<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:SimSun;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:SimSun;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"\@SimSun";
        panose-1:2 1 6 0 3 1 1 1 1 1;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Hello,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I upgraded FR from 2.1.10 to 2.2.1. Everything went well except about 25% of our wireless users cannot authenticate after the upgrade. The backend authentication server is Active Directory and we use ntlm_auth from winbind to pass MSCHAPv2
 response from FR to AD. After upgrade FR, I also restart winbindd, smbd, and nmbd. For the users who cannot authenticate, I found that reset password would resolve the issue. However we have over 50,000 users. Our helpdesk would be overwhelmed to help 13k
 users to change their password. So I had to roll back to 2.1.10 and the users I know who cannot authenticate with 2.2.1 were able to authenticate again with 2.1.10 without changing password.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Here is radiusd –X for one user’s failed authentication. On AD Event Log it shows error<o:p></o:p></p>
<table class="MsoNormalTable" border="0" cellpadding="0">
<tbody>
<tr>
<td style="padding:.75pt .75pt .75pt .75pt">
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman","serif"">0xC000006A<o:p></o:p></span></p>
</td>
<td style="padding:.75pt .75pt .75pt .75pt">
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman","serif"">An incorrect password was supplied.<o:p></o:p></span></p>
</td>
</tr>
</tbody>
</table>
<p class="MsoNormal">And on radius side, it shows Login incorrect (mschap_ad: External script says Logon failure (0xc000006d)).<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">What changes in the new code could affects mschap handling? Or what should I do to make 2.2.1 work without forcing users to reset their password?
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks for your help. If you need more information, please let me know and I’ll post them.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Yu Wang<o:p></o:p></p>
<p class="MsoNormal">Network Architect<o:p></o:p></p>
<p class="MsoNormal">FSU<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">======================radiusd –X =====================================<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">rad_recv: Access-Request packet from host 192.168.255.233 port 32846, id=112, length=343<o:p></o:p></p>
<p class="MsoNormal">        User-Name = "myusername"<o:p></o:p></p>
<p class="MsoNormal">        NAS-IP-Address = 192.168.255.200<o:p></o:p></p>
<p class="MsoNormal">        NAS-IPv6-Address = ::1<o:p></o:p></p>
<p class="MsoNormal">        NAS-Port = 0<o:p></o:p></p>
<p class="MsoNormal">        NAS-Identifier = "192.168.255.233"<o:p></o:p></p>
<p class="MsoNormal">        NAS-Port-Type = Wireless-802.11<o:p></o:p></p>
<p class="MsoNormal">        Calling-Station-Id = "8C58779F3105"<o:p></o:p></p>
<p class="MsoNormal">        Called-Station-Id = "000B860E2A80"<o:p></o:p></p>
<p class="MsoNormal">        Service-Type = Login-User<o:p></o:p></p>
<p class="MsoNormal">        Framed-MTU = 1100<o:p></o:p></p>
<p class="MsoNormal">        EAP-Message = 0x020a006b190017030100608bfce27df6c312388e67d06a84921c88cbeb2729d13da08d98f6cd46cab227836f576e262c5543a0cfc8aaaac88dc02450477cac6b06a3c816ac01090b848190401617a0a19eb2b79a1e49f<o:p></o:p></p>
<p class="MsoNormal">d687087b02918d5e588764ab0f07c03d9eecf9f80<o:p></o:p></p>
<p class="MsoNormal">        State = 0x5858357f50522cd58c1225ecc15d6edb<o:p></o:p></p>
<p class="MsoNormal">        Aruba-Essid-Name = "FSUSecure"<o:p></o:p></p>
<p class="MsoNormal">        Aruba-Location-Id = "wg-a105-4012-Rm.wlan.fsu.edu"<o:p></o:p></p>
<p class="MsoNormal">        Aruba-AP-Group = "wlan"<o:p></o:p></p>
<p class="MsoNormal">        Aruba-Device-Type = "iPhone"<o:p></o:p></p>
<p class="MsoNormal">        Message-Authenticator = 0x245bb0a5f3165db6d047fb13cfb41042<o:p></o:p></p>
<p class="MsoNormal">server virtual.dot1x_1814 {<o:p></o:p></p>
<p class="MsoNormal"># Executing section authorize from file /usr/local/etc/raddb/sites-enabled/virtual.dot1x_1814<o:p></o:p></p>
<p class="MsoNormal">+- entering group authorize {...}<o:p></o:p></p>
<p class="MsoNormal">++[preprocess] returns ok<o:p></o:p></p>
<p class="MsoNormal">++[chap] returns noop<o:p></o:p></p>
<p class="MsoNormal">++[mschap] returns noop<o:p></o:p></p>
<p class="MsoNormal">++[digest] returns noop<o:p></o:p></p>
<p class="MsoNormal">[suffix] No '@' in User-Name = "myusername", looking up realm NULL<o:p></o:p></p>
<p class="MsoNormal">[suffix] Found realm "NULL"<o:p></o:p></p>
<p class="MsoNormal">[suffix] Adding Stripped-User-Name = "myusername"<o:p></o:p></p>
<p class="MsoNormal">[suffix] Adding Realm = "NULL"<o:p></o:p></p>
