<div dir="ltr">Alan:<div><br></div><div>Yes, that works when run through ldapsearch.</div><div><br></div><div style>I was able to get the attribute checking working (added to dictionary, then ldap.attrmap) so I can now reject based on the value of an attribute. Thanks for the input on that. </div>
<div style><br></div><div style>However, if the user isn't found in LDAP (Active Directory), how do I get it to outright reject the user? I can't do attribute checking (tried that and checking for an empty value, but got attribute was not found). Right now if the user isn't found in LDAP it happily goes to authentication (which for testing purposes right now is just using the users file). </div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Mar 7, 2013 at 10:22 AM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com" target="_blank">aland@deployingradius.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">Matthew Ceroni wrote:<br>
> That is what I tried. So I set<br>
><br>
> base_filter =<br>
> "(&(objectclass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))"<br>
><br>
> But what I am finding is whether the user is found and enabled, user is<br>
> found but disabled, or user isn't found at the output (from radius<br>
> debug) shows<br>
<br>
</div>  Does that filter work when you use it with the command-line ldap<br>
search tool?<br>
<div class="im"><br>
> [ldap] user XXXXXX authorized to use remote access<br>
><br>
> So then it continues onto the authorization part. How do I get it to<br>
> reject if the user isn't found (or user is disabled)?<br>
<br>
</div>  Use ldap.attrmap, as I said in my previous message.<br>
<div class="HOEnZb"><div class="h5"><br>
  Alan DeKok.<br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</div></div></blockquote></div><br></div>