<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
{mso-style-priority:99;
mso-style-link:"Balloon Text Char";
margin:0in;
margin-bottom:.0001pt;
font-size:8.0pt;
font-family:"Tahoma","sans-serif";}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
span.BalloonTextChar
{mso-style-name:"Balloon Text Char";
mso-style-priority:99;
mso-style-link:"Balloon Text";
font-family:"Tahoma","sans-serif";}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri","sans-serif";}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Version 2.1.10<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Since adding LDAP authorization, my login time has slowed down quite a bit. It takes 4 or 5 seconds longer for freeRadius to get through all of the [ldap] fields and send an Access-Accept. Is this a normal amount of time, or is there something
in my configuration that is causing this slow down? <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><b>LDAP Module:<o:p></o:p></b></p>
<p class="MsoNormal"><b><o:p> </o:p></b></p>
<p class="MsoNormal">ldap {<o:p></o:p></p>
<p class="MsoNormal"> #<o:p></o:p></p>
<p class="MsoNormal"> # Note that this needs to match the name in the LDAP<o:p></o:p></p>
<p class="MsoNormal"> # server certificate, if you're using ldaps.<o:p></o:p></p>
<p class="MsoNormal"> server = "172.28.64.10"<o:p></o:p></p>
<p class="MsoNormal"> identity = "CN=User Name,OU=Phoenix_Users,DC=company,DC=com"<o:p></o:p></p>
<p class="MsoNormal"> password = password<o:p></o:p></p>
<p class="MsoNormal"> basedn = "DC=company,DC=com"<o:p></o:p></p>
<p class="MsoNormal"> filter = "(&(sAMAccountName=%{Stripped-User-Name:-%{User-Name}}))"<o:p></o:p></p>
<p class="MsoNormal"> groupname_attribute = cn<o:p></o:p></p>
<p class="MsoNormal"> groupmembership_filter = "(|(&(objectClass=GroupOfNames)(member=%{contr$<o:p></o:p></p>
<p class="MsoNormal"> groupmembership_attribute = memberOf<o:p></o:p></p>
<p class="MsoNormal"> # base_filter = "(objectclass=radiusprofile)"<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> # How many connections to keep open to the LDAP server.<o:p></o:p></p>
<p class="MsoNormal"> # This saves time over opening a new LDAP socket for<o:p></o:p></p>
<p class="MsoNormal"> # every authentication request.<o:p></o:p></p>
<p class="MsoNormal"> ldap_connections_number = 5<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><b>Debug:<o:p></o:p></b></p>
<p class="MsoNormal"><b><o:p> </o:p></b></p>
<p class="MsoNormal">Ready to process requests.<o:p></o:p></p>
<p class="MsoNormal">rad_recv: Access-Request packet from host 172.28.64.3 port 1645, id=98, length=85<o:p></o:p></p>
<p class="MsoNormal"> User-Name = "RadiusUser"<o:p></o:p></p>
<p class="MsoNormal"> User-Password = "password"<o:p></o:p></p>
<p class="MsoNormal"> NAS-Port = 3<o:p></o:p></p>
<p class="MsoNormal"> NAS-Port-Id = "tty3"<o:p></o:p></p>
<p class="MsoNormal"> NAS-Port-Type = Virtual<o:p></o:p></p>
<p class="MsoNormal"> Calling-Station-Id = "172.28.64.119"<o:p></o:p></p>
<p class="MsoNormal"> NAS-IP-Address = 172.28.64.3<o:p></o:p></p>
