<div class="gmail_quote">On Mon, Aug 15, 2011 at 3:05 PM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com" target="_blank">aland@deployingradius.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

> Each element sends a heartbeat packet to FR once a second to make sure<br><div>
> it's still alive which we capture very early on in the authorize second<br>
> and send a reject.<br>
<br>
</div>  That's a REALLY bad idea.  See RFC 2865 for why keep-alives are<br>
harmful.  See RFC 5997 for a better approach.<br></blockquote><div><br>No arguments here with that... I'll have a read through the RFC's and escalate to our hardware vendor.. But I don't like my chances :(<br>

 </div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204, 204, 204);padding-left:1ex"><div>
> Our dynamic clients config is:<br>
><br>
> server dynamic_client_server {<br>
>   authorize {<br>
>     if<br>
> ("%{ldap:ldap:///ou=Elements,o=Identities?ou?sub?cn=%{Packet-Src-IP-Address}}")<br>
<br>
</div><br>  This can be cached in a temporary variable:<br>
<br>
        update control {<br>
                Tmp-String-0 = "%{ldap:....}"<br>
        }<br>
<br>
        if (Tmp-String-0 != "") {<br>
                update control {<br>
                        ...<br>
                        FreeRADIUS-Client-Shortname = "%{control:Tmp-String-0}"<br>
                        ...<br>

                }<br>
        }<br>
<br>
 The changes it from three LDAP lookup to one.<br></blockquote><div><br>Cheers for that, I need to query two attributes from the object, one for the shared secret and the other for the client shortname.  So I could reduce it from 3 to 2 queries.  rlm_ldap doesn't seem to support multi-valued attributes as per <a href="http://wiki.freeradius.org/Rlm_ldap">http://wiki.freeradius.org/Rlm_ldap</a><br>
I could store both valued in a single attribute then used a # or something as a delimiter then I could use a regex to split the string... Might look into that.<br> </div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

<div>
> Is the dynamic clients ldap lookups only single threaded, or have I done<br>
> something incorrect with the configuration?<br>
<br>
</div>  The dynamic client lookups are single threaded.  Changing that is hard.<br></blockquote><div><br>Yup.. I thought so... :(<br><br>Is there any limit on the file size of the clients.conf and how many entries? or it will just take as long as it will take and get re-read each time I HUP the server. <br>
<br>Many thanks for your insightful answers Alan :)<br><br>Cheers<br><br>Peter<br></div><br>
</div>