<p class="MsoNormal">[suffix] Authentication realm is LOCAL.<o:p></o:p></p>
<p class="MsoNormal">++[suffix] returns ok<o:p></o:p></p>
<p class="MsoNormal">[eap] EAP packet type response id 10 length 107<o:p></o:p></p>
<p class="MsoNormal">[eap] Continuing tunnel setup.<o:p></o:p></p>
<p class="MsoNormal">++[eap] returns ok<o:p></o:p></p>
<p class="MsoNormal">Found Auth-Type = EAP<o:p></o:p></p>
<p class="MsoNormal"># Executing group from file /usr/local/etc/raddb/sites-enabled/virtual.dot1x_1814<o:p></o:p></p>
<p class="MsoNormal">+- entering group authenticate {...}<o:p></o:p></p>
<p class="MsoNormal">[eap] Request found, released from the list<o:p></o:p></p>
<p class="MsoNormal">[eap] EAP/peap<o:p></o:p></p>
<p class="MsoNormal">[eap] processing type peap<o:p></o:p></p>
<p class="MsoNormal">[peap] processing EAP-TLS<o:p></o:p></p>
<p class="MsoNormal">[peap] eaptls_verify returned 7<o:p></o:p></p>
<p class="MsoNormal">[peap] Done initial handshake<o:p></o:p></p>
<p class="MsoNormal">[peap] eaptls_process returned 7<o:p></o:p></p>
<p class="MsoNormal">[peap] EAPTLS_OK<o:p></o:p></p>
<p class="MsoNormal">[peap] Session established.  Decoding tunneled attributes.<o:p></o:p></p>
<p class="MsoNormal">[peap] Peap state phase2<o:p></o:p></p>
<p class="MsoNormal">[peap] EAP type mschapv2<o:p></o:p></p>
<p class="MsoNormal">[peap] Got tunneled request<o:p></o:p></p>
<p class="MsoNormal">        EAP-Message = 0x020a00411a020a003c31c8a5f4da7f3f5fee24c0f8c2a0ad12390000000000000000d1ec3781f44920bf27bd2445d0d4db58c2f199c141667c0100616d61313263<o:p></o:p></p>
<p class="MsoNormal">server virtual.dot1x_1814 {<o:p></o:p></p>
<p class="MsoNormal">[peap] Setting User-Name to myusername<o:p></o:p></p>
<p class="MsoNormal">Sending tunneled request<o:p></o:p></p>
<p class="MsoNormal">        EAP-Message = 0x020a00411a020a003c31c8a5f4da7f3f5fee24c0f8c2a0ad12390000000000000000d1ec3781f44920bf27bd2445d0d4db58c2f199c141667c0100616d61313263<o:p></o:p></p>
<p class="MsoNormal">        FreeRADIUS-Proxied-To = 127.0.0.1<o:p></o:p></p>
<p class="MsoNormal">        User-Name = "myusername"<o:p></o:p></p>
<p class="MsoNormal">        State = 0x9e97c83a9e9dd2677d1fae1010f8f18d<o:p></o:p></p>
<p class="MsoNormal">server virtual.dot1x_1814_inner_tunnel {<o:p></o:p></p>
<p class="MsoNormal"># Executing section authorize from file /usr/local/etc/raddb/sites-enabled/virtual.dot1x_1814_inner_tunnel<o:p></o:p></p>
<p class="MsoNormal">+- entering group authorize {...}<o:p></o:p></p>
<p class="MsoNormal">++? if ((outer.request:EAP-Message) )<o:p></o:p></p>
<p class="MsoNormal">?? Evaluating (outer.request:EAP-Message) -> TRUE<o:p></o:p></p>
<p class="MsoNormal">++? if ((outer.request:EAP-Message) ) -> TRUE<o:p></o:p></p>
<p class="MsoNormal">++- entering if ((outer.request:EAP-Message) ) {...}<o:p></o:p></p>
<p class="MsoNormal">        expand: %{request:User-Name} -> myusername<o:p></o:p></p>
<p class="MsoNormal">+++[outer.request] returns notfound<o:p></o:p></p>
<p class="MsoNormal">        expand: %{request:User-Name} -> myusername<o:p></o:p></p>
<p class="MsoNormal">+++[reply] returns notfound<o:p></o:p></p>
<p class="MsoNormal">++- if ((outer.request:EAP-Message) ) returns notfound<o:p></o:p></p>
<p class="MsoNormal">++? if ("%{request:User-Name}" =~ /(^host\/)([A-Za-z0-9]+[A-Za-z0-9-]*)(\.fsu\.edu)*$/i)<o:p></o:p></p>
<p class="MsoNormal">        expand: %{request:User-Name} -> myusername<o:p></o:p></p>
<p class="MsoNormal">? Evaluating ("%{request:User-Name}" =~ /(^host\/)([A-Za-z0-9]+[A-Za-z0-9-]*)(\.fsu\.edu)*$/i) -> FALSE<o:p></o:p></p>
<p class="MsoNormal">++? if ("%{request:User-Name}" =~ /(^host\/)([A-Za-z0-9]+[A-Za-z0-9-]*)(\.fsu\.edu)*$/i) -> FALSE<o:p></o:p></p>
<p class="MsoNormal">++[chap] returns noop<o:p></o:p></p>
<p class="MsoNormal">++[mschap] returns noop<o:p></o:p></p>
<p class="MsoNormal">[suffix] No '@' in User-Name = "myusername", looking up realm NULL<o:p></o:p></p>
<p class="MsoNormal">[suffix] Found realm "NULL"<o:p></o:p></p>
<p class="MsoNormal">[suffix] Adding Stripped-User-Name = "myusername"<o:p></o:p></p>
<p class="MsoNormal">[suffix] Adding Realm = "NULL"<o:p></o:p></p>
<p class="MsoNormal">[suffix] Authentication realm is LOCAL.<o:p></o:p></p>
<p class="MsoNormal">++[suffix] returns ok<o:p></o:p></p>
<p class="MsoNormal">++? if (( outer.request:EAP-Message) && Realm != "%{config:local.MY.realm}" )<o:p></o:p></p>
<p class="MsoNormal">?? Evaluating (outer.request:EAP-Message) -> TRUE<o:p></o:p></p>
<p class="MsoNormal">        expand: local.MY.realm -> local.MY.realm<o:p></o:p></p>
<p class="MsoNormal">WARNING: No such configuration item local.MY.realm<o:p></o:p></p>
<p class="MsoNormal">        expand: %{config:local.MY.realm} -><o:p></o:p></p>
<p class="MsoNormal">? Evaluating (Realm != "%{config:local.MY.realm}" ) -> TRUE<o:p></o:p></p>
<p class="MsoNormal">++? if (( outer.request:EAP-Message) && Realm != "%{config:local.MY.realm}" ) -> TRUE<o:p></o:p></p>
