<br><br><div class="gmail_quote">2011/11/10 Phil Mayers <span dir="ltr"><<a href="mailto:p.mayers@imperial.ac.uk" target="_blank">p.mayers@imperial.ac.uk</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Ok, your debug says:<br>
<br>
rad_recv: Access-Request packet from host 172.20.40.11 port 1025, id=21, length=218<br>
        Framed-MTU = 1480<br>
        NAS-IP-Address = 172.20.40.11<br>
        NAS-Identifier = "SW-Priv-1-1"<div><br>
        User-Name = "OPTARE\\brouco"<br>
<snip><br></div><div>
# Executing section authorize from file /etc/freeradius/sites-enabled/<u></u>default<br>
+- entering group authorize {...}<br>
++[preprocess] returns ok<br>
<br></div>
Why is preprocess returning "ok".<br></blockquote><div>this is preprocess<br>preprocess {<br>        huntgroups = ${confdir}/huntgroups<br>        hints = ${confdir}/hints<br><br>        # This hack changes Ascend's wierd port numberings<br>

        # to standard 0-??? port numbers so that the "+" works<br>        # for IP address assignments.<br>        with_ascend_hack = no<br>        ascend_channels_per_line = 23<br><br>        # Windows NT machines often authenticate themselves as<br>

        # NT_DOMAIN\username<br>        #<br>        # If this is set to 'yes', then the NT_DOMAIN portion<br>        # of the user-name is silently discarded.<br>        #<br>        # This configuration entry SHOULD NOT be used.<br>

        # See the "realms" module for a better way to handle<br>        # NT domains.<br>        with_ntdomain_hack = yes<br><br>        # Specialix Jetstream 8500 24 port access server.<br>        #<br>        # If the user name is 10 characters or longer, a "/"<br>

        # and the excess characters after the 10th are<br>        # appended to the user name.<br>        #<br>        # If you're not running that NAS, you don't need<br>        # this hack.<br>        with_specialix_jetstream_hack = no<br>

<br>        # Cisco (and Quintum in Cisco mode) sends it's VSA attributes<br>        # with the attribute name *again* in the string, like:<br>        #<br>        #   H323-Attribute = "h323-attribute=value".<br>

        #<br>        # If this configuration item is set to 'yes', then<br>        # the redundant data in the the attribute text is stripped<br>        # out.  The result is:<br>        #<br>        #  H323-Attribute = "value"<br>

        #<br>        # If you're not running a Cisco or Quintum NAS, you don't<br>                                                                                          <br> }</div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204, 204, 204);padding-left:1ex">


<br>
What are you doing in the hints module?<br>
<br>
Are you modifying the username field? A few lines later it says:<br>
<br>
[ldap]  expand: %{User-Name} -> brouco<div><br>
<br>
If you're modifying the username, you can't do that. It will break EAP, which is why it says:<br>
<br>
[eap] Identity does not match User-Name, setting from EAP Identity.<br>
<br></div>
...then fails.<br>
<br>
I assume you want to strip "DOMAIN\" so that you can do LDAP? You CANNOT modify the User-Name field. You MUST used the Stripped-User-Name field, and leave the User-Name field alone.<div><div>
<br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/<u></u>list/users.html</a><br>
</div></div></blockquote></div><br>