<font face="tahoma,sans-serif">Thanks Alan, let me try that. So basically you are also saying that i don't need to enable / use checkval module in the siteavailable/default ?<br><br>So the Goal here is to have 802.1X PEAP + MAC authentication at the same time. User connect to wireless AP, prompted for user name password, then the information passed over to Radius that query the ldap for username, password and MAC (or we called that radiusCalling StationID in the user profile attribute)<br>
<br>Thanks a lot<br>Danny<br></font><br><div class="gmail_quote">On Wed, Mar 13, 2013 at 9:40 PM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com" target="_blank">aland@deployingradius.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">Danny Kurniawan wrote:<br>
> Hi Russel,<br>
><br>
> So we have LDAP auth here. At this time it works fine. But now we want<br>
> to added 2 auth, so for example like we want to check the valid user id<br>
> / password from LDAP and also the MAC address listed from the user<br>
> attribute in the LDAP.<br>
><br>
> The ldap attribute mapped properly :<br>
> checkItem    Called-Station-Id        radiusCalledStationId<br>
> checkItem    Calling-Station-Id        radiusCallingStationId<br>
<br>
</div>  That works.  The solution then is simple.  You have a<br>
Calling-Station-Id in the "control" list, and one in the request.  So<br>
compare them.<br>
<br>
authorize {<br>
        ...<br>
        ldap<br>
<br>
        if (control:Calling-Station-Id != "%{Calling-Station-Id"}) {<br>
                ... # reject, or anything else<br>
        }<br>
<br>
        ...<br>
<div class="im">}<br>
<br>
> so the goal is to make sure that the user is only login from his / her<br>
> company device that associated with their user profile in LDAP. I<br>
> already make sure that the user have the attribute<br>
> radiusCallingStationId set correctly.<br>
<br>
</div>  You also need to normalize the Calling-Station-Id in the request.  Or<br>
at least ensure that all of the NASes use the same format.  Some vendors<br>
have a "helpful" way of ignoring the standards.<br>
<span class="HOEnZb"><font color="#888888"><br>
  Alan DeKok.<br>
</font></span><div class="HOEnZb"><div class="h5">-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br><div><font face="tahoma, sans-serif">Best Regards,</font></div>
<div><font face="tahoma, sans-serif">Danny</font></div>