<p class="MsoNormal">++- entering if (( outer.request:EAP-Message) && Realm != "%{config:local.MY.realm}" ) {...}<o:p></o:p></p>
<p class="MsoNormal">        expand: Realm is '%{Realm}' on Inside -> Realm is 'NULL' on Inside<o:p></o:p></p>
<p class="MsoNormal">+++[outer.reply] returns ok<o:p></o:p></p>
<p class="MsoNormal">++- if (( outer.request:EAP-Message) && Realm != "%{config:local.MY.realm}" ) returns ok<o:p></o:p></p>
<p class="MsoNormal">[eap] EAP packet type response id 10 length 65<o:p></o:p></p>
<p class="MsoNormal">[eap] No EAP Start, assuming it's an on-going EAP conversation<o:p></o:p></p>
<p class="MsoNormal">++[eap] returns updated<o:p></o:p></p>
<p class="MsoNormal">[files] users: Matched entry DEFAULT at line 8<o:p></o:p></p>
<p class="MsoNormal">++[files] returns ok<o:p></o:p></p>
<p class="MsoNormal">++? if ("%{request:User-Name}" =~ /(^host\/)([A-Za-z0-9]+[A-Za-z0-9-]*)(\.fsu\.edu)*$/i)<o:p></o:p></p>
<p class="MsoNormal">        expand: %{request:User-Name} -> myusername<o:p></o:p></p>
<p class="MsoNormal">? Evaluating ("%{request:User-Name}" =~ /(^host\/)([A-Za-z0-9]+[A-Za-z0-9-]*)(\.fsu\.edu)*$/i) -> FALSE<o:p></o:p></p>
<p class="MsoNormal">++? if ("%{request:User-Name}" =~ /(^host\/)([A-Za-z0-9]+[A-Za-z0-9-]*)(\.fsu\.edu)*$/i) -> FALSE<o:p></o:p></p>
<p class="MsoNormal">++- entering else else {...}<o:p></o:p></p>
<p class="MsoNormal">[ldap-mds] performing user authorization for myusername<o:p></o:p></p>
<p class="MsoNormal">[ldap-mds] WARNING: Deprecated conditional expansion ":-".  See "man unlang" for details<o:p></o:p></p>
<p class="MsoNormal">[ldap-mds]      expand: (&(uid=%{Stripped-User-Name:-%{User-Name}})(!(uid=lib-guest*))) -> (&(uid=myusername)(!(uid=lib-guest*)))<o:p></o:p></p>
<p class="MsoNormal">[ldap-mds]      expand: dc=fsu,dc=edu -> dc=fsu,dc=edu<o:p></o:p></p>
<p class="MsoNormal">  [ldap-mds] ldap_get_conn: Checking Id: 0<o:p></o:p></p>
<p class="MsoNormal">  [ldap-mds] ldap_get_conn: Got Id: 0<o:p></o:p></p>
<p class="MsoNormal">  [ldap-mds] performing search in dc=fsu,dc=edu, with filter (&(uid=myusername)(!(uid=lib-guest*)))<o:p></o:p></p>
<p class="MsoNormal">[ldap-mds] looking for check items in directory...<o:p></o:p></p>
<p class="MsoNormal">  [ldap-mds] ntPassword -> NT-Password == 0x4444333431333443313741333642433142444136383333324232323239443431<o:p></o:p></p>
<p class="MsoNormal">[ldap-mds] looking for reply items in directory...<o:p></o:p></p>
<p class="MsoNormal">  [ldap-mds] employeeStatus -> My-Local-employeeStatus = "Active"<o:p></o:p></p>
<p class="MsoNormal">  [ldap-mds] ldap_release_conn: Release Id: 0<o:p></o:p></p>
<p class="MsoNormal">+++[ldap-mds] returns ok<o:p></o:p></p>
<p class="MsoNormal">++- else else returns ok<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: RAD_REQUEST: User-Name = myusername<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: RAD_REQUEST: EAP-Message = 0x020a00411a020a003c31c8a5f4da7f3f5fee24c0f8c2a0ad12390000000000000000d1ec3781f44920bf27bd2445d0d4db58c2f199c141667c0100616d61313263<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: RAD_REQUEST: Realm = NULL<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: RAD_REQUEST: EAP-Type = MS-CHAP-V2<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: RAD_REQUEST: Stripped-User-Name = myusername<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: RAD_REQUEST: State = 0x9e97c83a9e9dd2677d1fae1010f8f18d<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: RAD_REQUEST: FreeRADIUS-Proxied-To = 127.0.0.1<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Assign myusername to VLAN employee2b.<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair User-Name = myusername<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair EAP-Message = 0x020a00411a020a003c31c8a5f4da7f3f5fee24c0f8c2a0ad12390000000000000000d1ec3781f44920bf27bd2445d0d4db58c2f199c141667c0100616d61313263<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Realm = NULL<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair EAP-Type = MS-CHAP-V2<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Stripped-User-Name = myusername<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair State = 0x9e97c83a9e9dd2677d1fae1010f8f18d<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair FreeRADIUS-Proxied-To = 127.0.0.1<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair User-Name = myusername<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Service-Type = Framed-User<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Tunnel-Medium-Type = IEEE-802<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Tunnel-Type = VLAN<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair My-Local-employeeStatus = Active<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Tunnel-Private-Group-Id = employee2b<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair NT-Password = 0x4444333431333443313741333642433142444136383333324232323239443431<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Ldap-UserDn = uid=myusername,dc=users,dc=fsu,dc=edu<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Auth-Type = EAP<o:p></o:p></p>
