<div dir="ltr"><span style="font-family:arial,sans-serif;font-size:13px">G'day all, and thanks Phil for your hints</span><div><font face="arial, sans-serif"><br></font></div><div><font face="arial, sans-serif">(Arran I'd want to leave 3.0 as an option of last resort even though it's considered RC by now) ;-)<br>
</font><div><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:13px">> try moving mschap after LDAP in "authorise"</span><br><div style>
<span style="font-family:arial,sans-serif;font-size:13px">Tried this one, no change unfortunately.</span></div></div></div><div style><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">>Second, I can't remember if mschap checks the acct control flags in "authorize" </span></div>
<div style><span style="font-family:arial,sans-serif;font-size:13px">> or "authenticate". If the latter you'll need to move away from using LDAP bind for auth</span><span style="font-family:arial,sans-serif;font-size:13px"><br>
</span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">Hmm, I guess that would require me studying the code :-\</span></div><div style><span style="font-family:arial,sans-serif;font-size:13px"><br>
</span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">Anyway, I'm not entirely sure if I'm going to stay with this setup of this Debian derivative since</span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">it uses its own AD to local OpenLDAP replication and It didn't entirely convince me <br>
(too many </span><span style="font-family:arial,sans-serif;font-size:13px">replications and components talking to each other)</span></div><div style><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div>
<div style><span style="font-family:arial,sans-serif;font-size:13px">Best regards</span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">Mathieu</span></div><div style><span style="font-family:arial,sans-serif;font-size:13px"><br>
</span></div><div style><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/6/26 Phil Mayers <span dir="ltr"><<a href="mailto:p.mayers@imperial.ac.uk" target="_blank">p.mayers@imperial.ac.uk</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Couple of things:<br>
<br>
IIRC the account control flags are checked by the "mschap" module, which I see is running before the LDAP lookup - try moving mschap after LDAP in "authorise"<br>
<br>
Second, I can't remember if mschap checks the acct control flags in "authorize" or "authenticate". If the latter you'll need to move away from using LDAP bind for auth<span class="HOEnZb"><font color="#888888"><br>

-- <br>
Sent from my phone with, please excuse brevity and typos</font></span></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Mathieu Simon<br><a href="mailto:mathieu.sim@gmail.com">mathieu.sim@gmail.com</a>
</div>