Hi all,<br><br>I am using FR 2.1.11 and I try to implement  access_attr &  access_attr_used_for_allow with rlm_ldap.<br>modules/ldap.conf : <br>....<br>access_attr = inetUserStatus<br>access_attr_used_for_allow    = yes<br>
compare_check_items = no<br>do_xlat = yes<br>set_auth_type = yes<br>...<br><br>Inside our  OpenLDAP, the attribute is inetUserStatus, whose value can be(active/inactive).<br>According to rlm_ldap docs, this should be a boolean (yes/no/TRUE/FALSE).<br>
At the moment, access is granted if inetUserStatus is set to active as well as if inetUserStatus is set to inactive, I suppose  because FR does not interpred those values as TRUE/yes or FALSE/no ..<br><br>As I cannot act on ldap server side, (many other applications already uses this attribute value pair) Is there any way to have this working on freeradius side  ?<br>
Is it necessary to ldap.attrmap this attribute to use this feature ?<br>Could I (for example) update the attribute recovered from ldap during author and change inactive to FALSE or active to TRUE ?<br><br>debug extract :<br>
Fri Sep 23 12:54:05 2011 : Info: [ldap] performing user authorization for user_sps<br>Fri Sep 23 12:54:05 2011 : Info: [ldap]         expand: %{Stripped-User-Name} -> <br>Fri Sep 23 12:54:05 2011 : Info: [ldap]         ... expanding second conditional<br>
Fri Sep 23 12:54:05 2011 : Info: [ldap]         expand: %{User-Name} -> user_sps<br>Fri Sep 23 12:54:05 2011 : Info: [ldap]         expand: (uid=%{%{Stripped-User-Name}:-%{User-Name}}) -> (uid=user_sps)<br>Fri Sep 23 12:54:05 2011 : Info: [ldap]         expand: dc=corp,dc=toto,dc=com -> dc=corp,dc=toto,dc=com<br>
Fri Sep 23 12:54:05 2011 : Debug:   [ldap] ldap_get_conn: Checking Id: 0<br>Fri Sep 23 12:54:05 2011 : Debug:   [ldap] ldap_get_conn: Got Id: 0<br>Fri Sep 23 12:54:05 2011 : Debug:   [ldap] attempting LDAP reconnection<br>
Fri Sep 23 12:54:05 2011 : Debug:   [ldap] (re)connect to <a href="http://10.49.64.25:389">10.49.64.25:389</a>, authentication 0<br>Fri Sep 23 12:54:05 2011 : Debug:   [ldap] bind as cn=syncuser,dc=toto,dc=com/L?JHLjvk to <a href="http://10.49.64.25:389">10.49.64.25:389</a><br>
Fri Sep 23 12:54:05 2011 : Debug:   [ldap] waiting for bind result ...<br>Fri Sep 23 12:54:05 2011 : Debug:   [ldap] Bind was successful<br>Fri Sep 23 12:54:05 2011 : Debug:   [ldap] performing search in dc=corp,dc=toto,dc=com, with filter (uid=user_sps)<br>
Fri Sep 23 12:54:05 2011 : Info: [ldap] checking if remote access for user_sps is allowed by inetUserStatus<br>Fri Sep 23 12:54:05 2011 : Info: [ldap] looking for check items in directory...<br>Fri Sep 23 12:54:05 2011 : Debug:   [ldap] userPassword -> Password-With-Header == "{SSHA}SnrchnIFWrKzn+nOzZem4YjMjRqHiavi"<br>
Fri Sep 23 12:54:05 2011 : Debug:   [ldap] ntPassword -> NT-Password == 0x7305108b06d9839d8530b917307803e9<br>Fri Sep 23 12:54:05 2011 : Info: [ldap] looking for reply items in directory...<br>Fri Sep 23 12:54:05 2011 : Info: [ldap] Setting Auth-Type = LDAP<br>
Fri Sep 23 12:54:05 2011 : Info: [ldap] user user_sps authorized to use remote access<br>Fri Sep 23 12:54:05 2011 : Debug:   [ldap] ldap_release_conn: Release Id: 0<br>Fri Sep 23 12:54:05 2011 : Info: ++[ldap] returns ok<br>
Fri Sep 23 12:54:05 2011 : Info: [files] users: Matched entry user_sps at line 1<br>Fri Sep 23 12:54:05 2011 : Info: ++[files] returns ok<br><br><br>Best regards,<br><br>Fred MAISON<br>