>Today's Topics:<br><br>  1. Re: Caching techniques with ntlm_auth usage?<br>     (EAP-PEAP-MSchapV2) (Phil Mayers)<br>  2. Re: Freeraidus 2 (Gary Gatten)<br>  3. Re: Caching techniques with ntlm_auth usage?<br>
     (EAP-PEAP-MSchapV2) (James J J Hooper)<br>  4. RE: mschap with ntlm_auth and Active Directory (McNutt, Justin M.)<br>  5. Re: MS-CHAP-V2 with no retry (Alan DeKok)<br>  6. Re: Hopefully quick question: conditional processing sneaking<br>
     in        and     setting Auth-Type (Alan DeKok)<br>  7. Re: Freeraidus 2 (Alan Buxey)<br><br><br>----------------------------------------------------------------------<br><br>Message: 1<br>Date: Sat, 05 Mar 2011 00:45:43 +0000<br>
From: Phil Mayers <<a href="mailto:p.mayers@imperial.ac.uk">p.mayers@imperial.ac.uk</a>><br>Subject: Re: Caching techniques with ntlm_auth usage?<br>       (EAP-PEAP-MSchapV2)<br>To: <a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a><br>
Message-ID: <<a href="mailto:4D7187B7.5000402@imperial.ac.uk">4D7187B7.5000402@imperial.ac.uk</a>><br>Content-Type: text/plain; charset=ISO-8859-1; format=flowed<br><br>On 03/05/2011 12:21 AM, Gary Gatten wrote:<br>
> I kinda like your caching idea, but not sure of any security<br>> implications.<br><br>It's not a workable idea. MSCHAP responses are specific to the 8-byte<br>random challenge, which is different every time. You can't cache them.<br>
<br>><br>> I have (2) FR servers (each pointing to different DC) and my NAS's<br>> are configured to use both.  But, iirc if AD is down on the backend<br>> FR still replies (with something) so the NAS never rolls over to the<br>
> other FR server.<br><br>Yes, this is a bad idea.<br><br>Just configure samba to autodiscover the AD controllers. Winbind will<br>cache connections and open new ones when the old ones go away.<br><br>><br>> So, I thought about some script that would use ntlm_auth every...n<br>
> seconds, if it fails kill FR process (or use FR policy to act dead).<br>> When it starts working again, restart FR.  This should make the NAS<br>> roll to the next FR server.<br><br>That might work, but it seems like a sledgehammer to crack a nut.<br>
<br>><br>> What about OpenLDAP on the FR server that's "refreshed" / sync'd to<br>> the winblows/AD?  I've never tried this but assume it's doable.<br><br>It's not possible. AD controllers will only sync to other AD controllers.<br>
<br>At some point in the future, Samba 4 might be able to slave the LDAP<br>database of an AD controller, but it's purely theoretical at the moment<br>I think.<br><br><br>------------------------------<br><br>Message: 2<br>
Date: Fri, 4 Mar 2011 18:54:44 -0600<br>From: Gary Gatten <<a href="mailto:Ggatten@waddell.com">Ggatten@waddell.com</a>><br>Subject: Re: Freeraidus 2<br>To: "'<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>'"<br>
       <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>Message-ID:<br>       <<a href="mailto:27487_1299286485_4D7189D5_27487_3768_1_D9B37353831173459FDAA836D3B43499BD354A55@WADPMBXV0.waddell.com">27487_1299286485_4D7189D5_27487_3768_1_D9B37353831173459FDAA836D3B43499BD354A55@WADPMBXV0.waddell.com</a>><br>
<br>Content-Type: text/plain; charset="utf-8"<br><br>Try ../sites_enabled/default; or if *eap requests it would be inner-tunnel, - I think...<br><br>From: Paulo Maia [mailto:<a href="mailto:phc.maia@gmail.com">phc.maia@gmail.com</a>]<br>
Sent: Friday, March 04, 2011 06:43 PM<br>To: FreeRadius users mailing list <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>Subject: Re: Freeraidus 2<br><br>Compilou o instalou via yum  ?  Geralmente fica em $RADIUSDIR/modules/ldap<br>
<br>Abs,<br><br><br>2011/3/4 Usu?rio do Sistema <<a href="mailto:maiconlp@ig.com.br">maiconlp@ig.com.br</a><mailto:<a href="mailto:maiconlp@ig.com.br">maiconlp@ig.com.br</a>>><br>Hello everyone, I'm Maicon from Brazil.<br>
<br>I'm in a project with Freeradius. I want to deployment authentication with certificate from my wireless users EAP-TLS but I'm finding some difficult. there is a good how to for version 2 ?? I've started with version 1.x but decided to change for version 2 and I'm not finding where I set the LDAP conection. at the older version it was inside radiusd.conf. anybody help me ??<br>
<br><br>thank!<br><br><br>-<br>List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br><br><br><br><br><br><br><font size="1"><br>