<p class="MsoNormal">++[perl_dot1x] returns updated<o:p></o:p></p>
<p class="MsoNormal">        expand: %{Realm} -> NULL<o:p></o:p></p>
<p class="MsoNormal">++- entering switch %{Realm} {...}<o:p></o:p></p>
<p class="MsoNormal">+++- switch %{Realm} returns updated<o:p></o:p></p>
<p class="MsoNormal">++- group authorize returns updated<o:p></o:p></p>
<p class="MsoNormal">++[expiration] returns noop<o:p></o:p></p>
<p class="MsoNormal">++[logintime] returns noop<o:p></o:p></p>
<p class="MsoNormal">[pap] Normalizing NT-Password from hex encoding<o:p></o:p></p>
<p class="MsoNormal">[pap] WARNING: Auth-Type already set.  Not setting to PAP<o:p></o:p></p>
<p class="MsoNormal">++[pap] returns noop<o:p></o:p></p>
<p class="MsoNormal">Found Auth-Type = EAP<o:p></o:p></p>
<p class="MsoNormal"># Executing group from file /usr/local/etc/raddb/sites-enabled/virtual.dot1x_1814_inner_tunnel<o:p></o:p></p>
<p class="MsoNormal">+- entering group authenticate {...}<o:p></o:p></p>
<p class="MsoNormal">[eap] Request found, released from the list<o:p></o:p></p>
<p class="MsoNormal">[eap] EAP/mschapv2<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[eap] processing type mschapv2<o:p></o:p></p>
<p class="MsoNormal">[mschapv2] # Executing group from file /usr/local/etc/raddb/sites-enabled/virtual.dot1x_1814_inner_tunnel<o:p></o:p></p>
<p class="MsoNormal">[mschapv2] +- entering group MS-CHAP {...}<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] Found NT-Password<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] Creating challenge hash with username: myusername<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] Client is using MS-CHAPv2 for myusername, we need NT-Password<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] WARNING: Deprecated conditional expansion ":-".  See "man unlang" for details<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad]     expand: --username=%{Stripped-User-Name:-%{User-Name:-None}} -> --username=myusername<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] No NT-Domain was found in the User-Name.<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad]     expand: %{mschap:NT-Domain} -><o:p></o:p></p>
<p class="MsoNormal">[mschap_ad]     ... expanding second conditional<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad]     expand: --domain=%{%{mschap:NT-Domain}:-FSU} -> --domain=FSU<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] Creating challenge hash with username: myusername<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad]     expand: --challenge=%{mschap:Challenge:-00} -> --challenge=671fda289ab79035<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad]     expand: --nt-response=%{mschap:NT-Response:-00} -> --nt-response=d1ec3781f44920bf27bd2445d0d4db58c2f199c141667c01<o:p></o:p></p>
<p class="MsoNormal">Exec output: Logon failure (0xc000006d)<o:p></o:p></p>
<p class="MsoNormal">Exec plaintext: Logon failure (0xc000006d)<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] Exec: program returned: 1<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] External script failed.<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] FAILED: MS-CHAP2-Response is incorrect<o:p></o:p></p>
<p class="MsoNormal">++[mschap_ad] returns reject<o:p></o:p></p>
<p class="MsoNormal">[eap] Freeing handler<o:p></o:p></p>
<p class="MsoNormal">++[eap] returns reject<o:p></o:p></p>
<p class="MsoNormal">Failed to authenticate the user.<o:p></o:p></p>
<p class="MsoNormal"><b>Login incorrect (mschap_ad: External script says Logon failure (0xc000006d)): [myusername] (from client aruba233 port 0 via TLS tunnel)<o:p></o:p></b></p>
<p class="MsoNormal">Using Post-Auth-Type REJECT<o:p></o:p></p>
<p class="MsoNormal"># Executing group from file /usr/local/etc/raddb/sites-enabled/virtual.dot1x_1814_inner_tunnel<o:p></o:p></p>
<p class="MsoNormal">+- entering group REJECT {...}<o:p></o:p></p>
<p class="MsoNormal">[attr_filter.access_reject]     expand: %{User-Name} -> myusername<o:p></o:p></p>
<p class="MsoNormal">attr_filter: Matched entry DEFAULT at line 11<o:p></o:p></p>
<p class="MsoNormal">++[attr_filter.access_reject] returns updated<o:p></o:p></p>
<p class="MsoNormal">} # server virtual.dot1x_1814_inner_tunnel<o:p></o:p></p>
<p class="MsoNormal">[peap] Got tunneled reply code 3<o:p></o:p></p>
<p class="MsoNormal">        EAP-Message = 0x040a0004<o:p></o:p></p>
<p class="MsoNormal">        Message-Authenticator = 0x00000000000000000000000000000000<o:p></o:p></p>
<p class="MsoNormal">[peap] Got tunneled reply RADIUS code 3<o:p></o:p></p>
