<div dir="ltr"><div>G'day all</div><div> </div><div>I've taken out a configuration from a earlier prototype that I used with </div><div>Samba/Winbind authentication but didn't use the rlm_ldap for authorization </div>
<div>back then.  (Having some archives can be quite useful sometimes...) ;-)</div><div> </div><div>Since ntlm_auth properly leads to Access-Rejects for disabled users I can ignore </div><div>how good or how bad rlm_ldap behaves for disabled users as long as it properly </div>
<div>checks for group memberships (that's what I'm interested in for LDAP checks)</div><div> </div><div>And even if Arran points out the brokenness of rlm_ldap code in FR 2.x, group-checks based </div><div>on rlm_ldap are working as expected - and thats what I'm required to get working with this Setup.</div>
<div> </div><div>Regarding...</div><div>> Since your testing auth request was PAP, mschap will never be<br> > called for this, so you're stuck basically.</div><div>The result was same when using radtest with "-t mschap" if that's what you're pointing out.</div>
<div> </div><div>I guess for the current time I'm going to stay with an ADS-joined Samba and use LDAP</div><div>only for the authorization part. Summing up, I feel ending up with less components taming</div><div>overall complexiness a bit.</div>
<div> </div><div>Thank you guys for your Inputs!</div><div> </div><div>-- Mathieu</div><div> </div></div>