<p class="MsoNormal"># Executing section authorize from file /etc/freeradius/sites-enabled/default<o:p></o:p></p>
<p class="MsoNormal">+- entering group authorize {...}<o:p></o:p></p>
<p class="MsoNormal">++[preprocess] returns ok<o:p></o:p></p>
<p class="MsoNormal">++[chap] returns noop<o:p></o:p></p>
<p class="MsoNormal">++[mschap] returns noop<o:p></o:p></p>
<p class="MsoNormal">++[digest] returns noop<o:p></o:p></p>
<p class="MsoNormal">[suffix] No '@' in User-Name = "RadiusUser", looking up realm NULL<o:p></o:p></p>
<p class="MsoNormal">[suffix] No such realm "NULL"<o:p></o:p></p>
<p class="MsoNormal">++[suffix] returns noop<o:p></o:p></p>
<p class="MsoNormal">[eap] No EAP-Message, not doing EAP<o:p></o:p></p>
<p class="MsoNormal">++[eap] returns noop<o:p></o:p></p>
<p class="MsoNormal"> [ldap] Entering ldap_groupcmp()<o:p></o:p></p>
<p class="MsoNormal">[files] expand: DC=company,DC=com -> DC=company,DC=com<o:p></o:p></p>
<p class="MsoNormal">[files] WARNING: Deprecated conditional expansion ":-". See "man unlang" for details<o:p></o:p></p>
<p class="MsoNormal">[files] ... expanding second conditional<o:p></o:p></p>
<p class="MsoNormal">[files] expand: %{User-Name} -> RadiusUser<o:p></o:p></p>
<p class="MsoNormal">[files] expand: (&(sAMAccountName=%{Stripped-User-Name:-%{User-Name}})) -> (&(sAMAccountName=RadiusUser))<o:p></o:p></p>
<p class="MsoNormal"> [ldap] ldap_get_conn: Checking Id: 0<o:p></o:p></p>
<p class="MsoNormal"> [ldap] ldap_get_conn: Got Id: 0<o:p></o:p></p>
<p class="MsoNormal"> [ldap] attempting LDAP reconnection<o:p></o:p></p>
<p class="MsoNormal"> [ldap] (re)connect to 172.28.64.10:389, authentication 0<o:p></o:p></p>
<p class="MsoNormal"> [ldap] bind as CN=User Name,OU=Alaska_Users,DC=company,DC=com/password to 172.28.64.10:389<o:p></o:p></p>
<p class="MsoNormal"> [ldap] waiting for bind result ...<o:p></o:p></p>
<p class="MsoNormal"> [ldap] Bind was successful<o:p></o:p></p>
<p class="MsoNormal"> [ldap] performing search in DC=company,DC=com, with filter (&(sAMAccountName=RadiusUser))<o:p></o:p></p>
<p class="MsoNormal"> [ldap] rebind to URL ldap://ForestDnsZones.company.com/DC=ForestDnsZones,DC=company,DC=com<o:p></o:p></p>
<p class="MsoNormal"> [ldap] rebind to URL ldap://DomainDnsZones.company.com/DC=DomainDnsZones,DC=company,DC=com<o:p></o:p></p>
<p class="MsoNormal"> [ldap] rebind to URL ldap://company.com/CN=Configuration,DC=company,DC=com<o:p></o:p></p>
<p class="MsoNormal"> [ldap] ldap_release_conn: Release Id: 0<o:p></o:p></p>
<p class="MsoNormal">[files] expand: (|(&(objectClass=GroupOfNames)(member=%{control:Ldap-UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{control:Ldap-UserDn}))) -> (|(&(objectClass=GroupOfNames)(member=CN\3dUser Name\2cOU\3dAlaska_Users\2cDC\3dcompany\2cDC\3dcom))(&(objectClass=GroupOfUniqueNames)(uniquemember=CN\3dUser
Name\2cOU\3dAlaska_Users\2cDC\3dcompany\2cDC\3dcom)))<o:p></o:p></p>
<p class="MsoNormal"> [ldap] ldap_get_conn: Checking Id: 0<o:p></o:p></p>
<p class="MsoNormal"> [ldap] ldap_get_conn: Got Id: 0<o:p></o:p></p>