<p class="MsoNormal">        EAP-Message = 0x040a0004<o:p></o:p></p>
<p class="MsoNormal">        Message-Authenticator = 0x00000000000000000000000000000000<o:p></o:p></p>
<p class="MsoNormal">[peap] Tunneled authentication was rejected.<o:p></o:p></p>
<p class="MsoNormal">[peap] FAILURE<o:p></o:p></p>
<p class="MsoNormal">++[eap] returns handled<o:p></o:p></p>
<p class="MsoNormal">} # server virtual.dot1x_1814<o:p></o:p></p>
<p class="MsoNormal">Sending Access-Challenge of id 112 to 192.168.255.233 port 32846<o:p></o:p></p>
<p class="MsoNormal">        Reply-Message = "Realm is 'NULL' on Inside"<o:p></o:p></p>
<p class="MsoNormal">        EAP-Message = 0x010b002b19001703010020c717f8462edd4b081a4cab8c17a2a77939f2b7ed8f45477fa43ca7ae59cdded3<o:p></o:p></p>
<p class="MsoNormal">        Message-Authenticator = 0x00000000000000000000000000000000<o:p></o:p></p>
<p class="MsoNormal">        State = 0x5858357f51532cd58c1225ecc15d6edb<o:p></o:p></p>
<p class="MsoNormal">Finished request 91419.<o:p></o:p></p>
<p class="MsoNormal">Going to the next request<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">========================================================================================<o:p></o:p></p>
<p class="MsoNormal">rad_recv: Access-Request packet from host 192.168.255.233 port 32846, id=185, length=343<o:p></o:p></p>
<p class="MsoNormal">        User-Name = "myusername"<o:p></o:p></p>
<p class="MsoNormal">        NAS-IP-Address = 192.168.255.200<o:p></o:p></p>
<p class="MsoNormal">        NAS-IPv6-Address = ::1<o:p></o:p></p>
<p class="MsoNormal">        NAS-Port = 0<o:p></o:p></p>
<p class="MsoNormal">        NAS-Identifier = "192.168.255.233"<o:p></o:p></p>
<p class="MsoNormal">        NAS-Port-Type = Wireless-802.11<o:p></o:p></p>
<p class="MsoNormal">        Calling-Station-Id = "8C58779F3105"<o:p></o:p></p>
<p class="MsoNormal">        Called-Station-Id = "000B860E2A80"<o:p></o:p></p>
<p class="MsoNormal">        Service-Type = Login-User<o:p></o:p></p>
<p class="MsoNormal">        Framed-MTU = 1100<o:p></o:p></p>
<p class="MsoNormal">        EAP-Message = 0x020a006b190017030100601fa8cfb41d8a736603cccfac039a1e796b70c551d0229a7054620a3569e504875e69eb4f348dc1db446dc778c0c797ce8df3680674d1cf083167c839473737483bbf4564cbca6a2ab0e045b<o:p></o:p></p>
<p class="MsoNormal">dc7549f45664c3aca1497463410664e0ae91cee39<o:p></o:p></p>
<p class="MsoNormal">        State = 0xcbac7161c3a6687448dbbe7553b6baed<o:p></o:p></p>
<p class="MsoNormal">        Aruba-Essid-Name = "FSUSecure"<o:p></o:p></p>
<p class="MsoNormal">        Aruba-Location-Id = "wg-a105-4012-Rm.wlan.fsu.edu"<o:p></o:p></p>
<p class="MsoNormal">        Aruba-AP-Group = "wlan"<o:p></o:p></p>
<p class="MsoNormal">        Aruba-Device-Type = "iPhone"<o:p></o:p></p>
<p class="MsoNormal">        Message-Authenticator = 0x5eebfb60034622676aaa614c5dec1ec8<o:p></o:p></p>
<p class="MsoNormal">server virtual.dot1x_1814 {<o:p></o:p></p>
<p class="MsoNormal"># Executing section authorize from file /usr/local/etc/raddb/sites-enabled/virtual.dot1x_1814<o:p></o:p></p>
<p class="MsoNormal">+- entering group authorize {...}<o:p></o:p></p>
<p class="MsoNormal">++[preprocess] returns ok<o:p></o:p></p>
<p class="MsoNormal">++[chap] returns noop<o:p></o:p></p>
<p class="MsoNormal">++[mschap] returns noop<o:p></o:p></p>
<p class="MsoNormal">++[digest] returns noop<o:p></o:p></p>
<p class="MsoNormal">[suffix] No '@' in User-Name = "myusername", looking up realm NULL<o:p></o:p></p>
<p class="MsoNormal">[suffix] Found realm "NULL"<o:p></o:p></p>
<p class="MsoNormal">[suffix] Adding Stripped-User-Name = "myusername"<o:p></o:p></p>
<p class="MsoNormal">[suffix] Adding Realm = "NULL"<o:p></o:p></p>
<p class="MsoNormal">[suffix] Authentication realm is LOCAL.<o:p></o:p></p>
<p class="MsoNormal">++[suffix] returns ok<o:p></o:p></p>
<p class="MsoNormal">[eap] EAP packet type response id 10 length 107<o:p></o:p></p>
<p class="MsoNormal">[eap] Continuing tunnel setup.<o:p></o:p></p>
<p class="MsoNormal">++[eap] returns ok<o:p></o:p></p>
<p class="MsoNormal">Found Auth-Type = EAP<o:p></o:p></p>
<p class="MsoNormal"># Executing group from file /usr/local/etc/raddb/sites-enabled/virtual.dot1x_1814<o:p></o:p></p>
<p class="MsoNormal">+- entering group authenticate {...}<o:p></o:p></p>
<p class="MsoNormal">[eap] Request found, released from the list<o:p></o:p></p>
<p class="MsoNormal">[eap] EAP/peap<o:p></o:p></p>
<p class="MsoNormal">[eap] processing type peap<o:p></o:p></p>
<p class="MsoNormal">[peap] processing EAP-TLS<o:p></o:p></p>
<p class="MsoNormal">[peap] eaptls_verify returned 7<o:p></o:p></p>
<p class="MsoNormal">[peap] Done initial handshake<o:p></o:p></p>
<p class="MsoNormal">[peap] eaptls_process returned 7<o:p></o:p></p>
<p class="MsoNormal">[peap] EAPTLS_OK<o:p></o:p></p>
<p class="MsoNormal">[peap] Session established.  Decoding tunneled attributes.<o:p></o:p></p>
