Hello All,<div><br></div><div>Another lame ass question.</div><div><br></div><div>Is it possible to proxy requests based on Auth-Type?</div><div><br></div><div>I now have a config which terminates PEAP locally and proxies through the inner-tunnel to an NPS using MSCHAP.</div>
<div>This was my original goal.</div><div><br></div><div>However, when I do a radtest to check what happens to an mschap request it fails locally instead of being proxied.</div><div>There is a combination of peap and mschap requests coming to the server.</div>
<div><br></div><div>If I uncomment suffix in sites-enabled/default then it's reversed, mschap gets proxied but PEAP requests doesn't get sent through the inner tunnel.</div><div><br></div><div>In proxy.conf I have the DEFAULT realm set to our NPS and have nostrip set for each entry in clients.conf.</div>
<div>The reason for this is that in the AD we have the user's email set as UPN and there are hundreds of email domains in use, the users's AD username cannot be determined based on the email address.</div><div><br>
</div><div>Output of debug mode when plain mschap fails:</div><div><br></div><div><div><i>Ready to process requests.</i></div><div><i>rad_recv: Access-Request packet from host 10.205.128.7 port 54292, id=242, length=154</i></div>
<div><i>        User-Name = "<a href="mailto:bertalan.voros@onedomain.com">bertalan.voros@onedomain.com</a>"</i></div><div><i>        NAS-IP-Address = x.x.x.x</i></div><div><i>        NAS-Port = 0</i></div><div>
<i>        Message-Authenticator = 0x8402c1883262ac3e5a71b538490e1082</i></div><div><i>        MS-CHAP-Challenge = 0x9580349e1047ab7c</i></div><div><i>        MS-CHAP-Response = 0x0001000000000000000000000000000000000000000000000000ce764eb9fbdbfd3c66d06ecbfbf934845bfc12ed2a697dc4</i></div>
<div><i># Executing section authorize from file /etc/raddb/sites-enabled/default</i></div><div><i>+- entering group authorize {...}</i></div><div><i>++[preprocess] returns ok</i></div><div><i>[mschap] Found MS-CHAP attributes.  Setting 'Auth-Type  = mschap'</i></div>
<div><i>++[mschap] returns ok</i></div><div><i>[eap] No EAP-Message, not doing EAP</i></div><div><i>++[eap] returns noop</i></div><div><i>Found Auth-Type = MSCHAP</i></div><div><i># Executing group from file /etc/raddb/sites-enabled/default</i></div>
<div><i>+- entering group MS-CHAP {...}</i></div><div><i>[mschap] No Cleartext-Password configured.  Cannot create LM-Password.</i></div><div><i>[mschap] No Cleartext-Password configured.  Cannot create NT-Password.</i></div>
<div><i>[mschap] Told to do MS-CHAPv1 with NT-Password</i></div><div><i>[mschap] FAILED: No NT/LM-Password.  Cannot perform authentication.</i></div><div><i>[mschap] MS-CHAP-Response is incorrect.</i></div><div><i>++[mschap] returns reject</i></div>
<div><i>Failed to authenticate the user.</i></div><div><i>Login incorrect: [bertalan.voros</i><i>@<a href="http://onedomain.com">onedomain.com</a></i><i>] (from client CiscoAP port 0)</i></div><div><i>Using Post-Auth-Type Reject</i></div>
<div><i># Executing group from file /etc/raddb/sites-enabled/default</i></div><div><i>+- entering group REJECT {...}</i></div><div><i>[attr_filter.access_reject]     expand: %{User-Name} -> bertalan.voros</i><i>@<a href="http://onedomain.com">onedomain.com</a></i></div>
<div><i>attr_filter: Matched entry DEFAULT at line 11</i></div><div><i>++[attr_filter.access_reject] returns updated</i></div><div><i>Delaying reject of request 11 for 1 seconds</i></div><div><i>Going to the next request</i></div>
<div><i>Waking up in 0.9 seconds.</i></div><div><i>Sending delayed reject for request 11</i></div><div><i>Sending Access-Reject of id 242 to 10.205.128.7 port 54292</i></div><div><i>        MS-CHAP-Error = "\000E=691 R=1"</i></div>
<div><i>Waking up in 4.9 seconds.</i></div><div><i>Cleaning up request 11 ID 242 with timestamp +13</i></div><div><i>Ready to process requests.</i></div></div><div><br></div><div><br></div><div>Your help will be appreciated,<br clear="all">
<div><br></div>-- <br>Bertalan Voros<div><br></div>
</div>