
HI Alan <br>Thanks for the reply. I already followed your site and was able to make ntlm_auth work. For MS-CHAP the AD page of your site says <br><br>"Start the server and use a test client to send an MS-CHAP

authentication request.  The <code>radclient</code> cannot currently

be used to send this request, unfortunately, which makes testing a

little difficult If everything goes well, you should see the server

returning an <a href="http://freeradius.org/rfc/rfc2865.html#Access-Accept">Access-Accept</a>

message as above."<br><br>Hence I was of the view radtest cannot work for MS-CHAP authentication. Request you to point me to the right link and way to do the MS-CHAP procedure and testing the same thorugh radtest. I could not understand <br>

"There's no User-Password in MS-CHAP."<br><br>Regards <br>Dhiraj Gaur<br><br><div class="gmail_quote">On Fri, Jan 20, 2012 at 9:15 PM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com">aland@deployingradius.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">Dhiraj Gaur wrote:<br>

> I have been trying to implement radius authetication server at my<br>

> workplace. The idea is to have all wifi access points authenticate<br>

> against a radius server.<br>

<br>

</div>  That is a common deployment, and should be easy to do.<br>

<div class="im"><br>

> The radius server needs to pass authentication to a backend Active<br>

> Directory server. I have been sucessful in authenticating wifi users<br>

> against file based and SQL based authentication in radius. NTLM_AUTH<br>

> using PAP also works fine, wherein plaintext password is sucessfully<br>

> authenticated against the AD and I get an "Access-Accept". However when<br>

> I pass the same credentials over CHAP, MSCHAP or EAP_MSCHAP the same is<br>

> not working and I end up in a "Access-Reject".<br>

<br>

</div>  CHAP will *not* work with AD.  See my web site:<br>

<br>

<a href="http://deployingradius.com/documents/protocols/compatibility.html" target="_blank">http://deployingradius.com/documents/protocols/compatibility.html</a><br>

<div class="im"><br>

> Seems like that the<br>

> ntlm_auth program is not parsing the received encrypted password hence<br>

> the authetication fails. MSCHAP is a requirement as wifi clients at my<br>

> place mostly have eap supplicant. (Read in freeradius documentation that<br>

> eap and ldap doesnt go hand in hand, I may be wrong at interpreting the<br>

> same)<br>

<br>

</div>  You've misconfigured the server.  You have it trying to do ntlm_auth<br>

using the User-Password, and then sending it an MS-CHAP authentication.<br>

 There's no User-Password in MS-CHAP.<br>

<br>

  Follow the instructions on my web site for configuring ntlm_auth:<br>

<br>

<a href="http://deployingradius.com/documents/configuration/active_directory.html" target="_blank">http://deployingradius.com/documents/configuration/active_directory.html</a><br>

<br>

  And then follow the other instructions for getting EAP to work.<br>

<div class="im"><br>

> The freeradius logs for all the cases is listed below. Radius gurus<br>

> please point me to the right direction as to make MS_CHAP authentication<br>

> owrk over ntlm_auth or ldap(if possible).<br>

><br>

> PS: I did all the testing using JRadius simulator.<br>

<br>

</div>  FreeRADIUS comes with "radclient", which does PAP, CHAP, and MS-CHAP.<br>

 That should be all you need.<br>

<span class="HOEnZb"><font color="#888888"><br>

  Alan DeKok.<br>

-<br>

List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>

</font></span></blockquote></div><br><br clear="all"><br>-- <br><div><div><div>Regards</div></div><div><br></div><div>Dhiraj Gaur </div><div><br></div><img src=""><div> </div></div><br>