<p class="MsoNormal">[peap] Peap state phase2<o:p></o:p></p>
<p class="MsoNormal">[peap] EAP type mschapv2<o:p></o:p></p>
<p class="MsoNormal">[peap] Got tunneled request<o:p></o:p></p>
<p class="MsoNormal">        EAP-Message = 0x020a00411a020a003c3167b550c58cc6458a22569f9b3d545f240000000000000000b27cc6b8b53cd52cefd00805875b297ede8772635050987500616d61313263<o:p></o:p></p>
<p class="MsoNormal">server virtual.dot1x_1814 {<o:p></o:p></p>
<p class="MsoNormal">[peap] Setting User-Name to myusername<o:p></o:p></p>
<p class="MsoNormal">Sending tunneled request<o:p></o:p></p>
<p class="MsoNormal">        EAP-Message = 0x020a00411a020a003c3167b550c58cc6458a22569f9b3d545f240000000000000000b27cc6b8b53cd52cefd00805875b297ede8772635050987500616d61313263<o:p></o:p></p>
<p class="MsoNormal">        FreeRADIUS-Proxied-To = 127.0.0.1<o:p></o:p></p>
<p class="MsoNormal">        User-Name = "myusername"<o:p></o:p></p>
<p class="MsoNormal">        State = 0xa7e44290a7ee58094f4ed0f3925b59a6<o:p></o:p></p>
<p class="MsoNormal">server virtual.dot1x_1814_inner_tunnel {<o:p></o:p></p>
<p class="MsoNormal"># Executing section authorize from file /usr/local/etc/raddb/sites-enabled/virtual.dot1x_1814_inner_tunnel<o:p></o:p></p>
<p class="MsoNormal">+- entering group authorize {...}<o:p></o:p></p>
<p class="MsoNormal">++? if ((outer.request:EAP-Message) )<o:p></o:p></p>
<p class="MsoNormal">?? Evaluating (outer.request:EAP-Message) -> TRUE<o:p></o:p></p>
<p class="MsoNormal">++? if ((outer.request:EAP-Message) ) -> TRUE<o:p></o:p></p>
<p class="MsoNormal">++- entering if ((outer.request:EAP-Message) ) {...}<o:p></o:p></p>
<p class="MsoNormal">        expand: %{request:User-Name} -> myusername<o:p></o:p></p>
<p class="MsoNormal">+++[outer.request] returns notfound<o:p></o:p></p>
<p class="MsoNormal">        expand: %{request:User-Name} -> myusername<o:p></o:p></p>
<p class="MsoNormal">+++[reply] returns notfound<o:p></o:p></p>
<p class="MsoNormal">++- if ((outer.request:EAP-Message) ) returns notfound<o:p></o:p></p>
<p class="MsoNormal">++? if ("%{request:User-Name}" =~ /(^host\/)([A-Za-z0-9]+[A-Za-z0-9-]*)(\.fsu\.edu)*$/i)<o:p></o:p></p>
<p class="MsoNormal">        expand: %{request:User-Name} -> myusername<o:p></o:p></p>
<p class="MsoNormal">? Evaluating ("%{request:User-Name}" =~ /(^host\/)([A-Za-z0-9]+[A-Za-z0-9-]*)(\.fsu\.edu)*$/i) -> FALSE<o:p></o:p></p>
<p class="MsoNormal">++? if ("%{request:User-Name}" =~ /(^host\/)([A-Za-z0-9]+[A-Za-z0-9-]*)(\.fsu\.edu)*$/i) -> FALSE<o:p></o:p></p>
<p class="MsoNormal">++[chap] returns noop<o:p></o:p></p>
<p class="MsoNormal">++[mschap] returns noop<o:p></o:p></p>
<p class="MsoNormal">[suffix] No '@' in User-Name = "myusername", looking up realm NULL<o:p></o:p></p>
<p class="MsoNormal">[suffix] Found realm "NULL"<o:p></o:p></p>
<p class="MsoNormal">[suffix] Adding Stripped-User-Name = "myusername"<o:p></o:p></p>
<p class="MsoNormal">[suffix] Adding Realm = "NULL"<o:p></o:p></p>
<p class="MsoNormal">[suffix] Authentication realm is LOCAL.<o:p></o:p></p>
<p class="MsoNormal">++[suffix] returns ok<o:p></o:p></p>
<p class="MsoNormal">++? if (( outer.request:EAP-Message) && Realm != "%{config:local.MY.realm}" )<o:p></o:p></p>
<p class="MsoNormal">?? Evaluating (outer.request:EAP-Message) -> TRUE<o:p></o:p></p>
<p class="MsoNormal">        expand: local.MY.realm -> local.MY.realm<o:p></o:p></p>
<p class="MsoNormal">WARNING: No such configuration item local.MY.realm<o:p></o:p></p>
<p class="MsoNormal">        expand: %{config:local.MY.realm} -><o:p></o:p></p>
<p class="MsoNormal">? Evaluating (Realm != "%{config:local.MY.realm}" ) -> TRUE<o:p></o:p></p>
<p class="MsoNormal">++? if (( outer.request:EAP-Message) && Realm != "%{config:local.MY.realm}" ) -> TRUE<o:p></o:p></p>
<p class="MsoNormal">++- entering if (( outer.request:EAP-Message) && Realm != "%{config:local.MY.realm}" ) {...}<o:p></o:p></p>
<p class="MsoNormal">        expand: Realm is '%{Realm}' on Inside -> Realm is 'NULL' on Inside<o:p></o:p></p>
<p class="MsoNormal">+++[outer.reply] returns ok<o:p></o:p></p>
<p class="MsoNormal">++- if (( outer.request:EAP-Message) && Realm != "%{config:local.MY.realm}" ) returns ok<o:p></o:p></p>
<p class="MsoNormal">[eap] EAP packet type response id 10 length 65<o:p></o:p></p>
<p class="MsoNormal">[eap] No EAP Start, assuming it's an on-going EAP conversation<o:p></o:p></p>
<p class="MsoNormal">++[eap] returns updated<o:p></o:p></p>
<p class="MsoNormal">[files] users: Matched entry DEFAULT at line 8<o:p></o:p></p>
<p class="MsoNormal">++[files] returns ok<o:p></o:p></p>
<p class="MsoNormal">++? if ("%{request:User-Name}" =~ /(^host\/)([A-Za-z0-9]+[A-Za-z0-9-]*)(\.fsu\.edu)*$/i)<o:p></o:p></p>
<p class="MsoNormal">        expand: %{request:User-Name} -> myusername<o:p></o:p></p>
<p class="MsoNormal">? Evaluating ("%{request:User-Name}" =~ /(^host\/)([A-Za-z0-9]+[A-Za-z0-9-]*)(\.fsu\.edu)*$/i) -> FALSE<o:p></o:p></p>
