<div dir="ltr">In my authorize section I am matching LDAP groups to set VLAN attributes as such:<div><br></div><div><div>       if (Ldap-Group == "netCoreClass-IT") {</div><div>               update reply {</div>
<div>                       Tunnel-Private-Group-Id:1 := 102</div><div>               }</div><div>        }</div><div>        elsif (Ldap-Group == "netCoreClass-engineering") {</div><div>                update reply {</div>
<div>                        Tunnel-Private-Group-Id:1 := 112</div><div>                }</div><div>        }</div><div>        elsif (Ldap-Group == "netCoreClass-sales") {</div><div>                update reply {</div>
<div>                        Tunnel-Private-Group-Id:1 := 116</div><div>                }</div><div>        }</div><div>        elsif (Ldap-Group == "netCoreClass-HR_Facility") {</div><div>                update reply {</div>
<div>                        Tunnel-Private-Group-Id:1 := 120</div><div>                }</div><div>        }</div><div>        elsif (Ldap-Group == "netCoreClass-finance") {</div><div>                update reply {</div>
<div>                        Tunnel-Private-Group-Id:1 := 124</div><div>                }</div><div>        }</div><div><br></div></div><div style>Authentication is against Active Directory. So while a user may get assigned to a VLAN based of their group membership, if they fail to actually authenticate I want to change what VLAN they are assigned to (want to put them into a guest VLAN). </div>
<div style><br></div><div style>How can I update reply attributes further down the chain?</div><div style><br></div><div style>The reason I am doing this is I have an old Cisco wireless LAN controller that can't fall back to MAC 802.1x authentication. Therefore if a user fails with their credentials they fail to authenticate all together. So when coming from the wireless LAN controller I want always Accept.</div>
<div style><br></div><div style>I tried putting the following in the users file:</div><div style><br></div><div style><div>DEFAULT Called-Station-Id == "e8-40-40-cd-d6-10:sid_802"</div><div>        Tunnel-Type:1 = 13,</div>
<div>        Tunnel-Medium-Type:1 = 6,</div><div>        Tunnel-Private-Group-Id:1 = 104</div><div><br></div><div style>Which accomplishes that radius never rejects even on a failed authentication, but the Tunnel-Private-Group:Id:1 doesn't get modified from what was set in the authorize section.</div>
<div style><br></div><div style>Thanks</div><div><br></div><div><br></div></div><div><br></div></div>