<p class="MsoNormal"> [ldap] performing search in DC=company,DC=com, with filter (&(cn=Radius-Users)(|(&(objectClass=GroupOfNames)(member=CN\3dUser Name\2cOU\3dAlaska_Users\2cDC\3dcompany\2cDC\3dcom))(&(objectClass=GroupOfUniqueNames)(uniquemember=CN\3dUser
Name\2cOU\3dAlaska_Users\2cDC\3dcompany\2cDC\3dcom))))<o:p></o:p></p>
<p class="MsoNormal"> [ldap] rebind to URL ldap://ForestDnsZones.company.com/DC=ForestDnsZones,DC=company,DC=com<o:p></o:p></p>
<p class="MsoNormal"> [ldap] rebind to URL ldap://DomainDnsZones.company.com/DC=DomainDnsZones,DC=company,DC=com<o:p></o:p></p>
<p class="MsoNormal"> [ldap] rebind to URL ldap://company.com/CN=Configuration,DC=company,DC=com<o:p></o:p></p>
<p class="MsoNormal"> [ldap] object not found<o:p></o:p></p>
<p class="MsoNormal"> [ldap] ldap_release_conn: Release Id: 0<o:p></o:p></p>
<p class="MsoNormal"> [ldap] ldap_get_conn: Checking Id: 0<o:p></o:p></p>
<p class="MsoNormal"> [ldap] ldap_get_conn: Got Id: 0<o:p></o:p></p>
<p class="MsoNormal"> [ldap] performing search in CN=User Name,OU=Alaska_Users,DC=company,DC=com, with filter (objectclass=*)<o:p></o:p></p>
<p class="MsoNormal"> [ldap] performing search in CN=Radius-Users,OU=Alaska_Users,DC=company,DC=com, with filter (cn=Radius-Users)<o:p></o:p></p>
<p class="MsoNormal">rlm_ldap::ldap_groupcmp: User found in group Radius-Users<o:p></o:p></p>
<p class="MsoNormal"> [ldap] ldap_release_conn: Release Id: 0<o:p></o:p></p>
<p class="MsoNormal">[files] users: Matched entry DEFAULT at line 176<o:p></o:p></p>
<p class="MsoNormal">++[files] returns ok<o:p></o:p></p>
<p class="MsoNormal">[ldap] performing user authorization for RadiusUser<o:p></o:p></p>
<p class="MsoNormal">[ldap] WARNING: Deprecated conditional expansion ":-". See "man unlang" for details<o:p></o:p></p>
<p class="MsoNormal">[ldap] ... expanding second conditional<o:p></o:p></p>
<p class="MsoNormal">[ldap] expand: %{User-Name} -> RadiusUser<o:p></o:p></p>
<p class="MsoNormal">[ldap] expand: (&(sAMAccountName=%{Stripped-User-Name:-%{User-Name}})) -> (&(sAMAccountName=RadiusUser))<o:p></o:p></p>
<p class="MsoNormal">[ldap] expand: DC=company,DC=com -> DC=company,DC=com<o:p></o:p></p>
<p class="MsoNormal"> [ldap] ldap_get_conn: Checking Id: 0<o:p></o:p></p>
<p class="MsoNormal"> [ldap] ldap_get_conn: Got Id: 0<o:p></o:p></p>
<p class="MsoNormal"> [ldap] performing search in DC=company,DC=com, with filter (&(sAMAccountName=RadiusUser))<o:p></o:p></p>
<p class="MsoNormal"> [ldap] rebind to URL ldap://ForestDnsZones.company.com/DC=ForestDnsZones,DC=company,DC=com<o:p></o:p></p>
<p class="MsoNormal"> [ldap] rebind to URL ldap://DomainDnsZones.company.com/DC=DomainDnsZones,DC=company,DC=com<o:p></o:p></p>
<p class="MsoNormal"> [ldap] rebind to URL ldap://company.com/CN=Configuration,DC=company,DC=com<o:p></o:p></p>
<p class="MsoNormal">[ldap] No default NMAS login sequence<o:p></o:p></p>
<p class="MsoNormal">[ldap] looking for check items in directory...<o:p></o:p></p>
