<p dir="ltr">Thank you I'll check with the samba people and get a better understanding of how ntlm_auth works.</p>
<div class="gmail_quote">On 29 Apr 2013 13:58, "Alan DeKok" <<a href="mailto:aland@deployingradius.com">aland@deployingradius.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
FreeRadius List wrote:<br>
> I use redundant-load-balance for ldap user auth to authenticate users to<br>
> a pool of active directory servers for one service. That seems to work well.<br>
<br>
  Because the LDAP module maintains a long-lived connection to the LDAP<br>
server.<br>
<br>
> I'm trying to think why I don't do that for ntlmauth (used inside mschap<br>
> inner-tunnel) for another other service.<br>
<br>
  It won't work for ntlm_auth.  That re-connects to Samba every time.<br>
<br>
  Samba is responsible for maintaining long-lived connections to AD.  If<br>
ntlm_auth fails, it's because (a) Samba is down, or (b) the AD server is<br>
down.<br>
<br>
> I've knocked that up to test it with mschap modules like (with N being<br>
> 1,2,3,4,5)<br>
><br>
> mschap mschapadN {<br>
>     with_ntdomain_hack = yes<br>
>     ntlm_auth = "/usr/local/bin/mschap-ntlm_auth --request-nt-key<br>
> --username=%{%{Stripped-User-Name}:-%{User-Name:-None}}<br>
> --challenge=%{mschap:Challenge:-00}<br>
> --nt-response=%{mschap:NT-Response:-00}<br>
> --configfile=/etc/samba/smb-adN.conf"<br>
> }<br>
><br>
> where /etc/samba/smb-adN.conf is the same as the others except for<br>
> "password server = adN.domain"<br>
<br>
  I'm not sure that will work.  You'll have to check with the Samba people.<br>
<br>
> Is this along the lines that others follow?<br>
<br>
  No.  I've never seen this before.<br>
<br>
>  if not how does ntlmauth handle the AD server being down.  Does ntlmauth/winbind handle AD being<br>
> down so freeradius does not have to?<br>
<br>
  Samba handles it.<br>
<br>
  Alan DeKok.<br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</blockquote></div>