HI Alan <br>Thanks for the reply. I already followed your site and was able to make ntlm_auth work. For MS-CHAP the AD page of your site says <br><br>"Start the server and use a test client to send an MS-CHAP
authentication request.  The <code>radclient</code> cannot currently
be used to send this request, unfortunately, which makes testing a
little difficult If everything goes well, you should see the server
returning an <a href="http://freeradius.org/rfc/rfc2865.html#Access-Accept">Access-Accept</a>
message as above."<br><br>Hence I was of the view radtest cannot work for MS-CHAP authentication. Request you to point me to the right link and way to do the MS-CHAP procedure and testing the same thorugh radtest. I could not understand <br>
"There's no User-Password in MS-CHAP."<br><br>Regards <br>Dhiraj Gaur<br><br><div class="gmail_quote">On Fri, Jan 20, 2012 at 9:15 PM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com">aland@deployingradius.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">Dhiraj Gaur wrote:<br>
> I have been trying to implement radius authetication server at my<br>
> workplace. The idea is to have all wifi access points authenticate<br>
> against a radius server.<br>
<br>
</div>  That is a common deployment, and should be easy to do.<br>
<div class="im"><br>
> The radius server needs to pass authentication to a backend Active<br>
> Directory server. I have been sucessful in authenticating wifi users<br>
> against file based and SQL based authentication in radius. NTLM_AUTH<br>
> using PAP also works fine, wherein plaintext password is sucessfully<br>
> authenticated against the AD and I get an "Access-Accept". However when<br>
> I pass the same credentials over CHAP, MSCHAP or EAP_MSCHAP the same is<br>
> not working and I end up in a "Access-Reject".<br>
<br>
</div>  CHAP will *not* work with AD.  See my web site:<br>
<br>
<a href="http://deployingradius.com/documents/protocols/compatibility.html" target="_blank">http://deployingradius.com/documents/protocols/compatibility.html</a><br>
<div class="im"><br>
> Seems like that the<br>
> ntlm_auth program is not parsing the received encrypted password hence<br>
> the authetication fails. MSCHAP is a requirement as wifi clients at my<br>
> place mostly have eap supplicant. (Read in freeradius documentation that<br>
> eap and ldap doesnt go hand in hand, I may be wrong at interpreting the<br>
> same)<br>
<br>
</div>  You've misconfigured the server.  You have it trying to do ntlm_auth<br>
using the User-Password, and then sending it an MS-CHAP authentication.<br>
 There's no User-Password in MS-CHAP.<br>
<br>
  Follow the instructions on my web site for configuring ntlm_auth:<br>
<br>
<a href="http://deployingradius.com/documents/configuration/active_directory.html" target="_blank">http://deployingradius.com/documents/configuration/active_directory.html</a><br>
<br>
  And then follow the other instructions for getting EAP to work.<br>
<div class="im"><br>
> The freeradius logs for all the cases is listed below. Radius gurus<br>
> please point me to the right direction as to make MS_CHAP authentication<br>
> owrk over ntlm_auth or ldap(if possible).<br>
><br>
> PS: I did all the testing using JRadius simulator.<br>
<br>
</div>  FreeRADIUS comes with "radclient", which does PAP, CHAP, and MS-CHAP.<br>
 That should be all you need.<br>
<span class="HOEnZb"><font color="#888888"><br>
  Alan DeKok.<br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</font></span></blockquote></div><br><br clear="all"><br>-- <br><div><div><div>Regards</div></div><div><br></div><div>Dhiraj Gaur </div><div><br></div><img src=""><div> </div></div><br>