<div dir="ltr"><div><div><div>I had a quick look at the output you sent, and I see this:<br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"> base_filter = "<b>(</b>sambaAcctFlags=[U          ]"<br>

</blockquote></div>Seems like your are missing a closing bracket... but 
that should have triggered an error, so I looked at rlm_ldap source, and
 it seems base filter is only used for the "profile user" whatever that 
is... (seems to be an entry in the directory that store extra checks to 
be made, but I never used that)<br>
<br></div>I would suggest you trying to set the filter to: "(&(uid=%{mschap:User-Name:-%{User-Name}})(sambaAcctFlags=[U          ]))"  (or something like that, my LDAP is rusty), and leave the base_filter commented.<br>

<br></div><div><br></div>I hope this helps,<br><br>Michael<div class=""><div id=":15d" class="" tabindex="0"><img class="" src="https://mail.google.com/mail/images/cleardot.gif"></div></div></div><div class="gmail_extra">
<br><br><div class="gmail_quote">On Fri, Jun 28, 2013 at 9:14 AM, Mathieu Simon <span dir="ltr"><<a href="mailto:mathieu.sim@gmail.com" target="_blank">mathieu.sim@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><span style="font-family:arial,sans-serif;font-size:13px">G'day all, and thanks Phil for your hints</span><div><font face="arial, sans-serif"><br></font></div><div><font face="arial, sans-serif">(Arran I'd want to leave 3.0 as an option of last resort even though it's considered RC by now) ;-)<br>

</font><div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><div class="im"><span style="font-family:arial,sans-serif;font-size:13px">> try moving mschap after LDAP in "authorise"</span><br>
</div><div>
<span style="font-family:arial,sans-serif;font-size:13px">Tried this one, no change unfortunately.</span></div></div></div><div class="im"><div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div>
<span style="font-family:arial,sans-serif;font-size:13px">>Second, I can't remember if mschap checks the acct control flags in "authorize" </span></div>
<div><span style="font-family:arial,sans-serif;font-size:13px">> or "authenticate". If the latter you'll need to move away from using LDAP bind for auth</span><span style="font-family:arial,sans-serif;font-size:13px"><br>

</span></div></div><div><span style="font-family:arial,sans-serif;font-size:13px">Hmm, I guess that would require me studying the code :-\</span></div><div><span style="font-family:arial,sans-serif;font-size:13px"><br>
</span></div><div><span style="font-family:arial,sans-serif;font-size:13px">Anyway, I'm not entirely sure if I'm going to stay with this setup of this Debian derivative since</span></div><div><span style="font-family:arial,sans-serif;font-size:13px">it uses its own AD to local OpenLDAP replication and It didn't entirely convince me <br>

(too many </span><span style="font-family:arial,sans-serif;font-size:13px">replications and components talking to each other)</span></div><div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div>
<div><span style="font-family:arial,sans-serif;font-size:13px">Best regards</span></div><div><span style="font-family:arial,sans-serif;font-size:13px">Mathieu</span></div><div><span style="font-family:arial,sans-serif;font-size:13px"><br>

</span></div><div><br></div></div><div class="gmail_extra"><div><div class="h5"><br><br><div class="gmail_quote">2013/6/26 Phil Mayers <span dir="ltr"><<a href="mailto:p.mayers@imperial.ac.uk" target="_blank">p.mayers@imperial.ac.uk</a>></span><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Couple of things:<br>
<br>
IIRC the account control flags are checked by the "mschap" module, which I see is running before the LDAP lookup - try moving mschap after LDAP in "authorise"<br>
<br>
Second, I can't remember if mschap checks the acct control flags in "authorize" or "authenticate". If the latter you'll need to move away from using LDAP bind for auth<span><font color="#888888"><br>


-- <br>
Sent from my phone with, please excuse brevity and typos</font></span></div></blockquote></div><br><br clear="all"><div><br></div></div></div><span class="HOEnZb"><font color="#888888">-- <br>Mathieu Simon<br><a href="mailto:mathieu.sim@gmail.com" target="_blank">mathieu.sim@gmail.com</a>
</font></span></div>
<br>-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br></blockquote></div><br></div>