<div style='border:none;border-bottom:double windowtext 2.25pt;padding:0in 0in 1.0pt 0in'><br></div><br>"This email is intended to be reviewed by only the intended recipient<br> and may contain information that is privileged and/or confidential.<br>
 If you are not the intended recipient, you are hereby notified that<br> any review, use, dissemination, disclosure or copying of this email<br> and its attachments, if any, is strictly prohibited.  If you have<br> received this email in error, please immediately notify the sender by<br>
 return email and delete this email from your system."<br></font><br><br>-------------- next part --------------<br>An HTML attachment was scrubbed...<br>URL: <<a href="https://lists.freeradius.org/pipermail/freeradius-users/attachments/20110304/3cfd97ca/attachment.html" target="_blank">https://lists.freeradius.org/pipermail/freeradius-users/attachments/20110304/3cfd97ca/attachment.html</a>><br>
<br>------------------------------<br><br>Message: 3<br>Date: Sat, 05 Mar 2011 01:17:54 +0000<br>From: James J J Hooper <<a href="mailto:jjj.hooper@bristol.ac.uk">jjj.hooper@bristol.ac.uk</a>><br>Subject: Re: Caching techniques with ntlm_auth usage?<br>
       (EAP-PEAP-MSchapV2)<br>To: FreeRadius users mailing list<br>       <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>Message-ID: <403FF343B2CCD5B162F64B80@[172.16.13.237]><br>
Content-Type: text/plain; charset=us-ascii; format=flowed<br><br><br><br>--On 04 March 2011 12:34 -0500 John Douglass <<a href="mailto:john.douglass@oit.gatech.edu">john.douglass@oit.gatech.edu</a>><br>wrote:<br><br>
> Group,<br>><br>> Recently, my AD servers were patched by another support group and this<br>> caused a (small but noticeable) service outage for our WPA radius<br>> services (Radius 2.1.9)<br><br>I can think of two things to investigate:<br>
* Recent Samba can do winbind credential caching IIRC - I haven't<br>experimented with this so I'm not sure if it will work for this application.<br><br>* Enable Fast Session Resumption:<br><<a href="https://github.com/alandekok/freeradius-server/blob/master/raddb/modules/eap#L312" target="_blank">https://github.com/alandekok/freeradius-server/blob/master/raddb/modules/eap#L312</a>><br>
<br>... We dropped the hits on our DCs by > 40% by doing this. N.B Resumed<br>sessions will not touch your inner-tunnel config, so you have to make sure<br>that you pay attention when (re-)assigning VLANs / other returned<br>
attributes based on username.<br><br>-James<br><br>--<br>James J J Hooper<br>Network Specialist, University of Bristol<br><a href="http://www.wireless.bristol.ac.uk/" target="_blank">http://www.wireless.bristol.ac.uk</a><br>
--<br><br><br><br><br>------------------------------<br><br>Message: 4<br>Date: Fri, 4 Mar 2011 21:05:46 -0600<br>From: "McNutt, Justin M." <<a href="mailto:McNuttJ@missouri.edu">McNuttJ@missouri.edu</a>><br>
Subject: RE: mschap with ntlm_auth and Active Directory<br>To: FreeRadius users mailing list<br>       <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>Message-ID:<br>
       <<a href="mailto:0A99E1DA688C7A4796A68B3BC4F74B793CE60E78A4@UM-EMAIL04.um.umsystem.edu">0A99E1DA688C7A4796A68B3BC4F74B793CE60E78A4@UM-EMAIL04.um.umsystem.edu</a>><br><br>Content-Type: text/plain; charset="us-ascii"<br>
<br>> > root@FREERADIUS:/etc/freeradius# ntlm_auth --username=0024D6650564<br>> > --password=Pa$$w0rd<br>> > NT_STATUS_OK: Success (0x0)<br>> > root@FREERADIUS:/etc/freeradius# ntlm_auth --username=0024D670F3A6<br>
> > --password=Pa$$w0rd<br>> > NT_STATUS_OK: Success (0x0)<br>> > root@FREERADIUS:/etc/freeradius# ntlm_auth --username=0024D6650564<br>> > --password=Pa$$w0rd<br>> > NT_STATUS_OK: Success (0x0)<br>
> ><br>> > The password Pa$$w0rd is set in the Wireless Controller, if<br>> thats what you<br>> > mean by mschap client?<br><br>May I suggest two things:<br><br>1)  I'm assuming that the password is not actually 'Pa$$w0rd', but that string reminds me that certain special characters - the dollar sign is a notable one - are not always handled correctly in password strings.  Even if FreeRADIUS is handling it correctly, AD may not, and the wireless controller may not.  I suggest setting the password to something simpler.  If your password policy requires special characters, use dash, equals, underscore, or dot.  I have used passwords with these characters successfully when authenticating via EAP/PEAP through FreeRADIUS and then on through MSCHAPv2 to AD via ntlm_auth.  (Same chain as you.)<br>