<p class="MsoNormal">++? if ("%{request:User-Name}" =~ /(^host\/)([A-Za-z0-9]+[A-Za-z0-9-]*)(\.fsu\.edu)*$/i) -> FALSE<o:p></o:p></p>
<p class="MsoNormal">++- entering else else {...}<o:p></o:p></p>
<p class="MsoNormal">[ldap-mds] performing user authorization for myusername<o:p></o:p></p>
<p class="MsoNormal">[ldap-mds] WARNING: Deprecated conditional expansion ":-".  See "man unlang" for details<o:p></o:p></p>
<p class="MsoNormal">[ldap-mds]      expand: (&(uid=%{Stripped-User-Name:-%{User-Name}})(!(uid=lib-guest*))) -> (&(uid=myusername)(!(uid=lib-guest*)))<o:p></o:p></p>
<p class="MsoNormal">[ldap-mds]      expand: dc=fsu,dc=edu -> dc=fsu,dc=edu<o:p></o:p></p>
<p class="MsoNormal">  [ldap-mds] ldap_get_conn: Checking Id: 0<o:p></o:p></p>
<p class="MsoNormal">  [ldap-mds] ldap_get_conn: Got Id: 0<o:p></o:p></p>
<p class="MsoNormal">  [ldap-mds] performing search in dc=fsu,dc=edu, with filter (&(uid=myusername)(!(uid=lib-guest*)))<o:p></o:p></p>
<p class="MsoNormal">[ldap-mds] looking for check items in directory...<o:p></o:p></p>
<p class="MsoNormal">  [ldap-mds] ntPassword -> NT-Password == 0x4444333431333443313741333642433142444136383333324232323239443431<o:p></o:p></p>
<p class="MsoNormal">[ldap-mds] looking for reply items in directory...<o:p></o:p></p>
<p class="MsoNormal">  [ldap-mds] employeeStatus -> My-Local-employeeStatus = "Active"<o:p></o:p></p>
<p class="MsoNormal">  [ldap-mds] ldap_release_conn: Release Id: 0<o:p></o:p></p>
<p class="MsoNormal">+++[ldap-mds] returns ok<o:p></o:p></p>
<p class="MsoNormal">++- else else returns ok<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: RAD_REQUEST: User-Name = myusername<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: RAD_REQUEST: EAP-Message = 0x020a00411a020a003c3167b550c58cc6458a22569f9b3d545f240000000000000000b27cc6b8b53cd52cefd00805875b297ede8772635050987500616d61313263<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: RAD_REQUEST: Realm = NULL<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: RAD_REQUEST: EAP-Type = MS-CHAP-V2<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: RAD_REQUEST: Stripped-User-Name = myusername<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: RAD_REQUEST: State = 0xa7e44290a7ee58094f4ed0f3925b59a6<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: RAD_REQUEST: FreeRADIUS-Proxied-To = 127.0.0.1<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Assign myusername to VLAN employee2b.<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair User-Name = myusername<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair EAP-Message = 0x020a00411a020a003c3167b550c58cc6458a22569f9b3d545f240000000000000000b27cc6b8b53cd52cefd00805875b297ede8772635050987500616d61313263<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Realm = NULL<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair EAP-Type = MS-CHAP-V2<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Stripped-User-Name = myusername<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair State = 0xa7e44290a7ee58094f4ed0f3925b59a6<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair FreeRADIUS-Proxied-To = 127.0.0.1<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair User-Name = myusername<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Service-Type = Framed-User<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Tunnel-Medium-Type = IEEE-802<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Tunnel-Type = VLAN<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair My-Local-employeeStatus = Active<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Tunnel-Private-Group-Id = employee2b<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair NT-Password = 0x4444333431333443313741333642433142444136383333324232323239443431<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Ldap-UserDn = uid=myusername,dc=users,dc=fsu,dc=edu<o:p></o:p></p>
<p class="MsoNormal">rlm_perl: Added pair Auth-Type = EAP<o:p></o:p></p>
<p class="MsoNormal">++[perl_dot1x] returns updated<o:p></o:p></p>
<p class="MsoNormal">        expand: %{Realm} -> NULL<o:p></o:p></p>
<p class="MsoNormal">++- entering switch %{Realm} {...}<o:p></o:p></p>
<p class="MsoNormal">+++- switch %{Realm} returns updated<o:p></o:p></p>
<p class="MsoNormal">++- group authorize returns updated<o:p></o:p></p>
<p class="MsoNormal">++[expiration] returns noop<o:p></o:p></p>
<p class="MsoNormal">++[logintime] returns noop<o:p></o:p></p>
<p class="MsoNormal">[pap] Normalizing NT-Password from hex encoding<o:p></o:p></p>
<p class="MsoNormal">[pap] WARNING: Auth-Type already set.  Not setting to PAP<o:p></o:p></p>
<p class="MsoNormal">++[pap] returns noop<o:p></o:p></p>
<p class="MsoNormal">Found Auth-Type = EAP<o:p></o:p></p>
<p class="MsoNormal"># Executing group from file /usr/local/etc/raddb/sites-enabled/virtual.dot1x_1814_inner_tunnel<o:p></o:p></p>
