Thanks a lot Alexander. I'm familiar with python. So rlm_python might a good choice for me. The main thing I want to do is to give remote vpn client a two-factor authentication. Since freeradius, pam and all opensource otp solution are available, I think free two-factor authentication is doable instead the expensive RSA solution. So the first authentication is against our AD. If successful, the system should generate one time password and send it to user through SMS or the other ways. The user then put otp into the 2nd challenge prompt. Freeradius authenticate this otp against otp server.<br>
<br>I already tried using pam to authenticate against AD or OTP. I was trying to use PAM stack to make this happen. But it's hard to put some scripts to send password to user between the two PAM modules. So I turned to FreeRadius to see if it can have some ways to do this.<br>
<br>So if I use rlm_python, I can utilize some existing executable files (like ldapsearch, ldapcompare, otp_auth) to directly authenticate against LDAP and OTP. To send OTP to user is much easier to do in python too. Am I correct? <br>
<br>Thanks for your help.<br><br>Lou <br><br><div class="gmail_quote">On Fri, Jun 17, 2011 at 3:10 PM, Alexander Clouter [via FreeRadius] <span dir="ltr"><<a href="/user/SendEmail.jtp?type=node&node=4499970&i=0" target="_top" rel="nofollow" link="external">[hidden email]</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">

        madmatrix <<a href="http://user/SendEmail.jtp?type=node&node=4499878&i=0" rel="nofollow" link="external" target="_blank">[hidden email]</a>> wrote:
<br>> 
<br>> What I'm wanting to do is integrate LDAP and OTP. The OTP I want to 
<br>> use doesn't have interface to radius. So I'm planning to get that OTP 
<br>> source code into a new FR module. For LDAP part, I just want to 
<br>> include the existing module to the new one. Is this doable? I guess I 
<br>> may need implant the LDAP module code into the new module too.
<br>>
<br></div>I *strongly* recommend you use rlm_perl/rlm_python.  I found it very 
<br>straight forward to quickly implement rfc2289 with eap-gtc.
<br><div class="im"><br>> The whole authentication process is: 1. LDAP authentication. 2. If
<br>> successful, do something and request 2nd OTP authencation. If not, reject
<br>> the authentication.
<br>>
<br></div>I think you might find yourself having to either:
<br> * combined password of form "<ldap password> <otp challenge response>"
<br> * two separate RADIUS authentications, say use PAM to first do a 
<br>        regular RADIUS password check and also require a second check to 
<br>        another RADIUS server (a FreeRADIUS virtual server for example) 
<br>        that then does the OTP
<br><br>As you have not described what the problem is (EAP for 802.1X, web 
<br>portal, PAM backed authentication, etc?) it is hard to give you advice.
<br><div class="im"><br>> From what I read here, the new module must be the way to do this. But 
<br>> is there any easy way to integrate existing module like LDAP into the 
<br>> new module?
<br>> 
<br></div>If you use rlm_perl/rlm_python, you will find the job much easier, fast 
<br>on the prototyping front and maintenance will be a lot less trouble (ie, 
<br>no need to recompile things as an example).
<br><br>Cheers
<br><br>-- 
<br>Alexander Clouter
<br>.sigmonster says: Don't feed the bats tonight.
<br><br>-
<br><div class="im">List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" rel="nofollow" link="external" target="_blank">http://www.freeradius.org/list/users.html</a><br>
        
        <br>
        <br>
        </div><hr size="1" color="#cccccc" noshade>
        <div style="color:#444;font:12px tahoma,geneva,helvetica,arial,sans-serif">
                <div style="font-weight:bold">If you reply to this email, your message will be added to the discussion below:</div>
                <a href="http://freeradius.1045715.n5.nabble.com/chain-two-authentication-modules-together-tp4499333p4499878.html" target="_blank" rel="nofollow" link="external">http://freeradius.1045715.n5.nabble.com/chain-two-authentication-modules-together-tp4499333p4499878.html</a>
        </div>
        <div style="color:#666;font:11px tahoma,geneva,helvetica,arial,sans-serif;margin-top:.4em">
                
                To unsubscribe from chain two authentication modules together, <a href="" target="_blank" rel="nofollow" link="external">click here</a>.
        </div></blockquote></div><br>

        
<br/><hr align="left" width="300" />
View this message in context: <a href="http://freeradius.1045715.n5.nabble.com/chain-two-authentication-modules-together-tp4499333p4499970.html">Re: chain two authentication modules together</a><br/>
Sent from the <a href="http://freeradius.1045715.n5.nabble.com/FreeRadius-User-f2740693.html">FreeRadius - User mailing list archive</a> at Nabble.com.<br/>