<br>2)  Even if you are confident that your real password's characters are not a problem, re-enter it on the wireless controller, MANUALLY.  You may have accidentally entered an unprintable character or a space or some similar thing that causes the password to APPEAR to be correct, when in fact it doesn't match.<br>
<br>--J<br><br><br>------------------------------<br><br>Message: 5<br>Date: Sat, 05 Mar 2011 07:23:54 +0100<br>From: Alan DeKok <<a href="mailto:aland@deployingradius.com">aland@deployingradius.com</a>><br>Subject: Re: MS-CHAP-V2 with no retry<br>
To: FreeRadius users mailing list<br>       <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>Message-ID: <<a href="mailto:4D71D6FA.7030306@deployingradius.com">4D71D6FA.7030306@deployingradius.com</a>><br>
Content-Type: text/plain; charset=ISO-8859-1<br><br><a href="mailto:John.Hayward@wheaton.edu">John.Hayward@wheaton.edu</a> wrote:<br>> 1) In freeradius version 2.1.10 and older (at least 1.1.7) when there was<br>>    a bug in that when there was a PW_EAP_MSCHAPV2_FAILURE while there was<br>
>    a response sent back to the client but there was no message in the<br>>    response.<br><br> It's more complicated.  The server would send EAP-Failure, and nothing<br>else.<br><br>> 2) The patch given resolves that problem - giving the message<br>
>    of the rlm_mschap.c module of E=691 R=1<br><br> On closer inspection, the patch doesn't resolve anything.  It still<br>sends an EAP-Failure.  It should instead send an EAP-Response with<br>EAP-MSCHAPv2-Failure, and the "E=691 R=1" failure code.  After the<br>
client has ACKed that, it should *then* send EAP-Failure.<br><br> i.e. fixing it is likely a fair bit more work.<br><br>> 3) It is possible to configure in radius.conf the message on failure by:<br><br> No.  That sends back an MS-CHAP-Error.  The code has to package that<br>
MS-CHAP-Error into an EAP sub-type, and send it back to the client in an<br>*additional* request/response round trip, before finally sending<br>EAP-Failure.<br><br> Alan DeKok.<br><br><br>------------------------------<br>
<br>Message: 6<br>Date: Sat, 05 Mar 2011 07:38:15 +0100<br>From: Alan DeKok <<a href="mailto:aland@deployingradius.com">aland@deployingradius.com</a>><br>Subject: Re: Hopefully quick question: conditional processing sneaking<br>
       in      and     setting Auth-Type<br>To: FreeRadius users mailing list<br>       <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>Message-ID: <<a href="mailto:4D71DA57.5080400@deployingradius.com">4D71DA57.5080400@deployingradius.com</a>><br>
Content-Type: text/plain; charset=UTF-8<br><br>Gary Gatten wrote:<br>> I can?t find where this conditional processing is happing.  I have two<br>> FR servers with ?nearly? the same config.  Auth works on one, but not<br>
> the other:<br><br> Posting 2-3 lines of debug output doesn't help.<br><br> Alan DeKok.<br><br><br>------------------------------<br><br>Message: 7<br>Date: Sat, 5 Mar 2011 09:44:15 +0000<br>From: Alan Buxey <<a href="mailto:A.L.M.Buxey@lboro.ac.uk">A.L.M.Buxey@lboro.ac.uk</a>><br>
Subject: Re: Freeraidus 2<br>To: FreeRadius users mailing list<br>       <<a href="mailto:freeradius-users@lists.freeradius.org">freeradius-users@lists.freeradius.org</a>><br>Message-ID: <<a href="mailto:20110305094415.GA20802@lboro.ac.uk">20110305094415.GA20802@lboro.ac.uk</a>><br>
Content-Type: text/plain; charset=us-ascii<br><br>hi,<br><br>th details for your LDAP in 2.x go into $RADDB/modules/ldap<br><br>in 2.x most of the stuff was broken out of radiusd.conf<br>and put into either modules/*  or sites-available/*<br>
<br>if you want a particular feature, then configure the<br>module file , configure the sites-available file,<br><br>module files are pulled in by default, but to activate a 'site'<br>you need to ensure its in the sites-enabled/ directory<br>
(a few 'sites' files are symlinked there by default... eg<br>default, inner-tunnel .....)<br><br>alan<br><br><br>------------------------------<br><br>-<br>List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
<br><br>End of Freeradius-Users Digest, Vol 71, Issue 32<br>************************************************<br></blockquote></div><br>