<p class="MsoNormal">[ldap] looking for reply items in directory...<o:p></o:p></p>
<p class="MsoNormal">WARNING: No "known good" password was found in LDAP. Are you sure that the user is configured correctly?<o:p></o:p></p>
<p class="MsoNormal">[ldap] user RadiusUser authorized to use remote access<o:p></o:p></p>
<p class="MsoNormal"> [ldap] ldap_release_conn: Release Id: 0<o:p></o:p></p>
<p class="MsoNormal">++[ldap] returns ok<o:p></o:p></p>
<p class="MsoNormal">++[expiration] returns noop<o:p></o:p></p>
<p class="MsoNormal">++[logintime] returns noop<o:p></o:p></p>
<p class="MsoNormal">[pap] WARNING! No "known good" password found for the user. Authentication may fail because of this.<o:p></o:p></p>
<p class="MsoNormal">++[pap] returns noop<o:p></o:p></p>
<p class="MsoNormal">++? if (!control:Auth-Type)<o:p></o:p></p>
<p class="MsoNormal">? Evaluating !(control:Auth-Type) -> TRUE<o:p></o:p></p>
<p class="MsoNormal">++? if (!control:Auth-Type) -> TRUE<o:p></o:p></p>
<p class="MsoNormal">++- entering if (!control:Auth-Type) {...}<o:p></o:p></p>
<p class="MsoNormal">+++[control] returns noop<o:p></o:p></p>
<p class="MsoNormal">++- if (!control:Auth-Type) returns noop<o:p></o:p></p>
<p class="MsoNormal">Found Auth-Type = ntlm_auth<o:p></o:p></p>
<p class="MsoNormal"># Executing group from file /etc/freeradius/sites-enabled/default<o:p></o:p></p>
<p class="MsoNormal">+- entering group authenticate {...}<o:p></o:p></p>
<p class="MsoNormal">[ntlm_auth] expand: --username=%{mschap:User-Name} -> --username=RadiusUser<o:p></o:p></p>
<p class="MsoNormal">[ntlm_auth] expand: --password=%{User-Password} -> --password=password<o:p></o:p></p>
<p class="MsoNormal">Exec-Program output: NT_STATUS_OK: Success (0x0) <o:p></o:p></p>
<p class="MsoNormal">Exec-Program-Wait: plaintext: NT_STATUS_OK: Success (0x0) <o:p>
</o:p></p>
<p class="MsoNormal">Exec-Program: returned: 0<o:p></o:p></p>
<p class="MsoNormal">++[ntlm_auth] returns ok<o:p></o:p></p>
<p class="MsoNormal"># Executing section post-auth from file /etc/freeradius/sites-enabled/default<o:p></o:p></p>
<p class="MsoNormal">+- entering group post-auth {...}<o:p></o:p></p>
<p class="MsoNormal">++[exec] returns noop<o:p></o:p></p>
<p class="MsoNormal">Sending Access-Accept of id 98 to 172.28.64.3 port 1645<o:p></o:p></p>
<p class="MsoNormal"> Service-Type = NAS-Prompt-User<o:p></o:p></p>
<p class="MsoNormal"> Cisco-AVPair = "shell:priv-lvl=15"<o:p></o:p></p>
<p class="MsoNormal"> Motorola-WIBB-Auth-Role = security-officer-role<o:p></o:p></p>
<p class="MsoNormal">Finished request 0.<o:p></o:p></p>
<p class="MsoNormal">Going to the next request<o:p></o:p></p>
<p class="MsoNormal">Waking up in 4.9 seconds.<o:p></o:p></p>
<p class="MsoNormal">Cleaning up request 0 ID 98 with timestamp +17<o:p></o:p></p>
<p class="MsoNormal">Ready to process requests.<o:p></o:p></p>
<p class="MsoNormal"><b><o:p> </o:p></b></p>
<p class="MsoNormal"><b><o:p> </o:p></b></p>
<p class="MsoNormal"><b><span style="color:#1F497D">T. Brady<o:p></o:p></span></b></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>