<p class="MsoNormal">+- entering group authenticate {...}<o:p></o:p></p>
<p class="MsoNormal">[eap] Request found, released from the list<o:p></o:p></p>
<p class="MsoNormal">[eap] EAP/mschapv2<o:p></o:p></p>
<p class="MsoNormal">[eap] processing type mschapv2<o:p></o:p></p>
<p class="MsoNormal">[mschapv2] # Executing group from file /usr/local/etc/raddb/sites-enabled/virtual.dot1x_1814_inner_tunnel<o:p></o:p></p>
<p class="MsoNormal">[mschapv2] +- entering group MS-CHAP {...}<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] Found NT-Password<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] Creating challenge hash with username: myusername<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] Client is using MS-CHAPv2 for myusername, we need NT-Password<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] WARNING: Deprecated conditional expansion ":-".  See "man unlang" for details<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad]     expand: --username=%{Stripped-User-Name:-%{User-Name:-None}} -> --username=myusername<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] No NT-Domain was found in the User-Name.<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad]     expand: %{mschap:NT-Domain} -><o:p></o:p></p>
<p class="MsoNormal">[mschap_ad]     ... expanding second conditional<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad]     expand: --domain=%{%{mschap:NT-Domain}:-FSU} -> --domain=FSU<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] Creating challenge hash with username: myusername<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad]     expand: --challenge=%{mschap:Challenge:-00} -> --challenge=c8b28e6460a5a132<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad]     expand: --nt-response=%{mschap:NT-Response:-00} -> --nt-response=b27cc6b8b53cd52cefd00805875b297ede87726350509875<o:p></o:p></p>
<p class="MsoNormal">Exec output: Logon failure (0xc000006d)<o:p></o:p></p>
<p class="MsoNormal">Exec plaintext: Logon failure (0xc000006d)<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] Exec: program returned: 1<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad] External script failed.<o:p></o:p></p>
<p class="MsoNormal">[mschap_ad<b>] FAILED: MS-CHAP2-Response is incorrect</b><o:p></o:p></p>
<p class="MsoNormal">++[mschap_ad] returns reject<o:p></o:p></p>
<p class="MsoNormal">[eap] Freeing handler<o:p></o:p></p>
<p class="MsoNormal">++[eap] returns reject<o:p></o:p></p>
<p class="MsoNormal">Failed to authenticate the user.<o:p></o:p></p>
<p class="MsoNormal"><b>Login incorrect (mschap_ad: External script says Logon failure (0xc000006d)):</b> [myusername] (from client aruba233 port 0 via TLS tunnel)<o:p></o:p></p>
<p class="MsoNormal">Using Post-Auth-Type REJECT<o:p></o:p></p>
<p class="MsoNormal"># Executing group from file /usr/local/etc/raddb/sites-enabled/virtual.dot1x_1814_inner_tunnel<o:p></o:p></p>
<p class="MsoNormal">+- entering group REJECT {...}<o:p></o:p></p>
<p class="MsoNormal">[attr_filter.access_reject]     expand: %{User-Name} -> myusername<o:p></o:p></p>
<p class="MsoNormal">attr_filter: Matched entry DEFAULT at line 11<o:p></o:p></p>
<p class="MsoNormal">++[attr_filter.access_reject] returns updated<o:p></o:p></p>
<p class="MsoNormal">} # server virtual.dot1x_1814_inner_tunnel<o:p></o:p></p>
<p class="MsoNormal">[peap] Got tunneled reply code 3<o:p></o:p></p>
<p class="MsoNormal">        EAP-Message = 0x040a0004<o:p></o:p></p>
<p class="MsoNormal">        Message-Authenticator = 0x00000000000000000000000000000000<o:p></o:p></p>
<p class="MsoNormal">[peap] Got tunneled reply RADIUS code 3<o:p></o:p></p>
<p class="MsoNormal">        EAP-Message = 0x040a0004<o:p></o:p></p>
<p class="MsoNormal">        Message-Authenticator = 0x00000000000000000000000000000000<o:p></o:p></p>
<p class="MsoNormal">[peap] Tunneled authentication was rejected.<o:p></o:p></p>
<p class="MsoNormal">[peap] FAILURE<o:p></o:p></p>
<p class="MsoNormal">++[eap] returns handled<o:p></o:p></p>
<p class="MsoNormal">} # server virtual.dot1x_1814<o:p></o:p></p>
<p class="MsoNormal">Sending Access-Challenge of id 185 to 192.168.255.233 port 32846<o:p></o:p></p>
<p class="MsoNormal">        Reply-Message = "Realm is 'NULL' on Inside"<o:p></o:p></p>
<p class="MsoNormal">        EAP-Message = 0x010b002b19001703010020e64116a3874fb2f1731c248a0424a0ea316a859f4831ed7585f3ac3fe11ed5e1<o:p></o:p></p>
<p class="MsoNormal">        Message-Authenticator = 0x00000000000000000000000000000000<o:p></o:p></p>
<p class="MsoNormal">        State = 0xcbac7161c2a7687448dbbe7553b6baed<o:p></o:p></p>
<p class="MsoNormal">Finished request 91531.<o:p></o:p></p>
<p class="MsoNormal">Going to the next request<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">====================end of radiusd –X =======================================<o:p></o:p></p>
</div>
</body>
</html>