<div dir="ltr">Thanks for the reply.<div><br></div><div style>First, adding an else to the if statement doesn't really help. As that is in the authorize section that simply queries AD via LDAP to check for groups of the user. It uses an admin DN to bind and query, not the actual user credentials (as this is a PEAP) request. So I actually need to set that attribute in the authenticate section when I determine that authentication had failed.</div>
<div style><br></div><div style>All that being said, I was unaware of what you stated in your second paragraph. I did test that though. I just always return ACCEPT - ACCEPT when the calling station ID was from the wireless controller. Even when I provided wrong credentials radius returned ACCEPT-ACCEPT which indicated to the controller it was successful and the user was able to get on WIFI (just the wrong VLAN because LDAP found the user in a specific group and assigned that VLAN). </div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, May 1, 2013 at 3:36 PM,  <span dir="ltr"><<a href="mailto:A.L.M.Buxey@lboro.ac.uk" target="_blank">A.L.M.Buxey@lboro.ac.uk</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<div class="im"><br>
>            elsif (Ldap-Group == "netCoreClass-finance") {<br>
>                    update reply {<br>
>                            Tunnel-Private-Group-Id:1 := 124<br>
>                    }<br>
>            }<br>
>    Authentication is against Active Directory. So while a user may get<br>
>    assigned to a VLAN based of their group membership, if they fail to<br>
>    actually authenticate I want to change what VLAN they are assigned to<br>
>    (want to put them into a guest VLAN).<br>
>    How can I update reply attributes further down the chain?<br>
<br>
</div>            else  {<br>
                    update reply {<br>
                            Tunnel-Private-Group-Id:1 := 666<br>
<div class="im">                    }<br>
<br>
>    The reason I am doing this is I have an old Cisco wireless LAN controller<br>
>    that can't fall back to MAC 802.1x authentication. Therefore if a user<br>
>    fails with their credentials they fail to authenticate all together. So<br>
>    when coming from the wireless LAN controller I want always Accept.<br>
<br>
</div>what type of system is this? 802.1X ? if so, then you cant just blindly Access-Accept<br>
EAP auths if they've got incorrect user/pass - the WPA/WPA2 enterprise key is derived from<br>
mutual agreement.<br>
<br>
if, however, this is just eg PAP with some captive portal thing then that'd work.<br>
<br>
alan<br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</blockquote></div><br></div>